Sécuriser le paysage numérique sans frontières

Les périphériques non gérés, notamment en Shadow BYOD, constituent des vecteurs privilégiés pour les attaques et la perte de données sensibles. Les entreprises doivent identifier ces postes client sauvages et les contrôler.

Les cybercriminels qui volent des données sensibles ont besoin d'un chemin pour accéder aux réseaux de l'entreprise. De plus en plus, ce chemin passe par les périphériques non gérés : des postes client comme les périphériques personnels qui échappent au contrôle direct du département IT mais donnent quand même accès aux réseaux et aux données de l'entreprise.

Une étude Microsoft a montré que, dans plus de 90 % des cas de ransomwares, les pirates ont utilisé un périphérique non géré pour obtenir l'accès initial au réseau de l'entreprise. L'étude Ivanti cite les ransomwares comme la principale menace prévue pour 2025 (sans surprise, sachant que 38 % des professionnels de sécurité s'attendent à ce que l'IA rende les ransomwares plus menaçants). Ensemble, ils permettent aux pirates opportunistes de faire coup double.

L'étude Ivanti souligne l'étendue du problème :

L'accès réseau à distance est extrêmement courant chez les collaborateurs de bureau :

85 % des collaborateurs de bureau déclarent travailler parfois (ou même souvent) à distance en dehors des heures ouvrables. Par exemple, ils consultent leurs e-mails le soir ou accomplissent de petites tâches le week-end. Chacune de ces connexions à distance, surtout sur périphérique personnel, expose potentiellement les données de l'entreprise à des risques de sécurité.

 

L'utilisation des périphériques personnels est répandue et difficile à suivre : 

3/4 des professionnels IT disent que le BYOD est régulièrement utilisé, même si seulement 52 % disent que leur entreprise l'autorise explicitement. Dans les entreprises où le BYOD est interdit, 78 % des collaborateurs ignorent cette interdiction.

 

Les périphériques en BYOD non gérés ne comportent pas les contrôles de sécurité essentiels, ce qui en fait des points d'entrée attrayants pour les cybercriminels cherchant à accéder aux données précieuses de l'entreprise. Et lorsqu'une entreprise interdit le BYOD, elle est souvent incapable de développer des contrôles clairs pour gérer l'inévitable utilisation de périphériques personnels... ainsi que les réseaux auxquels ces périphériques accèdent.

 

Le département IT manque de visibilité sur les périphériques non gérés et l'accès à distance : 

Plus d'un tiers des professionnels IT (38 %) disent que les données dont ils disposent sur les périphériques accédant au réseau sont insuffisantes. Et 45 % disent manquer de données sur le Shadow IT.

Ces angles morts augmentent le risque de failles de sécurité et de non-conformité, car les périphériques non autorisés ou vulnérables peuvent passer inaperçus. Les entreprises ne peuvent pas protéger ce qu'elles ne voient pas.

Pour traiter efficacement la généralisation du télétravail et les périphériques non gérés, les périmètres réseau modernes sont de plus en plus définis par logiciel. L'accès et la sécurité sont régis d'après l'identité, c'est-à-dire qui l'utilisateur, le périphérique ou l'application prétend être (ce que l'authentification vérifie), plutôt que d'après l'endroit d'où ils se connectent.

Les périphériques de périphérie fonctionnent sur la périphérie des réseaux. Leurs lacunes de sécurité bien connues en font des cibles privilégiées pour les pirates.

Les périphériques de périphérie (comme les capteurs IoT, les caméras intelligentes et les équipements distants) augmentent le risque à la périphérie du réseau. Pourquoi ?

• Au lieu de s'appuyer sur le traitement centralisé dans le Cloud ou un datacenter, les périphériques de périphérie traitent les données à la source (ou tout près). Ainsi, des informations précieuses sont stockées en local sur des périphériques physiquement exposés et souvent moins protégés par les contrôles de sécurité de l'entreprise.
• Les périphériques de périphérie reposent souvent sur des configurations de sécurité par défaut médiocres, des mises à jour de sécurité peu fréquentes, et des fonctions EDR (Détection et réaction aux menaces sur les postes client) limitées.

L'étude Ivanti montre que 44 % des professionnels IT pensent que la croissance des données générées par les périphériques de périphérie augmente le risque pour leur entreprise.

En moyenne, les entreprises gèrent à peine 60 % de leurs périphériques de périphérie. Cela signifie que 2/5 de ces périphériques fonctionnent en fait comme des points d'entrée non surveillés dans les réseaux de l'entreprise.

Certaines entreprises tentent de combler cette lacune :

• 61 % disent restreindre l'accès réseau des périphériques de périphérie qui ne répondent pas aux exigences de configuration.
• 55 % utilisent le Machine Learning pour surveiller les activités anormales sur les périphériques de périphérie.
• 47 % utilisent des agents pour contrôler la configuration des périphériques de périphérie.
• 43 % isolent les périphériques de périphérie au sein de l'infrastructure de Cloud public.

Cependant, aucune de ces actions n'est efficace si une grande partie de ces périphériques (40 %, selon nos estimations) n'est tout simplement pas gérée.

Dans un paysage de menaces sans frontières, l'approche Zero Trust (Confiance zéro) offre une sécurité intelligente, pilotée par logiciel.

Les mesures de sécurité basées sur le périmètre supposent que les menaces proviennent de l'extérieur du réseau, et qu'une fois les entités à l'intérieur, elles sont dignes de confiance. Cependant, à mesure que les collaborateurs deviennent plus mobiles et que les périphériques non gérés que l'entreprise doit traiter se multiplient, cette approche s'avère inadéquate.

Le Zero Trust constitue une approche fondamentalement différente : « Ne jamais faire confiance, toujours vérifier ». Cela signifie que chaque utilisateur, chaque périphérique et chaque application doit être authentifié et autorisé avant d'accéder à un système ou à des données, quel que soit son emplacement.

Mettre en place le Zero Trust consiste à appliquer trois principes de base : gestion des accès par identité (vérifier que les utilisateurs sont bien ceux qu'ils prétendent être), accès par moindres privilèges (limiter l'accès des utilisateurs aux seules ressources dont ils ont besoin pour travailler) et obscurcissement des données par cryptage.

C'est là que le bât blesse : Bien que 79 % des professionnels IT insistent sur le fait que les contrôles d'accès sont plus importants lorsque les collaborateurs travaillent hors du bureau, la réalité sur le terrain raconte une tout autre histoire.

Seuls 34 % des employeurs utilisent réellement l'accès réseau Zero Trust pour les télétravailleurs, et 30 % seulement implémentent la gestion des privilèges d'accès. L'écart entre ce que les responsables IT savent devoir faire et ce qu'ils font réellement est frappant.

Dans l'environnement de sécurité actuel, les frontières de l'entreprise sont floues et les menaces peuvent émerger de n'importe où. Pour protéger les actifs critiques, les entreprises ont besoin d'une approche en deux volets :

D'abord, étendre les programmes de gestion des terminaux pour couvrir les périphériques sur tout le réseau, en veillant à ce qu'ils puissent recevoir des correctifs, être mis à jour et être surveillés pour la télémétrie de sécurité.

Ensuite, implémenter des solutions basées sur l'identité et des contrôles d'accès Zero Trust qui vérifient en continu la sécurité des postes client avant d'accorder l'accès aux actifs internes.

Quelle que soit la taille de l'entreprise, l'adoption du Zero Trust ne sert pas seulement à mettre à niveau la sécurité : c'est une nécessité commerciale pour minimiser les risques et protéger les données critiques.

Ce rapport est basé sur les études Ivanti Rapport 2025 sur l'état de la cybersécurité : Le changement de paradigme et Rapport 2025 sur la technologie au travail : Remodeler le travail flexible. Pour ces études, menées respectivement en octobre 2024 et en février 2025, nous avons interrogé au total plus de 600 cadres dirigeants, 3 000 professionnels IT et de cybersécurité, et 6 000 collaborateurs de bureau, partout dans le monde.

Ces études ont été administrées par Ravn Research et les panélistes ont été recrutés par MSI Advanced Customer Insights. Les résultats d'étude ne sont pas pondérés.