Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sherley Brothier, Keynectis : « Bring your own device »

avril 2012 par Sherley BROTHIER, Directeur R&D de Keynectis

L’arrivée de l’iPhone est à l’origine d’un changement de comportement dans les entreprises où les employés principalement des VIPs, ont commencé à demander à leur DSI d’accéder à la messagerie d’entreprise avec ce terminal. Depuis cette époque et malgré les politiques de sécurité d’entreprise en vigueur, l’arrivée de nouveaux terminaux dans les entreprises n’a fait que progresser. Entre temps nous sommes passés par un épisode relativement court, où les RSSI ont tenté d’imposer certains Smartphones d’entreprise, mais face aux dérives des utilisateurs qui introduisaient leur carte SIM société dans leur terminal personnel, les entreprises ont fini par s’adapter.

Depuis, la marque à la pomme a introduit sur le marché une nouvelle génération d’ordinateurs portables ultralégers ainsi qu’un nouveau terminal révolutionnaire, créant, au passage, son propre marché, l’iPad. La tablette est directement entrée dans les foyers, rendant totalement addictifs ses utilisateurs qui ont privilégié cet objet à leur ordinateur personnel.

Le phénomène tablette et Smartphone est tel qu’il se vend même aujourd’hui dans le monde plus de terminaux de ce type que d’ordinateur. Ainsi tout comme l’iPhone, c’est au tour de l’iPad et des MacBook personnels d’arriver massivement dans les entreprises et le phénomène est loin d’être isolé. Nombre de grands comptes se voient même contraints de faire évoluer leur parc informatique pour conserver ou attirer des talents qui sont de plus en plus nombreux à considérer leur environnement de travail comme un critère de choix ou d’attache à leur entreprise.

Certains grands Groupes témoignent même, pour éviter des fuites de talents, avoir mis en place un système permettant aux salariés de choisir son propre matériel. Il est effectivement fréquent que les matériels officiellement référencés par les DSI et services achats des grands groupes soient considérés comme obsolètes ou peu performants et peu ergonomiques au regard de ce que les utilisateurs disposent à titre personnel à leur domicile.

Ainsi, grâce à la "dépérimètrisation" du SI de l’entreprise, à l’avènement de l’internet mobile et du télétravail, le modèle « Bring Your Own Device » (BYOD) ou « Bring Your Own Computer » (BYOC) est arrivé massivement dans les entreprises.

Certaines entreprises pourraient être tentées de ne rien faire face à cette tendance. Pourtant les risques sont élevés notamment en termes de responsabilité et de fuite de d’information et de données, car aujourd’hui l’approche BYOD a progressé au niveau usage. Elle n’est plus restreinte à l’accès à la messagerie d’entreprise ou à l’agenda partagé mais permet bien un accès complet au SI, c’est d’ailleurs un des enjeux.

Le phénomène et la pression des utilisateurs sont tels, que l’entreprise ne pourra pas lutter face à ce mouvement. La prise en compte du BYOD dans le SI n’est pourtant pas aussi évidente que cela peut y paraître, notamment dans le cas du BYOD où l’équipement est acheté par le salarié lui-même (sans financement de l’entreprise). En effet, dans ce contexte, l’utilisateur devra obligatoirement donner son accord pour changer un paramétrage, pour installer des logiciels de sécurité, pour disposer de la fonctionnalité d’effacement à distance ou encore pour activer les fonctions de géolocalisation. Dans ce modèle, ce n’est plus l’entreprise qui décide mais l’utilisateur... Les DSI et RSSI ne pourront donc plus imposer de façon unilatérale des outils et politiques de sécurité, ils vont devoir prendre en compte les besoins ainsi que les attentes personnelles des utilisateurs, tout sera donc affaire de négociation avec les salariés.

En effet, la plupart des entreprises confie ce chantier à leurs RSSI qui ont tendance à considérer la question sous un angle technique alors que les phénomènes BYOD et BYOC posent avant tout des questions juridiques et sociales. On notera, par exemple, que rien n’interdit un salarié de travailler autant qu’il le désire sur son temps libre, mais il lui est par contre strictement interdit de s’occuper sans limite de tâches personnelles sur son temps de travail.

Il existe également d’autres inquiétudes comme, par exemple, l’accès internet de terminaux personnels à partir du réseau de l’entreprise et par conséquent sous la responsabilité de cette dernière. Inversement, l’employé peut craindre pour sa vie privée. La question se pose donc de savoir s’il faut établir une limite entre usage professionnel et usage personnel et si l’entreprise a le droit de suivre ses employés, d’assurer la protection de ses données personnelles, ou encore de dégager sa responsabilité en cas d’usage illicite. Cela pourrait nécessiter une modification du contrat de travail des salariés concernés voire du règlement intérieur.

A minima, le BYOD doit être encadré par une évolution de la charte informatique qui devrait peut-être devenir une charte du numérique et en profiter pour adresser l’usage des réseaux sociaux et, plus globalement, le comportement des salariés sur le Net lorsqu’ils parlent de leur vie professionnelle.

Du point de vue financier, le BYOD/BYOC apparait comme très intéressant pour les entreprises car l’utilisateur assure le financement du terminal ou de l’ordinateur ainsi que sa maintenance. Toutefois il ne faut pas négliger certains coûts additionnels liés à l’augmentation importante du trafic de données télécom (et donc des abonnements Data) ou encore liés à l’impact sur le SI.

En effet, accéder au SI avec sa tablette préférée nécessite généralement des montées de versions des applicatifs métiers et de la messagerie collaborative, voire même des réseaux (WIFI sécurisé par exemple).

Deux modèles financiers sont fréquemment constatés. Le premier où l’entreprise dédommage l’utilisateur, en considérant qu’il apporte le terminal. Le second où l’utilisateur participe aux frais télécom considérant qu’il l’utilisera partiellement à des fins professionnelles et partiellement pour un usage personnel. Une troisième voie commence également à émerger où les entreprises achètent le Smartphone de l’employé qui en fera, officiellement, un usage mixte, ce qui permettra d’en faciliter le contrôle.

Par ailleurs, une étude récente [1] démontre que les employés qui utilisent un terminal personnel à la fois pour leur travail et leur vie personnelle travaillent annuellement 240 heures de plus que les autres salariés. La tendance BYOD est donc séduisante pour les entreprises. C’est peut-être la raison pour laquelle, on entre dans une nouvelle phase où les entreprises (principalement les DSI et RSSI) acceptent officiellement ces constats liés au BYOD et où l’entreprise se met à proposer des solutions innovantes plutôt que de les subir. Il faut dire que tout comme la lutte contre l’entrée de l’iPhone en entreprise, ce combat n’est pas équilibré tant la pression des usagers est forte.

Ainsi, en reprenant petit à petit le contrôle de cette situation, en l’encadrant socialement et juridiquement, l’entreprise en profite pour limiter les risques de fuite de données en sécurisant les terminaux au moyen de solutions d’identification, d’authentification forte, de chiffrement de données ou de contrôle d’usage et de flux. Dans le même temps, tout comme dans les années 1990-2000 où les entreprises généralisaient des solutions de gestions de parc micro-informatique et de télédistribution de logiciels et de configuration, on voit aujourd’hui se généraliser des solutions de gestion de flottes de mobiles (Mobile Device Management) capable de gérer des terminaux hétérogènes.

En résumé, du point de vue de la DSI trois points doivent être particulièrement bien adressés pour réussir son projet BYOD : l’accès au SI depuis le terminal (authentification forte, contrôle d’accès, chiffrement, contrôle de flux), la sécurité du terminal (authentification, chiffrement des données locales), la gestion des flottes de terminaux (solutions de Mobile Device Management ou Mobile Device Security). Avec l’arrivée prochaine de la 4G ou du LTE (Long Term Evolution), les phonèmes BYOD/BYOC ne devraient que s’amplifier avec de nouveaux objets qui seront eux aussi connectés. Il devient par conséquent urgent, pour les entreprises, de proposer des solutions sécurisées à leurs employés et ainsi éviter de subir des situations qui pourraient devenir complexes à gérer en cas de litiges.


[1] The iPass Global Mobile Workforce Report – Q2 2011


Voir les articles précédents

    

Voir les articles suivants