Avez-vous déjà entendu parler du BYOD ? Non ce n’est pas une injure c’est à mon sens plutôt une tendance liée à l’hyper connectivité des utilisateurs. Toutes les entreprises fournissent-elles un iPhone à leurs employés ? Ouh la, nous n’y sommes pas encore. En revanche il s’agit bien d’une demande forte des utilisateurs de disposer de leur propre matériel tout en utilisant les ressources de l’entreprise. Sophos est intervenu au CoTer Club avant l’été et je vous assure que le monde des collectivités locales profite du même engouement !
Définition
BYOD est un acronyme l’anglais, comme d’habitude, “Bring Your Own Devide“. Littéralement “apportez votre propre matériel”, pour traduire le fait que les utilisateurs, les employés des entreprises utilisent leur propre matériel, smart phones, tablettes, PC portables, etc, à l’intérieur de l’entreprise, tout en jouissant des ressources, réseaux, wi-fi, imprimantes de l’entreprise. Parfois cela est possible, mais souvent les Responsables Informatiques ne sont pas capables “d’offrir” ce type de services aux employés.
Deux points de vue
La tendance BYOD présente des droits et des devoirs pour les deux parties, j’entends par là les employés d’une part et les Responsables IT d’autre part. Ce billet a clairement pour vocation de montrer aux deux parties qu’elles sont chacune partagée entre contrainte et nécessité.
Je suis Responsables IT
Je ne peux pas laisser les employés se connecter au réseau avec leur tablette !
En effet laisser des matériels non contrôlés se connecter au réseau peut comporter deux risques majeurs et il en existe d’autres :
- Si le matériel de l’employé comporte des malwares, c’est une source d’infection dont nous n’avons pas besoin.
- Si les utilisateurs copient des données de l’entreprise sur leur device personnel l’entreprise est particulièrement exposée à des fuites de données. Bien souvent les utilisateurs de ce type de service vont se servir des données pour travailler et n’auront pas d’intentions malveillantes, mais que ce passe-t-il en cas de perte ou vol du matériel ? Les données de l’entreprise sont-elles en sécurité ?
- Risque juridique ! Si le service informatique wipe votre smartphone et efface vos données personnelles, que se passe-t-il ? Vous déposez plainte contre votre employeur ? La partie juridique implique souvent de passer du temps sur les projets BYOD, il faut également impliquer les ressources humaines et ces aspects administratifs sont souvent longs et fastidieux.
Je suis utilisateur
“Mais Monsieur le Directeur Informatique, l’entreprise ne veut pas me payer un iPad et j’en ai besoin pour travailler en déplacement !”
Les demandes des employés sont toujours motivées par de la bonne volonté et ils ne savent pas toujours conscience des risques liés à leurs nouveaux besoins. Les raisons invoquées sont souvent les mêmes :
- Je veux travailler à la maison ou en déplacement.
- Je ne veux pas transporter ce gros PC portable en déplacement et une présentation à un client est plus “tendance” sur un iPad que sur un PC qui met 20 minutes à démarrer.
- C’est tout bénef’ pour la boîte, je vais travailler plus !
Les solutions techniques
Bien sûr il existe des solutions techniques. Le NAC par exemple, (Network Access Control). En pratiquant le contrôle d’accès au réseau au niveau réseau ou au niveau des postes de travail, vous pouvez refuser ou restreindre l’accès à certaines ressources. Vous pouvez aussi pratiquer le contrôle de conformité, si le poste extérieur dispose d’un niveau de sécurité acceptable, la Direction Informatique se réserve le droit de lui donner une adresse IP, ou pas, par exemple.
Il existe également des solutions pour permettre l’accès aux mails des employés sur leur propre tablette ou smartphone. Me concernant par exemple, je dispose de mes mails Sophos sur mon iPad personnel. Je vous assure que c’est un grand confort d’avoir ses mails personnels et professionnels, ses notes et ses tâches dans un même appareil. Si vous êtes pratiquant de la GTD vous savez de quoi je parle :-) A ce moment-là il s’agit d’une solution Mobile Control, j’ai écrit à ce sujet la semaine dernière (voir l’article).
Les solutions éducatives
Les Responsables informatiques ont toujours intérêt à éduquer, sensibiliser les consommateurs d’IT. En ce qui concerne la sécurité en temps que telle, mais aussi dans les bonnes pratiques et les bons comportements à adopter face à telle ou telle situation.
Dans ma carrière j’ai été Responsable Informatique, Patron de Service Clients, Commercial et je sais à quel point cette tâche éducative peut s’avérer difficile. C’est un travail qui s’exerce sur le long terme, sans discontinuer, il faut changer de ton, ludique, théorique, pratique. La méthode autoritaire ne fonctionne pas, c’est comme avec les enfants, soyons dans la persuasion et non pas dans la coercition.
Je me permets de vous rappeler que lorsque votre entreprise achète des licences Sophos Endpoint pour protéger les postes de travail, vous avez le droit à autant de licences personnelles.
Charte IT
C’est le moment de vous rappeler, à vous Dirigeants d’entreprises, DSI, RSSI, DI, que la rédaction et la signature d’une charte IT sont incontournables. L’entreprise informe, contractuellement, les employés de leurs droits et devoirs avec le système d’information auquel on leur confie un accès.
Quand vous prenez l’avion pour les Etats-Unis, vous remplissez un questionnaire :
- Avez-vous déjà été impliqué dans des activités terroristes ?
- Avez-vous déjà trafiqué de la drogue ?
- Avez-vous déjà commis un crime ?
Des questions aussi bêtes que ça vous me direz ! Mais finalement ça va mieux en le disant. Vous entrez sur le sol américain, vous passez un contrat avec les Etats-Unis d’Amérique ! C’est pareil avec le réseau de l’entreprise. Il y a plein de choses comme ça que l’on se passerait bien d’entendre, signer ou valider mais ça va toujours mieux en le disant !
En cas de problème, les Dirigeants de l’entreprise disposent d’un document signé de l’employé sur lequel il s’engage à respecter un certain nombre de règles.
Conclusions
- Accepter le BYOD nécessite un peu de travail en amont de la part des Dirigeants d’entreprise et DSI.
- Vous devez discuter en interne afin de définir des compromis, sécurité/flexibilité, espaces pro/perso, l’équilibre doit se trouver.
- 96% des télétravailleurs ne veulent plus reculer et il s’agit d’une grande valeur pour l’Entreprise, plus de production, à la demande des employés eux-mêmes en général.
- Des solutions existent et les budgets à prévoir ne sont pas nécessairement pharaoniques, renseignez-vous.
Vous avez la responsabilité de l’IT dans votre société. Si votre patron et les employés vous réclament l’accès à leurs mails sur leur iPad, dites-vous que vous avez les moyens de créer de la valeur pour votre Entreprise !
Pour le prochain podcast, je vous emmène dans le monde des réseaux sociaux et notamment, faut-il avoir peur de Facebook ?
La presse en parle
Les entreprises peuvent dire “oui” au BYOD avec Sophos Mobile Control 2.5
Sophos présente une solution Cloud avec une version hébergée de la solution de gestion des mobiles
Sophos offre une application antivirus gratuite aux utilisateurs d’Android
[…] aux réseaux sociaux et à Internet. Cette utilisation, associée au phénomène grandissant du BYOD, fait des appareils Android une cible intéressante pour les cybercriminels et programmes […]
Vol de smartphone – Comment protéger vos données gratuitement ?
[…] Control inclut la gestion des appareils mobiles dans un milieu professionnel avec activation du BYOD (« Bring Your Own Device to work » ou l’utilisation […]
De quoi les employés ont vraiment besoin au travail ?
[…] tendance est appelée « Bring Your Own Device», ou BYOD, dans des environnements de travail. Cela signifie non seulement avoir accès au […]
Blog de Jérôme Vosgien De quoi les employés ont-ils vraiment besoin au travail ?
[…] tendance est appelée « Bring Your Own Device», ou BYOD, dans des environnements de travail. Cela signifie non seulement avoir accès au […]
Suis-je en sécurité sur Android ?
[…] importante quand vous gérez des utilisateurs et leur sécurité sur Android. Les contraintes du BYOD impliquent que vous preniez le sujet au […]