BYOD, kezaco ?

B.Y.O.D est l’acronyme du moment. Bring Your Own Device est devenue la devise d’un monde du travail où la frontière, entre vie pro et vie perso, est pour le moins ténue. La tendance est apparue avec l’accroissement des solutions mobiles, des smartphones, des tablettes… Mais qu’en est-il vraiment de cette tendance ? Quels en sont les enjeux ? En termes d’efficacité ? En termes de sécurité ?

Quoi qu’il en soit, la tendance se développe partout dans le monde, aux Etats-Unis surtout, et envahie de plus en plus une Europe qui y était a priori réticente.

La tendance BYOD, pourquoi ?

Comme toutes les tendances qui risquent de devenir des habitudbyod3es, le BYOD naît 
d’une pratique spontanée plus que d’un simple mimétisme ou d’un effet de mode. Le BYOD, oui, parce que c’est pratique ! C’est un peu la conclusion tirée par les cabinets d’étude dans leur ensemble. Selon une étude iDate de 2012, 8 salariés sur 10 utilisent leurs propres appareils pour travailler pour des raisons de praticité et de performance. 81% des cadres quant à eux, considèrent qu’une tablette ou un smartphone permet d’être éminemment plus réactif sur son lieu de travail[1]. Enfin, 70% des entreprises qui ont mis en place une stratégie BYOD disent en récolter les fruits en termes de gains de productivité[2].

Les appareils des salariés ne sont pas bridés, ils sont souvent plus performants que ceux de l’entreprise et accèdent à des applications permettant des gains de temps et donc de productivité. Les Directions des Services Informatiques (DSI) s’aperçoivent également du fait que les salariés ont plus de facilité à régler des problèmes techniques sur les appareils dont ils sont propriétaires. Plus de productivité, de réactivité et moins de maintenance, voilà le constat apparent du BYOD. En revanche, ces appareils particuliers ne disposent pas obligatoirement des firewalls, antivirus, clés de cryptage, dont les appareils de l’entreprise sont normalement pourvus. Et c’est justement sur le point de la sécurisation des appareils du salarié que le bât blesse. Les terminaux des employés font sortir de l’entreprise des données parfois stratégiques, faciles à pirater, d’autant qu’aujourd’hui nous sommes toujours connectés (Edge, 3G, 4G …)

Une stratégie BYOD

byod2Vu sous l’angle des risques, le BYOD, nouvel enjeu des DSI, est une affaire de précaution.

En France, 17% des DSI interdisent la pratique du BYOD à l’intérieur de l’entreprise.[3] 21% d’entre elles mettent en place une politique BYOD spécifiquement adaptée à l’entreprise. Le reste, enfin, ne semble pas avoir une approche définie sur le sujet.

 

Pourtant, le BYOD peut tout aussi bien être un facteur de productivité que de risques pour l’entreprise et prendre les devants ne peut que permettre d’anticiper intelligemment les menaces.

Pour conserver le BYOD comme élément de motivation et de productivité des salariés, tout en assurant une bonne gestion de la sécurité informatique, des choix stratégiques s’imposent. Les grandes orientations suivantes se dégagent :

 

1- CYOD, Choose Your Own Device ou Choisissez votre propre appareil. Le principe est simple. L’entreprise présente aux salariés une liste de matériels parmi lesquels le salarié peut choisir celui qui lui convient le mieux. Le DSI garde le contrôle de la configuration de l’appareil. La solution rassure les DSI et donne le choix aux salariés qui se sentent dès lors plus impliqués. CYOD, c’est un peu le choix de l’équilibre en somme.

 

2- COPE, Corporate Owned, Personally Enabled ou Entreprise propriétaire, autorisation personnalisée. Dans ce modèle, l’entreprise est propriétaire du matériel et ne donne pas le choix à ses salariés quant aux appareils qu’elle achète. L’entreprise peut ainsi gérer de manière homogène la sécurisation des appareils, sans pour autant remettre en cause le travail nomade de ses salariés.

 

3-La virtualisation : cette dernière solution contourne le problème intélligemment. Elle mise sur la désolidarisation des appareils et du poste de travail. Avec les solutions de virtualisation (type VPN : Virtual Private Network), le poste de travail, le bureau de votre PC d’entreprise par exemple, peut être consulté à partir de votre smartphone ou de votre tablette. Des codes attitrés ou un fichier client sur clé USB verrouillent bien sûr l’accès au réseau d’entreprise virtuel. Avec cette solution, le contenu sensible reste à distance, sur une plateforme virtuelle, et non sur des appareils plus facilement sujets au piratage, à la perte ou au vol.

 

Des choix à faire

Les DSI ne peuvent rester les bras croisés devant l’ère du temps. 72% des salariés équipés d’appareils mobiles disent aujourd’hui travailler en dehors de leurs horaires de travail. La connexion à un réseau est aujourd’hui une simple formalité et les smartphone ou tablette sont sollicitées pour leur praticité et leurs performances. Si le BYOD a de prime abord était envisagé comme un bon moyen de réduire l’investissement en matériel de l’entreprise[4], il est aujourd’hui considéré dans le cadre d’une stratégie managériale plus large reposant sur l’investissement personnel des salariés et une bonne gestion des risques.

De leur côté, les fournisseurs de solutions mobilité se frottent les mains. Les grandes entreprises ont déjà passées des commandes vertigineuses. SAP possède aujourd’hui 3000 Ipad et 14000 Iphone pour le compte de leurs salariés et la tendance d’achat sur le hardware mobile ne semble pas prête de s’arrêter. Mais au-delà de l’appareil en lui-même, c’est la gestion de celui-ci par la DSI qui devient un enjeu crucial. Les solutions de Mobile Device Management (MDM) sont justement là pour ça. Elles ont pour but la gestion et la sécurisation des flottes de smartphone et de tablettes. Si les produits des grands manufacturiers high tech que sont Google, Apple ou Samsung sont souvent remis en cause pour ce qui est de la sécurisation de leurs appareils, des sociétés spécialisées dans le MDM se pressent justement dans les bureaux des DSI pour proposer des solutions de gestion et de contrôle applicables à tous types d’appareils.

Dans tous les cas, le BYOD ne doit être perçu comme le résultat d’un laisser-aller. DSI et services juridiques doivent se mettre d’accord quant à l’architecture à donner à la tendance du BYOD. Règlement intérieur, dispositions du contrat de travail, et politique d’utilisation du matériel mobile doivent s’accorder pour que les risques de pertes/vols d’information, mais aussi de protestation des salariés à l’égard de la violation de leurs données personnelles se réduisent au maximum. Dans cette idée, même une interdiction du BYOD vaudrait mieux que de ne rien dire ou ne rien faire, en attendant un incident qui sera toujours susceptible d’arriver. Bref, si votre entreprise, au regard de son activité, ses ressources et ses objectifs, nécessite une stratégie BYOD, faites votre propre choix : BYOD, CYOD, virtualisation…

Une fois de plus, prévenir, vaut mieux que guérir.

 

[1] Etude Mc Kinsey – iConsumer Survey on the connsumerization of mobile devices

[2] Etude Dell Quest Software, 2012 - Les entreprises et le BYOD

[3] Etude IFop – Good Technologies, mai 2012

[4]Cisco a ainsi pu déclarer avoir réduit de 20% ses coûts de technologies internes grâce au lancement d’un simple plan BYOD.