Le BYOD à la recherche de l’équilibre entre sécurité et performance

Le BYOD est un concept qui a le vent en poupe. Qu’il résulte d’une stratégie d’entreprise ou du comportement de quelques employés, le BYOD impliquera des changements profonds dans les usages d’entreprises.

Bring Your Own Device, ou BYOD, signifie littéralement « amène ton propre appareil ». Il s’agit d’une pratique d’entreprise qui consiste pour l’employé d’une société à utiliser du matériel personnel – smartphone, tablette ou ordinateur – dans l’exercice de sa profession. Avec les tendances actuelles à la mobilité et à l’hyperconnectivité (Cloud, travail collaboratif…), la limite entre vie professionnelle et vie personnelle s’efface et ce phénomène prend donc mécaniquement de l’ampleur. Il ne se pose cependant pas avec la même acuité suivant les secteurs et les niveaux d’emploi. Le domaine des nouvelles technologies est en effet plus prompt à suivre les tendances qui peuvent lui permettre de gagner en performance, alors que pour d’autres secteurs la question ne se posera qu’à la marge. Les grands groupes sont aussi statiquement plus concernés que les PME. Quant aux profils, il s’agit logiquement de ceux à qui on demande un investissement en temps plus important et plus de souplesse dans leur organisation ; Les cadres sont donc souvent concernés. A cela s’ajoute l’arrivée sur le marché du travail de la génération « Y » pour qui la distinction temps de travail/temps personnel est plus souple et qui a une vision pragmatique de l’usage qui peut être fait d’un matériel. Ces profils considèrent, à raison dans certains cas, que si un outil leur fait gagner en efficacité sur une tâche, celui-ci doit être utilisé. Les problématiques relatives à la sécurité de l’information sont alors souvent reléguées au second plan.

Une prise de conscience tardive de la part des entreprises

Face à l’émergence de ces pratiques, beaucoup d’entreprises n’ont pas réagi, soit parce qu’elles en ignoraient l’existence, soit parce qu’elles n’ont pas saisi tout de suite les conséquences qu’elles avaient sur leur activité. A cela s’ajoute le fait que le temps d’adaptation des entreprises au changement est celui d’un utilisateur standard. Les processus internes d’évaluation du besoin, puis l’achat, font que la solution retenue sera toujours soit moins performante, soit moins polyvalente que le dernier modèle du marché disponible au grand public. Le BYOD fait partie des concepts pour lesquels les attentes sont les plus fortes, d’après la courbe du cabinet Gartner. L’étude montre que le BYOD devrait connaitre une phase de « désenchantement » pour finalement atteindre un niveau de maturité qui en fera une pratique durable. La question n’est donc pas tellement de savoir si le BYOD va durer ou non, mais plutôt de savoir comment il va s’intégrer dans les pratiques des entreprises.

Si le BYOD est l’objet d’autant d’attention, c’est parce qu’il propose un certain nombre d’avantages parmi lesquels figure l’amélioration de la disponibilité et de la réactivité des employés. Ils gagnent également en efficacité, utilisant un outil qu’ils maitrisent bien sur le plan ergonomique, ce qui évite à l’entreprise des coûts de formation et de maintenance. A cela s’ajoute le fait que la flexibilité du BYOD facilite la communication entre collègues, ce qui participe à une amélioration globale de la performance de l’entreprise.

D’un point de vue juridique le BYOD pose plusieurs questions tant sur la propriété du matériel que celle des logiciels et des données qui y transitent. La gestion du temps par l’employé est également problématique, sachant que des tâches professionnelles peuvent être réalisées sur le temps personnel et vice-versa. La computation du temps est donc plus difficile pour les employés qui sont payés à l’heure et non au forfait comme de nombreux cadres. Il faut dans ce cas se référer au règlement intérieur de l’entreprise et surtout à la charte informatique qui y est souvent annexée. C’est cette charte informatique – acceptée par l’employé – qui renseigne sur la politique BYOD de l’entreprise. Cette charte doit prévoir un certain nombre de points comme les mesures de sécurité – matérielles et logicielles – prévues pour le terminal, une responsabilisation quant à la propriété et l’usage des données ainsi que les modalités de contrôle, voire de sanctions, en cas de non-respect. A cela peut s’ajouter un certain nombre de règles de comportement en matière de navigation sur Internet et notamment sur les réseaux sociaux. La question étant de savoir à qui incombera la responsabilité en cas de fuite de données ou d’atteintes à l’image.

Toujours sur le plan juridique, l’usage de certains logiciels est soumis à l’acceptation d’un contrat de licence qui va restreindre – juridiquement parlant – le contrôle de l’entreprise sur l’application et donc sur les données qui vont être utilisées. A cela va s’ajouter le fait que ces données sont fréquemment stockées à l’étranger et sont donc soumises à la législation du pays du serveur informatique. Au-delà de la perte de contrôle que cela implique, il y a le problème de la perte de confidentialité qui fait prendre à l’entreprise des risques importants, à la fois en termes de perte de marchés potentiels mais également en termes de réputation.

Pour en revenir à la question du matériel, quand l’achat a été financé par l’employé, il en garde le contrôle intégral. L’entreprise peut participer financièrement en proposant en contrepartie l’acceptation de certaines règles sur l’usage du terminal en question (utilisation de certains logiciels, temps d’utilisation…) ce qui lui permet de garder un certain contrôle. Elle peut aussi plus simplement proposer le choix entre différents terminaux : avec la technique du Choose your Device (CHD), le terminal est Corporate Owned Personaly Enabled (COPE). L’entreprise peut également restreindre la connexion à certains de ses services. On parle alors de Connect Your Own Device (CYOD).

La diversité des appareils, et donc des systèmes d’exploitation, représente une vraie difficulté pour le service informatique. Quand l’employé n’a ni la propriété ni le choix du matériel on parle alors de Corporate Managed Device (CMD). Se pose alors la question de la gestion des flottes pour le service informatique. En effet, ce service va devoir gérer simultanément du matériel de la société sur lequel elle a un contrôle important, et du matériel hétérogène dont elle ne contrôle quasiment rien alors qu’il représente des points d’entrée potentiels sur son réseau. Mais le BYOD ne concerne pas que le service informatique : du service client à la logistique, tous sont intégrés à cette démarche globale.

Le BYOD doit faire l’objet d’une stratégie d’entreprise

L’entreprise va donc devoir définir une stratégie BYOD intégrant à un degré variable les outils informatiques personnels. La solution retenue va dépendre à la fois de l’activité de l’entreprise, de sa taille, de sa culture et de sa conception de la sécurité de l’information. L’important étant que l’entreprise ne suive pas le mouvement par mimétisme mais qu’elle raisonne en termes d’usages et d’effets attendus. Ces nouvelles pratiques doivent être l’occasion pour l’entreprise de reprendre en main ses flux d’information. La stratégie retenue autorisera ou non l’accès des terminaux personnels au réseau de l’entreprise, prévoira le développement de logiciel ad hoc ou l’utilisation de logiciels existants, etc. 

En conclusion, face au BYOD, la première réponse de l’entreprise va être de prendre une décision pour ne pas laisser cette pratique s’exercer sans cadre. Qu’elle l’encourage ou qu’elle l’interdise, l’entreprise doit fixer des règles pour que le capital informationnel de la société ne soit pas mis en danger. Il ne faut pas que ces pratiques pénalisent l’entreprise, gardant à l’esprit que leur interdiction pure et simple est souvent sans effets. 

Les nombreux paramètres d’une stratégie BYOD permettent de créer des combinaisons variées et évolutives adaptées aux enjeux de la société. Grace au BYOD, de nombreuses entreprises peuvent ainsi trouver un équilibre satisfaisant entre amélioration de la performance et sécurité de l’information.

Charles PONSARD

Pour aller plus loin sur le sujet:

Une analyse du BYOD en entreprise disponible sur le site de l’académie de Toulouse

Une série d’articles de ZDNet sur le sujet