Sites Inria

Le 26.02.2014

BYOD : travailler avec son matériel perso est dangereux (et innovant)

Tendance de fond, le BYOD soulève des questions relatives au respect de la vie privée et à la sécurité des entreprises. Décryptage.

Le mouvement du BYOD (Bring Your Own Device pour Apportez Votre Propre Appareil) est étroitement lié à l’évolution de la mobilité et à l’explosion du marché des smartphones, tablettes et autres périphériques connectés. Il se développe dans nos sociétés, l’utilisation d’un terminal mobile personnel pour travailler étant devenue une pratique courante.

Une informatique personnelle amplifiée


L’innovation technologique, qui a surtout profité à l’informatique personnelle ces dernières années, est à l’origine de ce mouvement. Les individus disposent aujourd’hui d’outils personnels souvent plus puissants et conviviaux que ceux mis à leur disposition dans l’entreprise. Dans ces conditions, pourquoi continuer à utiliser un ordinateur obsolète quand on dispose d’un périphérique personnel bien plus performant ? Quant à l’entreprise, pourquoi interdirait-elle un périphérique financé par le collaborateur et qui augmente sa productivité ?

Bien cerner les risques


Les raisons sont simples : l’usage de périphériques personnels à des fins professionnelles pose des problèmes aussi bien de sécurité que juridiques. Difficile en effet pour une entreprise de garantir l’application de sa politique de sécurité sur des périphériques qu’elle ne maitrise pas, voire dont elle ignore l’existence, ou encore de s’assurer que la législation du travail est respectée, la frontière entre vie professionnelle et vie personnelle étant de plus en plus floue avec ces usages.

Encadrer pour ne pas subir

 
« Dans le mouvement du BYOD, il y a une dimension contre-naturelle pour l’entreprise,
la somme de décisions individuelles étant en principe moins optimisée qu’un contrat groupe, observe Fréderic Charles, responsable de la stratégie du système d’information à la Lyonnaise des eaux/Suez Environnement. Mais interdire le BYOD reviendrait à tuer l’innovation sur des usages qui, en pratique, accroissent la productivité des individus, donc de l’entreprise. Sans compter qu’il n’est pas du tout certain que l’interdiction soit respectée. Dans ce contexte, la meilleure approche est de mettre en place des règles de gouvernance et de former les salariés afin de les sensibiliser aux risques ».

Établir des règles claires


La maitrise du phénomène BYOD passe donc par une démarche structurée. Première étape : élaboration d’un contrat entre l'employeur et les collaborateurs, sorte de charte qui définit le plus clairement possible les actions autorisées en précisant les modalités de contrôle et les sanctions encourues. Le BYOD estompant les frontières entre activités professionnelles et privées, l’entreprise doit également se protéger des risques juridiques. La France n’a pas encore statué sur la question mais aux États-Unis, par exemple, une société a été condamnée pour avoir effacé les données du mobile d'un employé, dont ses photos personnelles. Afin de prendre en compte ces nouveaux usages, de plus en plus de fabricants proposent des smartphones équipés de deux environnements séparés : professionnel et privé. L’entreprise peut ainsi mieux contrôler le temps de travail et gérer les activités professionnelles sans toucher à la partie privée du périphérique de son employé.

Sécuriser les usages


Enfin, l’entreprise doit conserver la maitrise technique sur sa flotte mobile pour protéger ses données et son système d’information des accès dangereux : virus, intrusion à partir d’un appareil volé ou perdu, etc. Dans cette perspective, de plus en plus de sociétés ont opté pour une "transition en douceur". Plutôt que d’interdire, ou inversement tout autoriser, elles font une présélection de périphériques que leurs collaborateurs sont susceptibles d’utiliser et leur proposent ensuite de choisir dans ce catalogue. Grâce à cette approche, elles peuvent mettre en place des outils de gestion de flotte plus facilement - tel le logiciel Mobile Device Management (MDM) - qui permettent de contrôler les appareils à distance et, si besoin, d’effacer les données, de surveiller les activités et de veiller au respect des règles de bonne conduite prévues dans la charte.

 

Propulsé par