Les dispositifs non gérés constituent une menace pour la sécurité que la plupart des entreprises ignorent.
La sécurité consiste à résoudre les problèmes avant qu’ils n’explosent. Le secteur s’est déjà attaqué à des changements massifs, en faisant passer l’internet de HTTP à HTTPS, en bouleversant l’authentification traditionnelle avec les connexions multifactorielles et en redéfinissant la sécurité des réseaux grâce à la confiance zéro. Alors pourquoi tant d’entreprises ignorent-elles les dispositifs non gérés ?
À l’heure actuelle, un grand nombre d’employés, de sous-traitants et de tiers accèdent aux réseaux d’entreprise à l’aide d’ordinateurs portables, de tablettes et de smartphones sans véritable surveillance. Ces appareils existent en dehors des solutions de gestion des appareils mobiles (MDM), ce qui signifie que les équipes informatiques et de sécurité n’ont aucun moyen de les surveiller, d’appliquer les mises à jour ou d’assurer les protections de base. C’est un cauchemar pour la sécurité. Les systèmes d’exploitation non mis à jour, les logiciels obsolètes et les informations d’identification exposées créent un point d’entrée facile pour les attaquants. Pire encore, les entreprises ignorent souvent l’existence de ces risques.
Ce n’est pas que les entreprises aient délibérément ignoré le problème. Jusqu’à récemment, les dispositifs non gérés n’étaient pas un obstacle aux audits de sécurité. Vous pouviez cocher les cases de conformité et réussir les évaluations sans les traiter. Mais les acteurs de la menace ne se soucient pas des vulnérabilités liées à la conformité. Une violation de données causée par un dispositif non géré ne sera pas excusée simplement parce que l’entreprise a techniquement satisfait aux exigences de l’audit.
Il est difficile d’ignorer l’ampleur du problème. Selon une étude réalisée en 2022 par Kolide, 47 % des entreprises autorisent sciemment des appareils non gérés à accéder aux ressources de l’entreprise. Cela signifie que près de la moitié des organisations laissent des données sensibles exposées, ce qui est une formule pour un désastre. Plus ce problème sera ignoré, plus les conséquences seront importantes.
« Chaque organisation doit repenser la manière dont elle gère la sécurité des appareils non gérés, avant qu’un pirate ne le fasse à sa place.
Les appareils non gérés sont une cible privilégiée des attaques de ransomware
Les chiffres parlent d’eux-mêmes : 92 % des ransomware en 2024 impliquaient des appareils non gérés, selon Microsoft. Ce n’est pas une coïncidence. Ces appareils manquent de visibilité, de contrôles de sécurité et souvent même de protections de base comme les mises à jour du système ou le chiffrement. Les attaquants le savent et exploitent ces lacunes pour obtenir un accès, escalader les privilèges et déployer des ransomwares au sein de l’infrastructure d’une organisation.
Les entreprises s’appuient sur un réseau de sous-traitants, de fournisseurs et de tiers, dont beaucoup se connectent aux systèmes de l’entreprise en utilisant leur propre matériel. Si l’un de ces appareils non gérés exécute un logiciel obsolète, ne dispose pas d’une authentification appropriée ou stocke des informations d’identification non cryptées, il devient une surface d’attaque parfaite.
Il s’agit d’une voie active pour les cybercriminels. Les opérateurs de ransomware n’ont pas besoin d’exploits sophistiqués lorsqu’ils peuvent simplement trouver une machine non corrigée, exécuter un code malveillant et se déplacer latéralement dans le réseau d’une entreprise. Une fois qu’ils ont pris pied, la récupération d’une attaque devient exponentiellement plus difficile, plus coûteuse et plus dommageable pour la réputation.
Pour les dirigeants, la conclusion est claire : ignorer les appareils non gérés, c’est laisser la porte ouverte aux attaques de ransomware. Les entreprises dépensent des millions pour la détection des terminaux, le chiffrement et les contrôles d’accès, mais près de la moitié d’entre elles autorisent l’utilisation d’appareils personnels sans surveillance. Il s’agit là d’une contradiction fondamentale en matière de sécurité qui doit être résolue dès maintenant, et non pas après un incident.
Les outils traditionnels ne peuvent pas sécuriser les appareils non gérés
La plupart des équipes de sécurité s’appuient sur des outils de gestion des appareils mobiles (MDM) pour garder le contrôle sur les appareils de l’entreprise. Le problème est que ces outils n’ont jamais été conçus pour les terminaux non gérés. Ils partent du principe que les entreprises sont propriétaires du matériel, ce qui n’est pas le cas des appareils personnels, des ordinateurs portables des sous-traitants ou des machines fonctionnant avec des systèmes d’exploitation non standard. Cette limitation a laissé les équipes informatiques et de sécurité sans stratégie claire pour traiter les terminaux non gérés.
Sans visibilité, il n’y a pas de mise en application. Les responsables de la sécurité savent que des dispositifs non gérés accèdent aux ressources de l’entreprise, mais la plupart d’entre eux ne disposent pas des outils nécessaires pour les surveiller, restreindre l’accès ou assurer la conformité. Si les solutions MDM n’offrent pas de couverture, les terminaux non gérés fonctionnent effectivement en dehors du cadre de sécurité de l’entreprise, ce qui va à l’encontre de l’objectif des contrôles d’accès et des autres mesures de protection.
Les dirigeants doivent aller au-delà des solutions traditionnelles. Le problème ne sera pas résolu en appliquant des outils dépassés à un défi moderne. Les entreprises ont besoin de nouvelles stratégies de sécurité qui étendent la visibilité à chaque appareil accédant à leurs systèmes, qu’il soit directement géré ou non. Les équipes de sécurité doivent s’orienter vers des solutions qui renforcent l’authentification, la conformité et la surveillance continue sans créer de frictions excessives pour les employés et les tiers.
Les organisations qui ne s’attaquent pas à ce problème offrent aux attaquants une cible facile. La cybersécurité moderne a évolué vers un modèle de confiance zéro pour une raison bien précise : les hypothèses de sécurité basées sur des outils ou des politiques obsolètes ne fonctionnent plus. La gestion des risques implique d’adapter les approches de sécurité aux défis d’aujourd’hui, et les dispositifs non gérés constituent l’une des plus grandes lacunes que les entreprises n’ont pas encore comblées.
Les dispositifs non gérés doivent être intégrés dans une stratégie de sécurité zéro confiance.
La confiance zéro a fondamentalement changé la façon dont les entreprises abordent la cybersécurité. Au lieu de supposer que les systèmes internes et les utilisateurs sont dignes de confiance, les équipes de sécurité vérifient désormais tout, chaque utilisateur, chaque application et chaque appareil. Mais dans de nombreuses organisations, les appareils non gérés restent une exception à ce modèle, créant une faille de sécurité que les attaquants peuvent exploiter.
Une approche zéro confiance appropriée traite les appareils non gérés de la même manière que tout autre risque potentiel. Cela signifie une authentification continue, des contrôles d’accès stricts et une mise en conformité en temps réel avant d’autoriser un appareil à interagir avec les données de l’entreprise. Cela signifie qu’il faut s’assurer que si un appareil non géré est utilisé, il répond aux normes de sécurité avant de se connecter aux applications critiques de l’entreprise.
Les entreprises ont déjà appliqué les principes de la confiance zéro à la gestion des identités, à l’authentification et à la sécurité des réseaux. L’extension de cette même philosophie aux terminaux nécessite une approche à plusieurs niveaux, qui applique des contrôles de sécurité obligatoires sans restreindre excessivement la façon dont les employés et les sous-traitants travaillent. La sécurité ne doit pas se faire au détriment de la productivité, mais elle ne doit pas non plus être facultative.
Les dirigeants doivent penser au-delà des politiques traditionnelles de cybersécurité. Chaque appareil non géré représente un point d’entrée potentiel pour un attaquant, et attendre de résoudre ce problème après une violation n’est pas une option. Pour réussir la mise en œuvre de la confiance zéro, il faut élargir les mesures de sécurité afin de prendre en compte chaque point d’extrémité, qu’il soit géré ou non.
Équilibrer la sécurité et la vie privée des employés dans les environnements BYOD
Les politiques « Bring-your-own-device » (BYOD) ont amélioré la productivité en permettant aux employés de travailler avec du matériel familier. Dans le même temps, elles ont soulevé des problèmes de sécurité que de nombreuses entreprises n’ont pas encore résolus. Autoriser l’accès à partir d’appareils personnels sans visibilité ni contrôle crée un risque qui ne peut être ignoré.
Les équipes chargées de la sécurité se heurtent souvent à des réticences lorsqu’elles mettent en place des protections solides pour les appareils personnels. Les employés ne veulent pas d’une surveillance intrusive des téléphones et des ordinateurs portables qu’ils utilisent également pour des tâches personnelles. Le défi consiste à trouver un équilibre – fournir une sécurité forte sans dépasser les limites. Pour cela, il faut vérifier que les appareils personnels sont utilisés par des utilisateurs autorisés et s’assurer qu’ils répondent à des exigences de sécurité minimales, telles que des systèmes d’exploitation à jour et un stockage crypté.
C’est une question de confiance. Le personnel s’attend à ce que sa vie privée soit respectée, et les solutions de sécurité trop strictes qui surveillent les données personnelles peuvent engendrer de la frustration ou de la résistance. Même quelque chose d’aussi banal que l’accès au courrier électronique à partir d’un appareil personnel peut devenir un point d’entrée pour les attaquants. Les politiques doivent être claires : les appareils non gérés ne doivent se connecter que dans des conditions qui garantissent la sécurité sans porter atteinte à la vie privée.
Pour les dirigeants, le principal enseignement à tirer est que le BYOD n’est pas le problème, ce sont les mauvaises politiques de sécurité qui le sont. Il est tout à fait possible d’autoriser l’utilisation d’appareils personnels tout en maintenant une sécurité élevée, mais cela nécessite des solutions qui vérifient les utilisateurs et appliquent des protections de base sans intrusions inutiles. La sécurité et la protection de la vie privée doivent se renforcer mutuellement, et non se concurrencer. Les entreprises qui ne parviennent pas à trouver cet équilibre seront confrontées soit à des risques de sécurité, soit à la résistance de leur personnel, ce qui n’est ni l’un ni l’autre acceptable.
Les utilisateurs et les appareils à haut risque nécessitent des contrôles de sécurité plus stricts
Tous les appareils ne présentent pas le même niveau de risque. Un smartphone personnel utilisé pour consulter ses courriels n’a pas les mêmes implications en matière de sécurité que l’ordinateur portable d’un développeur qui dispose d’un accès élevé aux systèmes critiques. Pourtant, de nombreuses organisations ne parviennent pas à appliquer des exigences de sécurité plus strictes aux appareils en fonction de leur niveau d’accès et de risque potentiel.
Les développeurs, les administrateurs système et les autres utilisateurs disposant de privilèges élevés manipulent des infrastructures, des codes sources et des configurations de sécurité sensibles. Si leurs appareils sont compromis, les attaquants accèdent à des systèmes qui vont bien au-delà d’un seul point de terminaison. C’est pourquoi les appareils non gérés ne devraient pas être une option pour ces rôles – chaque terminal avec un accès de haut niveau doit être sécurisé, surveillé et maintenu en conformité avec les politiques de sécurité.
Même les appareils gérés doivent faire l’objet d’un examen minutieux. De nombreuses solutions MDM offrent une surveillance de base, mais ne parviennent pas à prévenir les attaques sophistiquées. Un appareil considéré comme « géré » mais dépourvu d’authentification forte, de chiffrement ou de surveillance reste un maillon faible. Les entreprises devraient réévaluer si leur système de sécurité actuel protège réellement leurs utilisateurs les plus critiques, plutôt que de supposer que les outils de gestion suffisent à eux seuls.
Pour les dirigeants, la priorité doit être claire : tous les appareils ne méritent pas le même niveau de confiance. Les employés qui manipulent des données ou des infrastructures sensibles doivent se conformer à des exigences de sécurité plus strictes, même si l’application de ces exigences peut sembler peu pratique. Les cybercriminels s’attaquent d’abord aux cibles de grande valeur, et une sécurité insuffisante des terminaux leur facilite grandement la tâche. En s’attaquant à ce problème dès maintenant, vous réduisez la probabilité de brèches coûteuses à l’avenir.
Stratégies de sécurité
Il n’existe pas de stratégie de sécurité universelle qui convienne à toutes les entreprises. La tolérance au risque, les obligations de conformité et les opérations commerciales influencent toutes la manière dont les organisations abordent les menaces telles que les dispositifs non gérés. Cependant, un point reste constant : les politiques de sécurité doivent tenir compte à la fois de la protection et de la vie privée des employés.
Les mesures de sécurité strictes se heurtent souvent à une certaine résistance, en particulier lorsqu’elles sont appliquées à des appareils personnels. Les employés ne veulent pas que les services informatiques surveillent leurs données privées, et l’application de politiques de sécurité invasives peut créer des frictions inutiles. En même temps, ignorer les lacunes de sécurité des appareils non gérés n’est pas une option. Les entreprises ont besoin de solutions qui vérifient les appareils, appliquent les normes de sécurité de base et limitent l’accès aux terminaux non autorisés, sans dépasser les limites personnelles.
Une approche stratégique signifie que les entreprises doivent trouver un équilibre entre l’application et l’aspect pratique. Certains secteurs peuvent exiger des cadres de conformité plus stricts, tandis que d’autres peuvent permettre une plus grande flexibilité en fonction de l’exposition au risque. Ce qui fonctionne pour une société financière très réglementée peut ne pas être nécessaire pour une agence de création. Comprendre ces différences et structurer les politiques de sécurité en conséquence garantit à la fois l’efficacité et la coopération des employés.
Les dirigeants doivent donner la priorité à la sécurité et à la facilité d’utilisation. Une culture de la sécurité est plus efficace que des politiques strictes, imposées d’en haut, que les employés tentent de contourner. Les organisations qui mettent en œuvre des mesures de sécurité claires et respectueuses de la vie privée verront l’adoption de ces mesures se renforcer et les angles morts en matière de sécurité se réduire. Tenir compte des préoccupations des employés tout en maintenant des contrôles d’accès stricts n’est pas seulement une décision éthique, c’est aussi une décision pratique.
Adressage des dispositifs non gérés
Les risques de sécurité posés par les appareils non gérés ne se résoudront pas d’eux-mêmes. Comme de plus en plus d’employés et de sous-traitants utilisent du matériel personnel, la surface d’attaque s’étend, ce qui permet aux acteurs malveillants d’exploiter plus facilement les lacunes en matière de visibilité et de contrôle. Les organisations qui n’agissent pas maintenant en subiront les conséquences, qu’il s’agisse d’une violation de données, d’une attaque par ransomware ou d’une perturbation opérationnelle.
L’histoire a montré qu’il est possible de relever les défis en matière de sécurité en combinant judicieusement la technologie et la politique. L’abandon des mots de passe traditionnels au profit de l’authentification multifactorielle et de la sécurité sans mot de passe. l’authentification multifactorielle et la sécurité sans mot de passe a pris du temps, mais elle a permis de réduire considérablement les attaques basées sur les informations d’identification. Le même niveau d’effort doit être appliqué aux dispositifs non gérés. Les entreprises ne peuvent plus se permettre de les considérer comme un risque accepté.
Il ne s’agit pas seulement d’un défi technique, mais aussi d’un défi de leadership. Les dirigeants doivent s’assurer que les équipes de cybersécurité disposent des ressources nécessaires pour appliquer des politiques qui protègent l’organisation sans perturber la productivité. Ignorer les dispositifs non gérés aujourd’hui crée un chemin direct pour les attaquants demain.
Les entreprises qui adoptent aujourd’hui une approche proactive seront en bien meilleure position à l’avenir. Les cybermenaces deviendront de plus en plus sophistiquées et les stratégies de sécurité doivent évoluer en conséquence. Les organisations qui tardent à agir seront finalement contraintes de s’attaquer à ce problème dans des conditions bien pires – après qu’une attaque a déjà eu lieu. C’est maintenant qu’il faut agir.
Dernières réflexions
Les dispositifs non gérés ne sont plus un simple oubli. Ils représentent une responsabilité croissante en matière de sécurité que les attaquants exploitent activement. Les entreprises ne peuvent pas se permettre de les ignorer, mais nombre d’entre elles autorisent encore les appareils personnels et ceux des sous-traitants à accéder aux systèmes critiques sans contrôle adéquat. Plus ce problème reste irrésolu, plus le risque d’attaques par ransomware, de violations de données et de conséquences réglementaires augmente.
Les solutions traditionnelles ne répondent pas efficacement à ce problème, ce qui signifie que les stratégies de sécurité doivent évoluer. L’authentification forte, la vérification des points d’extrémité et la surveillance continue de chaque appareil connecté – qu’il appartienne ou non à l’entreprise – doivent devenir la norme. Les équipes de sécurité ont besoin du soutien de la direction, d’un financement adéquat et de l’autorité nécessaire pour appliquer les nouvelles politiques sans frictions inutiles.
Les dirigeants qui prennent des mesures proactives dès maintenant renforceront le dispositif de sécurité de leur organisation avant qu’une crise ne les oblige à changer. Le coût de l’inaction est bien plus élevé que l’investissement nécessaire pour combler ces lacunes dès aujourd’hui. Les cybermenaces ne ralentissent pas et les entreprises qui s’adaptent rapidement seront celles qui garderont une longueur d’avance.
