Nouvelle mode pour entreprise connectée ou innovation managériale majeure ? Le BYOD (Bring your own device, apportez votre propre appareil) a au moins le mérite de faire couler beaucoup d'encre. On ne compte plus les études qui ont été réalisées sur ce phénomène qui consiste pour un collaborateur à utiliser son propre smartphone, sa tablette numérique, ou son ordinateur à des fins professionnelles. Ce phénomène a été autorisé par l'ouverture des systèmes d'informations des entreprises sur internet. Pratique pour consulter ses courriels de son domicile, ou pour terminer un travail après avoir récupéré ses enfants à l'école, cette pratique a été accueillie avec bienveillance par les entreprises : télétravail, disponibilité accrue des collaborateurs, accessibilité de l'information en rendez-vous client, confort d'utilisation de l'outil informatique...

D'après Christophe Merckens, Directeur des Systèmes d'Information (DSI) du Groupe Devoteam, spécialisé dans le conseil en infrastructure système, ce phénomène s'est "accéléré avec une consumérisation accrue et le développement du cloud (l'informatique à distance)". La multiplication des applications bureautiques sur smartphone simples d'utilisation ont rendu les cadres accrocs à leurs propres outils informatiques. Mais il faut dire que pour les entreprises, en plus des gains de productivité dégagés par cette pratique, les économies en termes d'investissements ont été substantiels, en évitant de fournir un onéreux smartphone à chaque collaborateur. 

Mises devant le fait accompli, qu'elles ont d'une certaine manière encouragé, les entreprises ont découvert sur le tard le risque de sécurité que pouvait constituer le BYOD. "Au départ, nous avons fermé les yeux face à ce qui était un phénomène limité à quelques uns. Puis, on s'est rapidement rendu compte qu'il fallait  traiter ce sujet plutôt que de le mettre sous le tapis", explique Christophe Merckens.

L'ANSSI, gardien du temple

Les entreprises ne sont pas toutes favorables au BYOD. Certaines, notamment les banques, craignent que leur système informatique se transforme en véritable passoire à virus ou, pis, favorise des intrusions malveillantes de types cyber-espions. Et ce n'est pas l'Agence nationale de sécurité des systèmes d'information (ANSSI) qui va les contredire. Pour cette agence gouvernementale, le risque est d'exposer les entreprises à des actes de malveillances informatiques en multipliant les points d'accès au système interne. D'ailleurs, la règle 5 du guide d'hygiène informatique publié par l'ANSSI "interdit la connexion d'équipements personnels au système d'information". "Déroger (à cette règle, ndlr) facilite grandement le travail d'un attaquant en fragilisant le réseau de l'entreprise. En effet, sur une centaine d'équipements personnels connectés au réseau d'une entreprise, on estime statistiquement qu'au minimum dix d'entre eux sont compromis par un code malveillant générique (sans parler d'attaque ciblée)" écrit l'ANSSI. L'organisme va jusqu'à recommander "la désactivation des ports USB" pour empêcher l'utilisation de clés potentiellement contaminées.

Les entreprises sous pression

Mais la pression des salariés est trop forte. D'après une étude de l'observatoire de la transformation des entreprises, éditée par le cabinet Solucom, le premier motif qui pousse les entreprises à mettre en place des projets BYOD est la forte demande des collaborateurs (à 31%). En deuxième position, 23% des entreprises sondées ont agi afin de mieux maîtriser les usages personnels existants.

Pour David Remaud, responsable de l'offre sécurité chez Spie Communications, les entreprises vont réagir différemment face au BYOD. "Certaines vont s'opposer à toute forme d'ouverture de leur système informatique sur des matériels extérieurs. Elles vont alors imposer une charte d'usages très restrictive. Le risque est que des salariés tentent de contourner les verrous et exposent davantage l'entreprise aux risques". "Les entreprises les plus sensibles à leur sécurité informatique vont mettre en place une stratégie de COPE (Corporate Owned Personnally Enabled, soit la personnalisation autorisée d'un matériel appartenant à l'entreprise, ndlr) : il s'agit d'offrir aux collaborateurs des smartphones, tablettes ou ordinateurs portables qui seront exclusivement équipés de logiciels agréés par l'entreprise mais qui peuvent être utilisés à titre privé". "Cette option coûteuse sera choisie par des entreprises en situation de renouvellement de leur parc informatique", précise David Remaud.

La nature de l'activité d'une entreprise va également déterminer sa politique informatique. Les entreprises dites stratégiques ou vitales (Défense, nucléaire, opérateurs d'infrastructure) rendent des comptes à l'ANSSI en matière de sécurité informatique. Leur politique informatique repose donc sur des usages externes extrêmement restrictifs et encadrés.

Faire confiance aux salariés?

Chez Devoteam, pas question toutefois d'entrer dans la paranoïa... "Notre démarche aujourd'hui est de compter davantage sur la sensibilisation des collaborateurs avec une charte d'usages, plutôt que de tout verrouiller" explique Christophe Merckens, le DSI. "Nous sommes dans un monde de plus en plus collaboratif, c'est à nous, la DSI, de prendre en compte cette composante pour qu'elle s'intègre bien dans l'environnement informatique de l'entreprise" ajoute-t-il.

Altran fait également le pari de la responsabilisation des salariés. "Nous consacrons beaucoup de temps à la formation des collaborateurs à travers des séances de e-learning", explique François Charpe, directeur des systèmes d'information du groupe Altran. Pour François Charpe, les salariés doivent acquérir des réflexes de base comme installer un anti-virus. "Ne pas avoir d'anti-virus sur un PC paraît aberrant alors que cela ne choque personne pour les terminaux de type Android ou iPhone, ces derniers étant tout aussi vulnérables" constate-t-il.

Mais, le groupe de conseil en innovation et ingénierie ne s'interdit pas d'être très vigilant quant aux usages. "Il est impératif pour nous de vérifier que les terminaux utilisés par nos collaborateurs soient sains" précise François Charpe.

En somme, les entreprises sont à la recherche d'un équilibre entre le souci de sécurité informatique et l'ouverture des applications pour améliorer la mobilité des salariés, leur réactivité et leur productivité. "Le corollaire de cette ouverture, c'est l'assimilation de bonnes pratiques" tranche François Charpe.

>> Cyber-guerre : comment la France se protège