Mon smartphone perso au bureau ? Le dilemme du "BYOD" pour les entreprises

 |  | 1025 mots
Lecture 5 min.
Copyright Reuters
Copyright Reuters (Crédits : © 2010 Thomson Reuters)
A l'heure où l'actualité bruisse d'affaires de cyber-attaques, la question de la sécurité informatique des entreprises est devenue un sujet sensible. La pratique du BYOD qui permet aux collaborateurs de connecter leurs appareils personnels au système informatique de leur entreprise, est au coeur de ces débats. L'Agence nationale de sécurité des systèmes informatiques a tranché, en interdisant cette pratique. Face à ce phénomène, les entreprises hésitent entre l'interdiction et l'accompagnement des collaborateurs, qui n'est pas sans avantage pour elles...

Nouvelle mode pour entreprise connectée ou innovation managériale majeure ? Le BYOD (Bring your own device, apportez votre propre appareil) a au moins le mérite de faire couler beaucoup d'encre. On ne compte plus les études qui ont été réalisées sur ce phénomène qui consiste pour un collaborateur à utiliser son propre smartphone, sa tablette numérique, ou son ordinateur à des fins professionnelles. Ce phénomène a été autorisé par l'ouverture des systèmes d'informations des entreprises sur internet. Pratique pour consulter ses courriels de son domicile, ou pour terminer un travail après avoir récupéré ses enfants à l'école, cette pratique a été accueillie avec bienveillance par les entreprises : télétravail, disponibilité accrue des collaborateurs, accessibilité de l'information en rendez-vous client, confort d'utilisation de l'outil informatique...

D'après Christophe Merckens, Directeur des Systèmes d'Information (DSI) du Groupe Devoteam, spécialisé dans le conseil en infrastructure système, ce phénomène s'est "accéléré avec une consumérisation accrue et le développement du cloud (l'informatique à distance)". La multiplication des applications bureautiques sur smartphone simples d'utilisation ont rendu les cadres accrocs à leurs propres outils informatiques. Mais il faut dire que pour les entreprises, en plus des gains de productivité dégagés par cette pratique, les économies en termes d'investissements ont été substantiels, en évitant de fournir un onéreux smartphone à chaque collaborateur. 

Mises devant le fait accompli, qu'elles ont d'une certaine manière encouragé, les entreprises ont découvert sur le tard le risque de sécurité que pouvait constituer le BYOD. "Au départ, nous avons fermé les yeux face à ce qui était un phénomène limité à quelques uns. Puis, on s'est rapidement rendu compte qu'il fallait  traiter ce sujet plutôt que de le mettre sous le tapis", explique Christophe Merckens.

L'ANSSI, gardien du temple

Les entreprises ne sont pas toutes favorables au BYOD. Certaines, notamment les banques, craignent que leur système informatique se transforme en véritable passoire à virus ou, pis, favorise des intrusions malveillantes de types cyber-espions. Et ce n'est pas l'Agence nationale de sécurité des systèmes d'information (ANSSI) qui va les contredire. Pour cette agence gouvernementale, le risque est d'exposer les entreprises à des actes de malveillances informatiques en multipliant les points d'accès au système interne. D'ailleurs, la règle 5 du guide d'hygiène informatique publié par l'ANSSI "interdit la connexion d'équipements personnels au système d'information". "Déroger (à cette règle, ndlr) facilite grandement le travail d'un attaquant en fragilisant le réseau de l'entreprise. En effet, sur une centaine d'équipements personnels connectés au réseau d'une entreprise, on estime statistiquement qu'au minimum dix d'entre eux sont compromis par un code malveillant générique (sans parler d'attaque ciblée)" écrit l'ANSSI. L'organisme va jusqu'à recommander "la désactivation des ports USB" pour empêcher l'utilisation de clés potentiellement contaminées.

Les entreprises sous pression

Mais la pression des salariés est trop forte. D'après une étude de l'observatoire de la transformation des entreprises, éditée par le cabinet Solucom, le premier motif qui pousse les entreprises à mettre en place des projets BYOD est la forte demande des collaborateurs (à 31%). En deuxième position, 23% des entreprises sondées ont agi afin de mieux maîtriser les usages personnels existants.

Pour David Remaud, responsable de l'offre sécurité chez Spie Communications, les entreprises vont réagir différemment face au BYOD. "Certaines vont s'opposer à toute forme d'ouverture de leur système informatique sur des matériels extérieurs. Elles vont alors imposer une charte d'usages très restrictive. Le risque est que des salariés tentent de contourner les verrous et exposent davantage l'entreprise aux risques". "Les entreprises les plus sensibles à leur sécurité informatique vont mettre en place une stratégie de COPE (Corporate Owned Personnally Enabled, soit la personnalisation autorisée d'un matériel appartenant à l'entreprise, ndlr) : il s'agit d'offrir aux collaborateurs des smartphones, tablettes ou ordinateurs portables qui seront exclusivement équipés de logiciels agréés par l'entreprise mais qui peuvent être utilisés à titre privé". "Cette option coûteuse sera choisie par des entreprises en situation de renouvellement de leur parc informatique", précise David Remaud.

La nature de l'activité d'une entreprise va également déterminer sa politique informatique. Les entreprises dites stratégiques ou vitales (Défense, nucléaire, opérateurs d'infrastructure) rendent des comptes à l'ANSSI en matière de sécurité informatique. Leur politique informatique repose donc sur des usages externes extrêmement restrictifs et encadrés.

Faire confiance aux salariés?

Chez Devoteam, pas question toutefois d'entrer dans la paranoïa... "Notre démarche aujourd'hui est de compter davantage sur la sensibilisation des collaborateurs avec une charte d'usages, plutôt que de tout verrouiller" explique Christophe Merckens, le DSI. "Nous sommes dans un monde de plus en plus collaboratif, c'est à nous, la DSI, de prendre en compte cette composante pour qu'elle s'intègre bien dans l'environnement informatique de l'entreprise" ajoute-t-il.

Altran fait également le pari de la responsabilisation des salariés. "Nous consacrons beaucoup de temps à la formation des collaborateurs à travers des séances de e-learning", explique François Charpe, directeur des systèmes d'information du groupe Altran. Pour François Charpe, les salariés doivent acquérir des réflexes de base comme installer un anti-virus. "Ne pas avoir d'anti-virus sur un PC paraît aberrant alors que cela ne choque personne pour les terminaux de type Android ou iPhone, ces derniers étant tout aussi vulnérables" constate-t-il.

Mais, le groupe de conseil en innovation et ingénierie ne s'interdit pas d'être très vigilant quant aux usages. "Il est impératif pour nous de vérifier que les terminaux utilisés par nos collaborateurs soient sains" précise François Charpe.

En somme, les entreprises sont à la recherche d'un équilibre entre le souci de sécurité informatique et l'ouverture des applications pour améliorer la mobilité des salariés, leur réactivité et leur productivité. "Le corollaire de cette ouverture, c'est l'assimilation de bonnes pratiques" tranche François Charpe.

>> Cyber-guerre : comment la France se protège

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 15/03/2013 à 14:55 :
Dans la plupart des cas, il faudrait que les organisation fournissent des outils de travail numériques adaptés. Autour de moi, je vois de nombreux cadres qu'on oblige à travailler en situation de mobilité mais les SI ne sont pas prêts et les personnels pas équipés. Les DropBox-like et les smarphone perso sont la réponse concrète à un exigence concrète. Il faut que les directions assument leurs injonctions contradictoires et que les DSI arrêtent de s'imaginer qu'elles sont la science infuse en matière de besoins utilisateurs.
a écrit le 14/03/2013 à 17:21 :
BYOD... qu'en pense l'URSAFF pour ses cotisations...???
a écrit le 13/03/2013 à 18:02 :
J'ai un Nokia Lumia perso que j'aime beaucoup et un iphone pro. Pour éviter de me trimbaler les deux téléphone permanence j'ai activé la fonction "transfert d'appel" sur mon iphone vers mon tél perso. Le problème est le responsable informatique n'y voit que du feu. Je peux ainsi laisser mon tél pro au bureau et consulter mes mails pro depuis mon perso.
Tout ça pour dire qu'il faudrait que les employeurs laissent tomber l'achat de téléphones pro pour laisser les employer choisir eux même leur smartphone préféré.
Réponse de le 14/03/2013 à 22:48 :
Et lorsque votre téléphone perso tombera en panne, vous direz à votre patron de vous payer un téléphone pro. Et si on vous enlève votre téléphone pro qui paiera vos communications privées? Bref, le BYOD est une fausse solution qui ne fait que déplacer le problème et en créé de nouveaux. En revanche, le patron ou ses représentants par délégation feraient bien de consulter les salariés concernant leurs besoins spécifiques en téléphonie mobile afin d'établir un cahier des charges adapté à leur satisfaction, optimisant ainsi leurs performances par un usage simplifié.
Réponse de le 10/06/2013 à 0:52 :
Mouais....un groupe de travail pour pas grand chose. Le plus simple serait d'indemniser par une "subvention" mensuelle les salariés plutôt que de leur imposer un téléphone professionnel. Moins de coup pour l'employeur et plus de souplesse pour l'employé qui n'a pas à avoir deux téléphones en même temps. Je comprends David, c'est encombrant et un peu bête...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :