Le BYOD (Bring Your Own Device) est une pratique qui permet à certains utilisateurs d’accéder à des applications et informations d’entreprise sur leurs terminaux personnels. Un concept simple – mais aussi une véritable boîte de Pandore.
D’après une enquête menée par Dell au début de l’année 2014, 93 % des responsables informatiques interrogés autorisaient l’accès au réseau de leur entreprise via des terminaux personnels (1). Ces chiffres n’ont rien de surprenant au vu des nombreux avantages attendus : hausse de la productivité et de la créativité, meilleure communication, amélioration de la satisfaction des collaborateurs et des clients, baisse des coûts, voire même sécurité de l’information (2). Pourtant, le BYOD se voit aujourd’hui affublé de l’expression Bring Your Own Disaster. Pourquoi ? Principalement parce qu’il génère de nombreuses questions sans réponses – trop même selon Colin Humphreys, Directeur des Data Centers chez NTT Com Security, qui pointe notamment du doigt les problématiques susceptibles de causer des dégâts extrêmement graves en cas de mauvaise gestion.
Licences et conformité
Même dans un environnement informatique traditionnel, il n’est pas toujours facile de bien comprendre, différencier, sélectionner et, enfin, implémenter divers modèles de licences logicielles en parallèle. Ajoutez-y des postes de travail virtuels, des terminaux mobiles, des modèles alternatifs de déploiement applicatif et une dose de BYOD, et les choses se compliquent alors sérieusement. Jusqu’ici, les fournisseurs de solutions de gestion des licences ont plus ou moins ignoré la tendance du BYOD. Par conséquent, difficile pour les entreprises d’adapter des modèles de licences d’hier, basés sur le matériel, aux environnements mobiles et orientés utilisateurs d’aujourd’hui – sans compter les coûts et les problèmes importants liés au monitoring d’un plus grand nombre d’utilisateurs et de terminaux. À mesure que le parc matériel s’enrichit de nouveaux terminaux mobiles, vos coûts et les risques d’infraction aux réglementations augmentent. Vous devez non seulement tenir un inventaire précis des logiciels et terminaux utilisés par chaque collaborateur, mais aussi estimer la valeur de ces informations, trouver un moyen de gérer les spécificités des licences de chaque éditeur et respecter leurs conditions d’utilisation.
Responsabilité et accès
Vous devrez décider à qui revient la responsabilité de la gestion des licences logicielles. Selon une récente étude (3), près de 70 % des salariés aux États-Unis et en Europe arrêteraient d’utiliser leur propre appareil au travail s’ils savaient que leur employeur pouvait l’effacer ou le verrouiller à distance. D’autre part, 83 % ne s’en serviraient plus, ou avec une certaine appréhension, s’ils savaient que leur entreprise pouvait suivre leurs faits et gestes en permanence. Or, pour protéger correctement ses données et assurer sa sécurité, l’entreprise devra forcément accéder aux appareils personnels de ses salariés. En outre, si l’effacement total du contenu de l’appareil s’avère inévitable, le collaborateur risque de perdre ses fichiers personnels. Si vous décidez au contraire de confier la sécurité de l’appareil à vos collaborateurs, vous devrez leur faire signer un contrat d’utilisateur final. Mais que se passera-t-il si le terminal tombe entre les mains d’un inconnu ou qu’un proche s’en sert ?
Pour atteindre ces objectifs et éviter des sanctions financières coûteuses en cas d’infraction, les entreprises ont souvent recours à des licences collectives couvrant tous les terminaux d’un même site. Or, si seuls 60 % des collaborateurs ont besoin d’un logiciel particulier, pourquoi payer en pure perte pour les 40 % restants ? Et la facture se corse encore davantage en fonction de l’architecture et de la méthode d’accès réseau, de la localisation et du type de terminal, et du modèle de licences choisi par l’entreprise.
Ressources et intégrité des données
D’après une récente enquête, près de 50 % des entreprises interrogées s’exposaient à leur insu aux menaces et vulnérabilités liées au BYOD. En outre, environ 25 % des responsables informatiques considéraient une mauvaise utilisation des terminaux mobiles et systèmes d’exploitation comme la cause sous-jacente d’une violation de sécurité. Toute entreprise est impuissante face à des menaces inconnues. Or, le BYOD ouvre la porte à un trop grand nombre de risques imprévisibles. Et lorsqu’une violation de sécurité se produit, le coût peut s’élever à plusieurs millions, voire plusieurs milliards pour les organisations. Quant aux actions en justice, elles soumettront l’infrastructure informatique du BYOD à un examen approfondi des plus stricts. Bref, le BYOD tend à diminuer l’efficacité des dispositifs de sécurité les plus impénétrables.
Ressources spécialisées
La mise en place et la maintenance d’un dispositif BYOD nécessitent non seulement la bonne solution informatique, mais aussi des collaborateurs hautement qualifiés et expérimentés, disponibles 24h/7j. Or, ces deux éléments coûtent cher. Dans de nombreux cas, il est plus prudent de faire appel à un prestataire de services managés dotés des connaissances, compétences et ressources informatiques nécessaires à la protection de vos systèmes avec un coût beaucoup plus bas.
Gestion du risque
Pour gérer les risques afférents aux plateformes BYOD, les entreprises disposent de plusieurs options. Par exemple, Intel utilise un Cloud privé via lequel les salariés peuvent accéder aux services et informations de l’entreprise. Afin de réduire les risques de sécurité, les droits d’accès dépendent du terminal et de la localisation de l’utilisateur au moment de la connexion. Intel prend en charge plus de 40 applications mobiles. Simples mais efficaces, elles permettent aux collaborateurs de communiquer facilement et rapidement entre eux, d’accéder aux informations internes, d’approuver des bons de commande ou encore de participer à des conférences audio et vidéo.
Avec l’apparition de nouveaux problèmes liés au BYOD, les systèmes CYOD (Choose Your Own Device), aussi appelés COPE (Corporate Owned Personally Enabled), ont commencé à voir le jour dans les entreprises. Le CYOD prend le contre-pied du BYOD : au lieu de permettre aux salariés d’utiliser leur appareil personnel au travail, le CYOD leur propose un choix de terminaux détenus par l’organisation dont ils pourront se servir pour leurs activités professionnelles et personnelles. Étant donné que le terminal appartient à l’entreprise, ses données peuvent être effacées et sa connexion réseau bloquée à tout moment. L’organisation renforce ainsi le contrôle sur sa sécurité. Pour éviter les casse-tête du paiement ou du remboursement des terminaux de ses collaborateurs, l’entreprise peut effectuer un achat groupé des mêmes modèles au meilleur prix auprès des opérateurs (4). Autre avantage du CYOD sur le BYOD : le département informatique peut se concentrer sur un plus petit nombre de terminaux et de contrats par rapport à un modèle où le salarié apporte son propre appareil.
Facteur humain
Certes, le CYOD comporte moins de risques, mais ces derniers restent encore difficiles à bien cerner. Il est possible de maîtriser le risque du BYOD, mais seulement au prix d’une planification rigoureuse, de moyens, de temps, de recherches et d’une coordination attentive — en particulier si vous implémentez de multiples solutions simultanément. D’un autre côté, si les solutions de protection s’avèrent efficaces mais trop restrictives ou agressives, vous risquez de dissuader vos utilisateurs d’adopter le BYOD, et par là-même de rendre vains tous vos efforts.
Question de confiance
Aujourd’hui, les salariés possèdent des connaissances informatiques de plus en plus développées. Toutefois, le collaborateur lambda en sait-il suffisamment pour se voir confier la sécurité de l’information de votre organisation – ou même une partie ? En admettant que ce soit le cas, à quel point la protection de vos données d’entreprise lui importe-t-elle et la considère-t-il comme sa responsabilité ?
Selon Will Markham, Responsable des pratiques de sécurité chez Colt Enterprise Services, « une des menaces les plus courantes provient des salariés qui téléchargent et installent des logiciels non autorisés, sans comprendre les risques potentiels de telles actions. » Un rapport du Gartner va même encore plus loin en déclarant que les départements informatiques n’ont aucun moyen d’assumer la responsabilité de terminaux qui ne leur appartiennent pas.
Un seul appareil mobile peut suffire à entraîner la chute d’une entreprise toute entière. Si bien que nombre d’entre elles abandonnent le BYOD aussi vite qu’elles l’avaient adopté, et préfèrent désormais parler du Bring Your Own Disaster(5).
Rêve ou cauchemar ?
Si le BYOD est apparu un temps comme le nouvel eldorado informatique, les illusions n’ont pas résisté longtemps à l’épreuve de la pratique. Mais le BYOD n’est pas une simple question de plug-and-play ; il nécessite des recherches, une bonne maîtrise, des ressources et des règles strictes. Une fois implémenté et géré correctement, il a tout pour constituer un formidable outil et un véritable atout pour votre entreprise. Pour l’heure, le BYOD est une pratique balbutiante qui soulève encore beaucoup de questions sans réponses. Certes, la révolution du BYOD est en marche. Mais attention à ne pas laisser le rêve tourner au cauchemar.
1. Enquête Dell : Protecting the organisation against the unknown.
2. Gartner, Inc. : Bring Your Own Device: The Facts and the Future.
3. Nathan Eddy : Study: Employees Unaware Of Employers’ BYOD Policies.
4. Ben Rossi : Taking mobility by the reins: the rise and fall of BYOD.
5. Chloe Green : You can’t ignore BYOD and hope it will go away.