BYOD, une nouvelle tendance susceptible d’en intéresser plus d’un !
Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device. Le BYOD, c’est la fusion des téléphones personnels et professionnels ou comment se servir de son propre terminal pour un usage d’entreprise. Et oui ce phénomène a pu voir le jour grâce à l’explosion du marché des smartphones coté Grand Public.
En 2010, 270 millions de smartphones ont été vendus dans le monde, soit 55% de plus qu’en 2009. D’après les analystes de l’institut Gartner, 43 % des cadres, dans les entreprises américaines de plus de 500 salariés, utilisent déjà des équipements qui n’appartiennent pas à l’entreprise, sur les réseaux et les systèmes d’entreprises (Gartner, « Economic Factors Accelerate Employees’ Use of Personally Owned Equipment », 7 janvier 2009). Et ce n’est pas moins des ¾ des salariés qui utilisent leur mobile personnel sur leur lieu de travail (sondage Audirep – Orange Labs 2009).
Cependant, l’entreprise devra faire face à quelques difficultés…
Du point de vue de l’entreprise, la question de la gestion multi OS / terminaux pourrait s’avérer délicate et complexe pour les DSI. Outre l’aspect de la sécurité des informations qui transitent, les mises à jour des terminaux peuvent être source de chaos au sein du département télécom qui gère cette flotte. Cependant, des solutions industrielles sont aujourd’hui capables de gérer la diversité des plateformes et des terminaux mobiles.
Du coté des DSI, 3 problèmes sont soulevés :
– La sécurité du SI (chiffrement des communications et contrôle de flux…)
– La sécurité du device (authentification locale, chiffrement des données …)
– La gestion du parc de terminaux mobiles (MDM)
Comment l’entreprise doit-elle gérer ce phénomène?
Un grand nombre d’entreprises recherchent des solutions pour intégrer les iPhones personnels de leurs salariés dans un environnement professionnel. Astra Zeneca, par exemple, estime qu’il lui serait possible de réduire ses coûts de 2 millions de dollars par an, en demandant simplement à ses sous-traitants et à certains de ses employés d’utiliser leurs propres équipements. Les employés qui ont adopté cette « BYOD Attitude » la jugent plus rentable et plus efficace dans leur mode de fonctionnement.
Cependant, d’autres entreprises réagissent différemment face à ce concept. La première réaction est de laisser-faire les employés dans l’usage professionnel de leur mobile personnel. Cette approche du «je laisse tout passer » est assez périlleuse car aucun contrôle n’est effectué. La sécurité, difficulté principale du BYOD, serait mise à dure épreuve dans cette optique. La deuxième réaction serait de tout bloquer et d’empêcher le BYOD au sein des entreprises. Un peu réducteur comme méthode quand on connait la pression que les employés mettent pour utiliser leurs smartphones. La 3ème solution consiste à laisser passer certains types de terminaux / OS : Iphone, Blackberry…
Il faut donc trouver un compromis, entre les contraintes de l’entreprise et les exigences des employés, pour permettre une adoption totale.
Au sein des DSI, cette mutation de l’usage des smartphones pour accéder au SI de l’entreprise, est perçue de façon différente et les discours divergent. Selon Richard Peynot, Consultant, analyste et gérant d’Acseitis, le BYOD est un « véritable cauchemar pour les responsables sécurité et responsables des données de l’entreprise dans cette approche qui consiste à encourager les employés à acheter et utiliser leurs smartphones, ordinateurs portables voire tablettes électroniques… »
Aujourd’hui, des solutions existent sur le marché, pour permettre l’usage professionnel de son device personnel. Ces solutions reposent sur la mise en place de silos « entreprise » permettant d’isoler les données sensibles dans des espaces spécifiques (applications, boite aux lettres…). Certaines consistent à déployer une plateforme dédiée (ex : Good) comme celle que nous avons chez Solucom. Concrètement, cette suite inclut la gestion centralisée des emails, du calendrier, des contacts, des tâches ou encore l’accès à distance aux applications métiers. La solution (Serveur Good + 5 utilisateurs) est proposée à 1597 euros HT. Prix par utilisateur supplémentaire: 79 euros HT.
Enfin, l’aspect juridique doit être clairement défini, par exemple : est-ce que l’entreprise peut tracer ses employés ? A ce sujet, une modification du contrat de travail peut être une solution pour éviter toutes formes de litiges. En effet, l’entreprise est responsable de l’ensemble des contenus sortant par l’intermédiaire de ses « tuyaux ». Elle doit donc s’assurer de pouvoir identifier l’auteur d’un contenu illégal si elle est poursuivie et se prémunir en faisant évoluer sa charte d’utilisation des moyens électroniques ou le contrat de travail de ses employés.
Du coté des opérateurs, devenir un réel partenaire (conseil et fournisseur de service) capable d’offrir des solutions réseaux sur-mesure permettant de répondre aux exigences des DSI, doit être un objectif.
Voilà une première analyse intéressante, j’ajoute des éléments supplémentaires que nous avons identifiés dans la practice Sécurité & Risk Management :
– Sur le marché des « silos applicatifs », Good est effectivement présent mais il ne faut pas oublier Sybase (www.sybase.com) et les options apportées par les outils de gestion de flottes qui permettent quasiment le même usage (effacement ciblé, séparation pro/perso) sur les plateformes Blackberry et iPhone/iPad. Des éditeurs comme McAfee, AirWatch et même Microsoft se positionnent. Au passage il me semble que les prix de la solution Good ont évolué.
– Sur l’aspect juridique, la modification de contrat de travail est une action longue et extrêmement complexe. Je ne la recommande pas. Une charte simple ou une modification du règlement intérieur sont certainement préférables pour encadrer ces usages et cela doit aller bien au-delà de la simple traçabilité, toutes les questions relatives à l’usage des données professionnelles doivent être adressées.
– Sinon sur les aspects hors SI, il ne faut pas négliger également l’angle assurance (que se passe-t-il si on casse un équipement personnel au bureau ?), la non-discrimination du personnel (entre ceux qui peuvent/veulent acheter ces équipements et les autres) ou encore la fuite d’information (comment puis-je éviter la fuite d’informations non maitrisés entre par exemple 2 boites de messagerie sur le même terminal ?)
Au final, je partage l’avis sur le fait qu’il faille trouver des solutions pour permettre ces usages. C’est aujourd’hui un sujet phare chez les responsables sécurité. Et le BYOD va même encore plus loin que les smartphones, les postes de travail commencent à être concernés !
Gérôme