Le BYOD, qu’est-ce que c’est exactement ?
Le BYOD ou « Bring Your Own Device » (« Apportez Votre Équipement personnel de Communication », AVEC, en français) est une pratique qui fait référence à l’utilisation d’appareils informatiques personnels (tels que des smartphones, des tablettes ou des ordinateurs portables) dans un cadre professionnel. Ainsi, à défaut d’un équipement informatique professionnel, un salarié peut utiliser son ordinateur, sa tablette ou son smartphone pour se connecter au réseau de l’entreprise et effectuer ses tâches professionnelles.
Pour y voir plus clair, nous avons préparé une petite fiche récapitulative des intérêts et des risques du BYOD.
Les intérêts du BYOD
La pratique du BYOD est aujourd’hui plutôt répandue dans la sphère professionnelle. Ses avantages sont les suivants :
- Augmentation de la productivité des employés : les employés utilisent des appareils qu’ils connaissent bien et qui sont adaptés à leurs besoins, ce qui peut les aider à travailler de manière plus efficace.
- Économies pour l’entreprise : les entreprises n’ont pas besoin d’acheter et de gérer des appareils pour chaque employé, ce qui réduit évidemment les coûts.
- Flexibilité : les employés peuvent travailler à distance (télétravail, coworking) ou en déplacement dans le cas où les appareils professionnels sont des postes fixes ; il n’est pas rare pour certaines personnes de rentrer chez elles et de continuer le travail du jour sur l’ordinateur personnel.
- Attraction et rétention des employés : les employés peuvent apprécier la liberté d’utiliser le matériel de leur souhait
Les risques du BYOD
Si cette pratique présente des avantages, elle expose à plusieurs risques :
- Sécurité : en règle générale, les postes de travail personnels sont bien plus vulnérables aux attaques informatiques que les postes de travail professionnels. En utilisant son propre poste de travail, l’utilisateur fait non seulement courir un risque aux données de l’entreprise qui y sont stockées, mais aussi à toute l’entreprise dans le cas où il se connecterait au réseau de l’entreprise physiquement (via la connexion internet filaire ou sans fil de l’entreprise) ou à distance (via un VPN) ; il deviendrait alors une porte d’entrée privilégiée sur le réseau.
- Premièrement, les pratiques numériques personnelles sont souvent plus à risque que les pratiques professionnelles : visite de forums, sites, réseaux sociaux divers ; utilisation de services comme le streaming de musique ou de vidéos ; téléchargement de fichiers plus variés (films, pièces jointes envoyées par des amis, applications) ; utilisation d’un plus grand nombre de logiciels, pas toujours légitimes (versions trafiquées de jeux vidéo, logiciels de photos…). Aucune de ces pratiques n’est recommandée en entreprise, car elles augmentent le risque de télécharger par mégarde un virus, et ce, sans que les activités en question ne soient pertinentes dans le cadre du travail. En utilisant le même poste de travail pour les activités professionnelles et personnelles, l’utilisateur reporte donc le risque pris personnellement sur les actifs de l’entreprise.
- De plus, les appareils personnels ne sont pas aussi sécurisés que les appareils professionnels. En effet, l’entreprise doit mettre en place une politique de sécurité unifiée et un pan entier de cette politique repose sur le contrôle des postes de travail. Mises à jour, mots de passe de session, anti-virus, pare-feu sont autant d’outils ou de mesures de sécurité que l’entreprise met en place sur ses postes professionnels et qui réduisent les risques d’attaque. En utilisant son propre appareil, l’utilisateur se prive de ces mesures de sécurité, et il devient compliqué pour l’entreprise de contrôler le niveau de sécurité de l’ordinateur personnel et de vérifier qu’il est cohérent avec la politique interne de l’entreprise.
- Gestion des données : il est presque impossible pour l’entreprise de gérer les données stockées sur les appareils personnels des employés. Une fois sur un ordinateur personnel, les données sont factuellement hors du réseau de l’entreprise. L’employé peut ensuite les mettre sur clef USB, les envoyer à partir d’une boite mail personnelle, les uploader sur des sites sans que l’entreprise ne soit au courant. De plus, en cas de perte ou de vol de l’appareil, l’employé n’est pas tenu de rapporter l’incident (puisqu’il s’agit d’un appareil personnel), ce qui peut engendrer de graves fuites de données pour l’entreprise.
- Conformité : les entreprises peuvent avoir des exigences contractuelles ou légales les enjoignant à protéger les données via des mesures de sécurité spécifiques. En autorisant un employé à utiliser un appareil ne respectant pas ces mesures, l’entreprise est tout simplement hors la loi.
- Support : en cas de problème avec un appareil, il sera plus compliqué pour l’entreprise de faire réparer un modèle qu’elle maitrise mal, dont elle n’est pas l’acheteuse, pour lequel elle n’a aucune garantie. Cela peut donc causer des retards et des coûts supplémentaires pour les entreprises.
Comme vous pouvez le voir, la partie « risques » de cet article est bien plus détaillée que la partie « intérêts ». Il est donc plutôt évident que nous sommes en défaveur de cette pratique ! Mais il arrive que nécessité fasse loi, et que pour des raisons économiques ou pratiques, vous ne puissiez faire autrement.
Dans ce cas, il importe de se protéger autant que possible :
- En cas d’utilisation de ressources personnelles dans le cadre professionnel, il est possible de négocier l’installation d’un logiciel appelé Mobile Device Management (MDM) sur les machines personnelles permettant de contrôler les paramètres de sécurité des appareils utilisés. Ces outils se déclinent du plus au moins invasif : sur un ordinateur, il pourra vous permettre de contrôler jusqu’au fond d’écran de l’utilisateur ; sur un smartphone, il pourra simplement consister en un « coffre-fort » sécurisé nécessitant un mot de passe spécifique pour débloquer l’accès à certaines applications.
- En cas d’accès à distance aux ressources de l’entreprise (un télétravailleur qui se connecte aux applications et aux partages de document de l’entreprise via VPN), il existe des logiciels VPN permettant de constituer des groupes de quarantaine : des utilisateurs qui, par ce que leur configuration locale n’est pas au niveau de sécurité requis, ne pourront pas accéder aux ressources de l’entreprise (mises à jour non faites, absence de mots de passe de session etc.). Ainsi, un utilisateur se connectant avec un ordinateur personnel qui ne respecte pas la stratégie de sécurité de l’entreprise ne pourra pas accéder au réseau de l’entreprise.
- Certains éditeurs de SaaS permettent une gestion fine des accès. Par exemple, Microsoft Conditionnal Acces permet de forcer certaines mesures de sécurité chez les utilisateurs souhaitant accéder aux applications de la suite O365 depuis d’autres machines que celles de l’entreprise (mots de passe forts et authentification multifacteur, par exemple).
- S’il est impossible de mettre en place ces outils, alors la signature d’une charte informatique détaillant les bonnes pratiques de sécurité et les engagements que les utilisateurs de BYOD prennent vis-à-vis de l’entreprise est un minimum syndical ! La compléter avec des outils permettant une meilleure utilisation des machines peut être une bonne idée : offrir à vos employés un gestionnaire de mots de passe, un VPN, un cache pour la caméra, un logiciel de gestion documentaire perfectionné et sécurisé, ainsi que des procédures détaillées expliquant comment travailler au mieux avec les postes de travail personnel augmentera nécessairement le niveau de maturité de vos employés sur le sujet.
Alors risqué, le BYOD ? Oui ! Et si vous ne pouvez pas faire autrement, il faudra au minimum mettre en place des mesures de sécurité supplémentaires pour assurer la sécurité de votre entreprise et de ses données.
À ne pas perdre de vue : avec la mise en œuvre du RGPD, la pratique du BYOD fait l’objet d’une surveillance accrue et oblige les employeurs à revoir toutes leurs politiques organisationnelles. Choisir de pratiquer le BYOD nécessite de mettre en place une série de bonnes pratiques pour se conformer aux nouvelles réglementations européennes en matière de protection des données personnelles. Vous ne pourrez donc plus passer à côté sous peine d’amendes salées !
Article rédigé par : Maguette Diaw, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : L’essentiel de la cybersécurité pour les employés