Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sherley Brothier Keynectis : La tendance « Bring your own device » : Aspects sécuritaires, juridiques et financiers

juin 2012 par

Le « Bring Your Own Device » (BYOD) est aujourd’hui de plus en plus utilisé pour un accès complet au SI, bouleversant parfois les infrastructures IT qui doivent s’adapter (nouveaux terminaux et volume de données important) mais surtout les relations entre l’entreprise et ses salariés qui doivent être encadrées juridiquement. Décryptage avec Sherley Brothier – Directeur R&D de Keynectis.

S’adapter au BYOD est devenu inévitable pour les entreprises : La tendance « Bring Your Own Device » est aujourd’hui un enjeu technique, économique mais également social reconnu par tous. En effet, elle ne se réduit plus seulement à l’accès à la messagerie d’entreprise ou à l’agenda partagé mais permet un accès complet au système d’information qui doit évoluer pour que les applications exploitent correctement les capacités de ces nouveaux terminaux.

Pourtant, la prise en compte du BYOD dans le SI n’est pas aussi évidente que cela peut y paraître, notamment parce que l’équipement est acheté par le salarié lui-même (sans financement de l’entreprise). En effet, dans ce contexte, l’utilisateur devra obligatoirement donner son accord pour changer un paramétrage, pour installer des logiciels de sécurité, pour disposer de la fonctionnalité d’effacement à distance ou encore pour activer les fonctions de géolocalisation. Dans ce modèle, ce n’est plus l’entreprise qui décide mais bien l’utilisateur... Les DSI et RSSI vont ainsi devoir prendre en compte les besoins ainsi que les attentes personnelles des utilisateurs au sein même de l’environnement d’entreprise. Le BYOD : des conséquences juridiques sous-estimées : Pour la plupart des entreprises la tendance BYOD est prise en compte sous un angle exclusivement technique alors que le phénomène pose également des questions juridiques et sociales. On notera, par exemple, que rien n’interdit un salarié de travailler autant qu’il le désire sur son temps libre, mais il lui est par contre strictement interdit de s’occuper sans limite de tâches personnelles sur son temps de travail. Il existe également d’autres inquiétudes comme, par exemple, l’accès internet de terminaux personnels à partir du réseau de l’entreprise et par conséquent sous la responsabilité de cette dernière. Inversement, l’employé peut craindre pour sa vie privée. La question se pose donc de savoir s’il faut établir une limite entre usage professionnel et usage personnel et si l’entreprise a le droit de suivre ses employés, d’assurer la protection de ses données personnelles, ou encore de dégager sa responsabilité en cas d’usage illicite. Cela pourrait nécessiter une modification du contrat de travail des salariés concernés voire du règlement intérieur. A minima, le BYOD doit être encadré par une évolution de la charte informatique qui devrait peut-être devenir une charte du numérique et en profiter pour adresser l’usage des réseaux sociaux et, plus globalement, le comportement des salariés sur le Net lorsqu’ils parlent de leur vie professionnelle. Le BYOD, une aubaine financière pour les entreprises ? Du point de vue financier, le BYOD apparait comme très intéressant pour les entreprises car l’utilisateur assure le financement du terminal ou de l’ordinateur ainsi que sa maintenance.

Toutefois il ne faut pas négliger certains coûts additionnels liés à l’augmentation importante du trafic de données télécom (et donc des abonnements Data) ou encore liés à l’impact sur le SI. En effet, accéder au SI avec sa tablette préférée nécessite généralement des montées de versions des applicatifs métiers et de la messagerie collaborative, voire même des réseaux (WIFI sécurisé par exemple).

Deux modèles financiers sont fréquemment constatés. Le premier où l’entreprise dédommage l’utilisateur, en considérant qu’il apporte le terminal. Le second où l’utilisateur participe aux frais télécom
considérant qu’il l’utilisera partiellement à des fins professionnelles et partiellement pour un usage personnel.

Une troisième voie commence également à émerger où les entreprises achètent le Smartphone de l’employé
qui en fera, officiellement, un usage mixte, ce qui permettra d’en faciliter le contrôle.

Le BYOD doit être synonyme de sécurisation des données :
Une étude récente1

En 2011, Keynectis a racheté OpenTrust, leader des logiciels d’infrastructure de confiance pour les
entreprises et les administrations. Pour en savoir plus
démontre que les employés qui utilisent un terminal personnel à la fois pour leur
travail et leur vie personnelle travaillent annuellement 240 heures de plus que les autres salariés. La
tendance BYOD est donc séduisante pour les entreprises. C’est peut-être la raison pour laquelle, on entre
dans une nouvelle phase où les entreprises (principalement les DSI et RSSI) acceptent officiellement ces
constats liés au BYOD et où l’entreprise se met à proposer des solutions innovantes plutôt que de les
subir. Il faut dire que tout comme la lutte contre l’entrée de l’iPhone en entreprise, ce combat n’est pas
équilibré tant la pression des usagers est forte.

En reprenant petit à petit le contrôle de cette situation, en l’encadrant socialement et juridiquement,
l’entreprise en profite pour limiter les risques de fuite de données en sécurisant les terminaux au
moyen de solutions d’identification, d’authentification forte, de chiffrement de données ou de
contrôle d’usage et de flux. Dans le même temps, tout comme dans les années 1990-2000 où les
entreprises généralisaient des solutions de gestions de parc micro-informatique et de télédistribution de
logiciels et de configuration, on voit aujourd’hui se généraliser des solutions de gestion de flottes de mobiles
(Mobile Device Management) capable de gérer des terminaux hétérogènes.
En résumé, du point de vue de la DSI trois points doivent être particulièrement bien adressés pour
réussir son projet BYOD : l’accès au SI depuis le terminal (authentification forte, contrôle d’accès,
chiffrement, contrôle de flux), la sécurité du terminal (authentification, chiffrement des données
locales), la gestion des flottes de terminaux (solutions de Mobile Device Management ou Mobile
Device Security).

Avec l’arrivée prochaine de la 4G ou du LTE (Long Term Evolution), le phénomène BYOD ne devrait
que s’amplifier avec de nouveaux objets qui seront eux aussi connectés. Il devient par conséquent
urgent, pour les entreprises, de proposer des solutions sécurisées à leurs employés et ainsi éviter
de subir des situations qui pourraient devenir complexes à gérer en cas de litiges.


Voir les articles précédents

    

Voir les articles suivants