Retour Archives

La tendance « Bring your own device …: Aspects sécuritaires, juridiques et financiers

 

La tendance « Bring your own device »: Aspects sécuritaires, juridiques et financiers

29 juin 2012. Le « Bring Your Own Device » (BYOD) est aujourd’hui de plus en plus utilisé pour un accès complet au SI, bouleversant parfois les infrastructures IT qui doivent s’adapter (nouveaux terminaux et volume de données important) mais surtout les relations entre l’entreprise et ses salariés qui doivent être encadrées juridiquement. Décryptage avec Sherley Brothier – Directeur R&D de Keynectis.

S’adapter au BYOD est devenu inévitable pour les entreprises :

La tendance « Bring Your Own Device » est aujourd’hui un enjeu technique, économique mais également social reconnu par tous. En effet, elle ne se réduit plus seulement à l’accès à la messagerie d’entreprise ou à l’agenda partagé mais permet un accès complet au système d’information qui doit évoluer pour que les applications exploitent correctement les capacités de ces nouveaux terminaux.

Pourtant, la prise en compte du BYOD dans le SI n’est pas aussi évidente que cela peut y paraître, notamment parce que l’équipement est acheté par le salarié lui-même (sans financement de l’entreprise). En effet, dans ce contexte, l’utilisateur devra obligatoirement donner son accord pour changer un paramétrage, pour installer des logiciels de sécurité, pour disposer de la fonctionnalité d’effacement à distance ou encore pour activer les fonctions de géolocalisation. Dans ce modèle, ce n’est plus l’entreprise qui décide mais bien l’utilisateur… Les DSI et RSSI vont ainsi devoir prendre en compte les besoins ainsi que les attentes personnelles des utilisateurs au sein même de l’environnement d’entreprise.

Le BYOD : des conséquences juridiques sous-estimées :

Pour la plupart des entreprises la tendance BYOD est prise en compte sous un angle exclusivement technique alors que le phénomène pose également des questions juridiques et sociales. On notera, par exemple, que rien n’interdit un salarié de travailler autant qu’il le désire sur son temps libre, mais il lui est par contre strictement interdit de s’occuper sans limite de tâches personnelles sur son temps de travail.

Il existe également d’autres inquiétudes comme, par exemple, l’accès internet de terminaux personnels à partir du réseau de l’entreprise et par conséquent sous la responsabilité de cette dernière. Inversement, l’employé peut craindre pour sa vie privée. La question se pose donc de savoir s’il faut établir une limite entre usage professionnel et usage personnel et si l’entreprise a le droit de suivre ses employés, d’assurer la protection de ses données personnelles, ou encore de dégager sa responsabilité en cas d’usage illicite. Cela pourrait nécessiter une modification du contrat de travail des salariés concernés voire du règlement intérieur.

A minima, le BYOD doit être encadré par une évolution de la charte informatique qui devrait peut-être devenir une charte du numérique et en profiter pour adresser l’usage des réseaux sociaux et, plus globalement, le comportement des salariés sur le Net lorsqu’ils parlent de leur vie professionnelle.

Le BYOD, une aubaine financière pour les entreprises ?

Du point de vue financier, le BYOD apparait comme très intéressant pour les entreprises car l’utilisateur assure le financement du terminal ou de l’ordinateur ainsi que sa maintenance. Toutefois il ne faut pas négliger certains coûts additionnels liés à l’augmentation importante du trafic de données télécom (et donc des abonnements Data) ou encore liés à l’impact sur le SI.

En effet, accéder au SI avec sa tablette préférée nécessite généralement des montées de versions des applicatifs métiers et de la messagerie collaborative, voire même des réseaux (WIFI sécurisé par exemple).

Deux modèles financiers sont fréquemment constatés. Le premier où l’entreprise dédommage l’utilisateur, en considérant qu’il apporte le terminal. Le second où l’utilisateur participe aux frais télécom considérant qu’il l’utilisera partiellement à des fins professionnelles et partiellement pour un usage personnel. Une troisième voie commence également à émerger où les entreprises achètent le Smartphone de l’employé qui en fera, officiellement, un usage mixte, ce qui permettra d’en faciliter le contrôle.

Le BYOD doit être synonyme de sécurisation des données :

Une étude récente (1) démontre que les employés qui utilisent un terminal personnel à la fois pour leur travail et leur vie personnelle travaillent annuellement 240 heures de plus que les autres salariés. La tendance BYOD est donc séduisante pour les entreprises. C’est peut-être la raison pour laquelle, on entre dans une nouvelle phase où les entreprises (principalement les DSI et RSSI) acceptent officiellement ces constats liés au BYOD et où l’entreprise se met à proposer des solutions innovantes plutôt que de les subir. Il faut dire que tout comme la lutte contre l’entrée de l’iPhone en entreprise, ce combat n’est pas équilibré tant la pression des usagers est forte.

En reprenant petit à petit le contrôle de cette situation, en l’encadrant socialement et juridiquement, l’entreprise en profite pour limiter les risques de fuite de données en sécurisant les terminaux au moyen de solutions d’identification, d’authentification forte, de chiffrement de données ou de contrôle d’usage et de flux. Dans le même temps, tout comme dans les années 1990-2000 où les entreprises généralisaient des solutions de gestions de parc micro-informatique et de télédistribution de logiciels et de configuration, on voit aujourd’hui se généraliser des solutions de gestion de flottes de mobiles (Mobile Device Management) capable de gérer des terminaux hétérogènes.

En résumé, du point de vue de la DSI trois points doivent être particulièrement bien adressés pour réussir son projet BYOD : l’accès au SI depuis le terminal (authentification forte, contrôle d’accès, chiffrement, contrôle de flux), la sécurité du terminal (authentification, chiffrement des données locales), la gestion des flottes de terminaux (solutions de Mobile Device Management ou Mobile Device Security).

Avec l’arrivée prochaine de la 4G ou du LTE (Long Term Evolution), le phénomène BYOD ne devrait que s’amplifier avec de nouveaux objets qui seront eux aussi connectés. Il devient par conséquent urgent, pour les entreprises, de proposer des solutions sécurisées à leurs employés et ainsi éviter de subir des situations qui pourraient devenir complexes à gérer en cas de litiges.

A propos de Keynectis : Keynectis est un éditeur de logiciels et de services de confiance en ligne, spécialisé dans le domaine de la protection des échanges numériques. Pionnier du SaaS (Software as a Service) et bénéficiant de plus de 12 ans d’activité, Keynectis protège les identités numériques et assure l’intégrité des documents et des communications numériques, au profit des gouvernements, industriels, institutions financières et in fine au bénéfice des usagers dans un monde connecté. Avec plus de 100 millions d’identités numériques protégées, Keynectis est le leader européen des technologies et services de confiance. www.keynectis.com  

Contacts presse :
– Oxygen –  Tatiana Graffeuil / Angélique de Barros – Tel; 01 41 11 37 89 – tgraffeuil@oxygen-rp.com  
– Keynectis – Caroline Drobinski – Tel. 01 55 64 22 85 – caroline.drobinski@keynectis.com