Regardez le monde
avec les yeux ouverts

Inscrit ou abonné ?
CONNEXION

UP', média libre
grâce à ses lecteurs
Je rejoins

rejoignez gratuitement le cercle des lecteurs de UP’

byod

Le « BYOD », une nouvelle forme de mobilité très tendance

Commencez

Le « Bring your own device » : Smartphones et tablettes personnelles, un atout, mais aussi un risque pour l’entreprise ?

Analyse effectuée par Le nouvel économiste.fr qu’UP vous fait partager.

Le « BYOD » devient la norme dans le cadre professionnel. Mais si smartphones et tablettes privés constituent autant de dépenses d’équipement en moins à charge des entreprises, ils représentent aussi des failles majeures et largement sous-estimées dans leurs dispositifs de sécurité. Quasiment jamais équipés de systèmes de protection, smartphones et tablettes sont des proies faciles pour des pirates, qui peuvent alors entrer dans l’intimité d’une société. Si des solutions techniques apparaissent, notamment les silos sécurisés, le meilleur moyen de contrôle reste encore un management incitant ses salariés à la prudence. En attendant une législation efficace pour réglementer le droit d’ingérence de l’entreprise dans ces outils de moins en moins privés.

Discret, intuitif, performant, moderne… Dans le monde de l’entreprise, le smartphone a tout pour plaire. Depuis quelques années, il fait d’ailleurs partie du quotidien de presque tous les dirigeants, cadres et salariés dont la fonction implique une certaine mobilité. Selon le cabinet d’études Markess International, 11 % de la population active française utilisait un smartphone dans le cadre de son métier en 2011, un chiffre appelé à doubler en 2013, où près d’un actif sur quatre sera ainsi connecté.

Pas facile cependant pour les utilisateurs de jongler avec deux téléphones, l’un personnel, l’autre professionnel. Beaucoup préfèrent ainsi utiliser leur propre smartphone dans le cadre de leur métier, afin de n’avoir qu’un seul appareil à gérer pour synchroniser agendas, contacts et mails. Ce phénomène, c’est le BYOD (Bring Your Own Device), littéralement « Apportez votre propre appareil ». « C’est une tendance notable et en nette expansion. Avant, l’informatique professionnelle était en avance sur l’informatique personnelle, désormais c’est presque le contraire. Les gens disposent chez eux d’outils performants, qu’ils ne veulent pas abandonner au travail », constate Thierry Karsenti, directeur technique Europe de Checkpoint Software Technologies.

Pourquoi ne pas profiter d’une lecture illimitée de UP’ ? Abonnez-vous à partir de 1.90 € par semaine.

Une étude menée par Forrester Research en 2011, aux Etats-Unis et dans plusieurs pays européens dont la France, confirme cette incursion croissante des terminaux personnels dans l’entreprise, puisqu’elle indique que 45 % des smartphones utilisés dans le cadre professionnel sont des appareils appartenant aux salariés, un chiffre qui s’élève à 70 % pour les iPad. « Certains des moins de 35 ans, ceux qu’on appelle la ‘génération Y’, n’ont pas de difficultés à ce que vie privée et vie professionnelle n’aient pas de frontières étanches. Le BYOD correspond bien aux nouvelles formes de mobilité et d’organisation du temps qu’ils affectionnent », souligne Gérôme Billois, directeur du département sécurité et gestion des risques de Solucom, cabinet de conseil en management des systèmes d’information.

Cette tendance comporte un certain nombre d’avantages pour les entreprises, en matière de réduction des coûts tout d’abord, puisqu’elles n’ont pas à équiper les salariés qui utilisent leur propre appareil. Ceux-ci gagnent également en connectivité puisqu’ils se rendent très joignables. Pouvoir contacter et faire travailler un cadre en soirée, pendant les week-ends ou ses vacances… Un réel plus pour de nombreux dirigeants. Voilà pourquoi les entreprises sont nombreuses à fermer les yeux sur le BYOD, ou plus rarement à l’encourager. Problème, le phénomène peut poser de gros problèmes en matière de sécurité des données professionnelles, qui circulent désormais plus librement que jamais sur les terminaux mobiles.

Proies faciles

Alors BYOD = danger ? Le phénomène doit en tout cas inciter à la vigilance. Les smartphones personnels utilisés dans le cadre professionnel peuvent en effet contenir des données hautement stratégiques, souvent sans que le salarié en ait pleinement conscience. Avec la synchronisation des mails, des agendas et des contacts, mais aussi le stockage de documents ou encore de photos, ce sont des noms de clients, des coordonnées bancaires ou encore des projets confidentiels qui circulent sur des terminaux insuffisamment protégés. Un iPhone personnel, une fois piraté, peut ainsi devenir une véritable bombe à retardement pour l’entreprise. Le premier danger qui guette les smartphones des salariés, c’est le vol direct ou indirect, après oubli de l’appareil dans un taxi, un restaurant.

Un type d’incident qui peut bien sûr se produire avec les appareils mobiles de l’entreprise, mais qui prend une résonance toute particulière dans le cadre du BYOD. « Lorsque vous perdez votre téléphone, l’entreprise ne le sait pas. Et aurez-vous le réflexe de la prévenir dans les plus brefs délais ? L’employeur n’a plus le contrôle, il n’a pas la main sur ces appareils et ne peut donc pas réagir en cas de perte des données », indique Frédéric Dubois, country manager France de Netgear, fabriquant de produits réseaux.

Une fois le smartphone en possession de personnes malintentionnées, le code PIN et le code de verrouillage sont de bien frêles remparts et peuvent être facilement déjoués. Début 2011, les chercheurs allemands de l’institut Fraunhofer ont démontré qu’un iPhone pouvait être débloqué en moins de six minutes, avec un équipement standard. Le piratage à distance des données professionnelles contenues dans les terminaux personnels constitue l’autre menace majeure. Les applications téléchargées, l’usage de serveurs mails grand public insuffisamment sécurisés, l’envoi et la réception de SMS, constituent en effet autant de portes ouvertes pour les cybercriminels, sans que ceux-ci n’aient physiquement besoin d’entrer en possession du téléphone.

« Avant, les choses étaient claires, les données restaient dans le cadre de l’entreprise et c’est elle qui gérait les pare-feu, les antivirus… Avec le BYOD, tout se mélange, il y a une véritable confusion des genres. Désormais, les équipements ne sont plus maîtrisés par l’employeur », alerte Thierry Karsenti. Les risques sont donc bien réels et ne doivent pas être sous-estimés. La perte de données pour l’entreprise peut en effet entraîner de sérieux désagréments en termes d’image, de réputation, et peut dans les cas les plus graves lui faire perdre un avantage concurrentiel ou encore une avance technologique… Les dirigeants, les DSI et l’ensemble des salariés concernés doivent donc être pleinement conscient de la menace que fait peser sur eux le BYOD.

Risques sous-estimés

Les iPhone, Blackberry et autres Samsung Galaxy, pour ne citer que quelques-uns des plus célèbres et des plus vendus des smartphones, se sont intégrés tellement naturellement à la vie des entreprises, et sont tellement plébiscités par les cadres et dirigeants, que les problèmes de sécurité qu’ils posent ont encore trop souvent tendance à être mal évalués. « Pour beaucoup de DSI, les risques liés aux smartphones sont pour le moment moins identifiés que ceux posés par les ordinateurs, alors que ces terminaux peuvent poser des problèmes de taille », explique Pierre Delort, président de l’ANDSI (Association nationale des directeurs des systèmes d’information) et DSI de l’Inserm.

Naturellement, le secteur d’activité et surtout la taille de l’entreprise jouent un grand rôle dans la prise en compte des menaces du BYOD. Les moyens humains et financiers dont dispose un grand groupe facilitent en effet la mise en place de solutions potentielles, tandis que les PME se trouvent beaucoup plus démunies face à ce type de problèmes. « Aujourd’hui il y a deux grandes approches. La moitié des entreprises environ laisse faire et n’engage aucune réflexion sur le sujet. L’autre adopte, à mon sens, une approche plus saine, et commence vraiment à s’emparer de la question », remarque Gérôme Billois.

Pour lutter contre la désinformation et privilégier les analyses qui décryptent l’actualité, rejoignez le cercle des lecteurs abonnés de UP’

Avec l’usage exponentiel des smartphones en général, et la croissance du BYOD en particulier, les entreprises ne pourront de toute façon pas faire éternellement l’impasse sur le phénomène. Les risques sont avérés et les pertes de données sont déjà une réalité, qu’elles interviennent suite à un vol ou à une attaque à distance, via un virus, un malware ou un cheval de Troie. Difficile de plus pour un DSI d’interdire totalement à un salarié, et encore plus à un dirigeant, de transférer un quelconque mail ou contact sur son smartphone personnel.

« Mieux vaut pour une entreprise assumer ce mélange des données personnelles et professionnelles, plutôt que de le nier. De toute façon, un BYOD qu’on pourrait qualifier de ‘sauvage’ se mettra forcément en place », ajoute Gérôme Billois. Assumer le phénomène, c’est en effet se donner les moyens d’entamer une réflexion sur les nouveaux enjeux qu’impliquent les solutions mobiles en entreprise, et surtout se donner les moyens d’y répondre. Si la marge de manœuvre des entreprises reste assez limitée en matière de BYOD, des solutions techniques et managériales existent et peuvent au moins limiter les risques.

Le management à la rescousse

Face aux risques de piratage des smartphones, la filière informatique, réseaux et systèmes d’information ne reste pas inactive, d’autant que la demande des entreprises soucieuses de sécuriser les terminaux utilisés par leurs employés devrait aller croissant. « Il est possible de créer des applis, qui forment une sorte de container, de ‘silo’ sécurisé à l’intérieur du smartphone. C’est une forme de bulle dédiée aux données professionnelles que l’on peut rendre plus ou moins étanche. L’utilisateur y accède avec un mot de passe. Grâce à ce type de solutions, le niveau de risques devient acceptable », indique Gérôme Billois.

Des solutions techniques existent donc pour limiter, ou en tout cas prévenir en partie les tentatives de hacking sur les smartphones de ses employés. En partie seulement, car l’inventivité et la détermination des cybercriminels sont bien souvent sans limite. Les critiques émises envers les fabricants – dont les terminaux et les systèmes d’exploitation, Android en tête, seraient beaucoup trop faillibles – sont légion et viennent souvent appuyer la thèse selon laquelle ces terminaux seraient de toute façon impossibles à sécuriser totalement.

« Il ne faut pas blâmer absolument tel ou tel fabricant. Un appareil avec plusieurs millions de lignes de code a de toute façon des failles. C’est une question de temps pour que les hackers finissent par percer leurs secrets. Plutôt que de lutter sur le seul aspect technique, on se rend compte que de nombreuses entreprises font le choix de développer des programmes de sensibilisation de leurs salariés à ces questions », souligne Thierry Karsenti.

Penser à éviter les mots de passe trop simples, ne pas prêter son smartphone, ne pas le laisser sans surveillance, éviter de télécharger certaines applications peu sûres, signaler immédiatement tout vol ou perte… Autant de gestes simples auxquels peuvent se plier cadres et dirigeants, et qui améliorent la protection des données de l’entreprise. La collaboration peut même parfois aller plus loin lorsque l’utilisateur accepte de confier son appareil personnel au DSI et à ses équipes, pour que celui-ci soit paramétré, que des solutions type « silos sécurisés » soient installées.

« Il peut être envisageable d’imposer au salarié, via une charte informatique de l’entreprise, l’installation d’antivirus sur son matériel, et l’établissement d’une distinction claire entre ce qui relève de sa vie privée et de sa vie professionnelle » note Murielle Cahen, avocat spécialiste du droit de l’informatique. Après la prise de conscience des dangers du BYOD, peut donc venir la phase de prévention au sein de l’entreprise, avec la mise en place de solutions techniques, et surtout managériales pour impliquer au maximum les utilisateurs. Seul bémol – et de taille –, la jurisprudence, quasi inexistante sur ces questions, qui fait peser de grandes inconnues sur la gestion de la protection des données contenues sur des terminaux personnels.

On attend la jurisprudence

La gestion du BYOD et les bonnes pratiques qui peuvent y être attachées reposent sur un accord tacite entre employeur et salariés. Certes, des chartes de bonnes pratiques peuvent être mises en place pour tenter de réguler les choses, mais face à un phénomène très récent, de nombreuses inconnues demeurent. Que risque un salarié qui perd des données de l’entreprise stockées sur son smartphone ? Comment mettre en place une enquête suite à un hacking sur un terminal non contrôlé par l’employeur ?

« Il y a encore très peu de documents sur la question et encore aucune jurisprudence. Les règlements intérieurs, les chartes informatiques et les contrats de travail dans les entreprises vont devoir évoluer », constate Murielle Cahen. La bonne volonté de l’utilisateur est donc décisive, surtout en cas de problème. Difficile, voire impossible, d’exercer une quelconque sanction en lien avec un appareil personnel. Il est en effet inenvisageable de fouiller les poches d’un salarié ou de le sommer de fournir son appareil dans le cadre par exemple, d’une enquête interne. « Le BYOD amplifie les problèmes que l’on peut rencontrer. Il faut s’adapter de manière ouverte et pragmatique, en responsabilisant au maximum les salariés. Mais il faut bien le reconnaître, il y a encore beaucoup d’inconnues sur la question », indique Pierre Delort.

La porosité croissante entre vie professionnelle et vie privée, l’usage de plus en plus massif des smartphones à la maison et au bureau, devraient exacerber encore un peu plus ces questions dans les mois et les années à venir, tandis qu’une jurisprudence ne devrait pas manquer de progressivement s’établir au fil des incidents et enquêtes liés à la fuite de données. Au-delà des problèmes de sécurité purs, les entreprises ne pourront pas faire l’impasse sur une réflexion globale au sujet du BYOD. Outre ces menaces principales, le phénomène pose en effet d’autres questions. « Il peut y avoir une problématique de discrimination par rapport aux horaires de travail. D’autre part, certaines personnes ne peuvent – ou ne souhaitent – pas travailler avec leur smartphone personnel. Cela peut créer un décalage au sein d’un service ou d’une équipe, d’autant que c’est impossible et malvenu d’imposer à quelqu’un d’utiliser un terminal personnel », constate Gérôme Billois.

La bonne gestion du BYOD se joue donc autant grâce à l’implication du DSI, que du directeur des ressources humaines. Les nouveaux outils mobiles et la façon de s’en servir chez soi et au travail représentent une formidable opportunité pour l’entreprise, qui bénéficie désormais de collaborateurs connectés en permanence et disposant d’outils extrêmement performants et faciles d’utilisation. Une ouverture technologique vers l’extérieur qui attise la convoitise des hackers et qui doit donc être soigneusement encadrée au plan humain et technique, pour ne pas devenir un véritable piège.

Smartphones : le fil à la patte du salarié

Le Centre d’analyse stratégique, qui dépend des services du Premier ministre, vient de tirer la sonnette d’alarme. Les nouveaux usages d’Internet au sein de l’entreprise auraient pour conséquence d’augmenter la charge de travail, et par conséquent le stress et la fatigue des salariés concernés. Mails envoyés à toute heure du jour et de la nuit à cause des différents fuseaux horaires, obligation de plus en plus pressante d’y répondre quasiment en temps réel… Toujours plus connectés, les cadres, puisqu’ils sont les principaux concernés, ont désormais un véritable « fil à la patte » : leur smartphone.

Que l’appareil soit fourni par l’entreprise ou appartienne au salarié importe finalement assez peu. Il est certes plus facile de laisser un appareil à usage uniquement professionnel au bureau lorsque l’on part en congés, mais dans les faits, ce type d’attitude peut être assez mal perçu. A l’extrême rigueur, éteindre l’appareil et le consulter une fois par jour semble dans ce cas-là être le moins mauvais des compromis pour concilier vie privée et vie professionnelle.

« C’est un jeu de dupes entre l’entreprise et le salarié. Il y gagne en liberté, en organisation de son emploi du temps. Cela peut par exemple justifier qu’il parte plus tôt le vendredi, mais en parallèle il doit rester joignable, et ça augmente bien souvent sa charge de travail », remarque Thierry Karsenti, directeur technique Europe Checkpoint Software Technologies. Au-delà de ces problèmes de gestion du temps et du stress, l’usage du smartphone en entreprise peut également poser la question du respect de la vie privée et des données personnelles du salarié. Avec les systèmes de géolocalisation de ce type d’appareils, suivre un collaborateur à la trace est possible.

« La protection de la vie privée est contrôlée par la Cnil, qui intervient dès qu’un employeur souhaite organiser une collecte de données informatiques contrôlant l’activité de ses salariés (vidéosurveillance, cyber-surveillance, applications biométriques…). Elle veille aux principes de finalité, de proportionnalité, de pertinence, de sécurité et de confidentialité des données, et à la durée limitée de conservation de ces informations. Tout cela peut s’appliquer de la même manière aux smartphones », détaille Murielle Cahen, avocat spécialiste du droit de l’informatique.

D’une entreprise à l’autre, le fil à la patte peut donc être plus ou moins serré, dans les limites de ce que permet la loi. Charge aux dirigeants, responsables RH et DSI de faire les bons choix pour exploiter les incroyables potentialités des smartphones, sans effets contre-productifs sur les salariés. En effet, selon une enquête d’Opinion Way d’octobre 2010, 66 % des cadres estimaient qu’ils ne bénéficiaient pas d’un « droit à la déconnexion »… (Source : Claire Ageneau – Lenouveleconomiste.fr – 12 avril 2012).

{jacomment on}

S’abonner
Notifier de

0 Commentaires
Les plus anciens
Les plus récents Le plus de votes
Inline Feedbacks
View all comments
cloud
Article précédent

Les cinq principales erreurs à ne pas commettre lorsqu'on adopte le Cloud

mainjapon
Prochain article

La carte bancaire du futur : la main !

Derniers articles de Archives Repérages

REJOIGNEZ

LE CERCLE DE CEUX QUI VEULENT COMPRENDRE NOTRE EPOQUE DE TRANSITION, REGARDER LE MONDE AVEC LES YEUX OUVERTS. ET AGIR.
logo-UP-menu150

Déjà inscrit ? Je me connecte

Inscrivez-vous et lisez trois articles gratuitement. Recevez aussi notre newsletter pour être informé des dernières infos publiées.

→ Inscrivez-vous gratuitement pour poursuivre votre lecture.

REJOIGNEZ

LE CERCLE DE CEUX QUI VEULENT COMPRENDRE NOTRE EPOQUE DE TRANSITION, REGARDER LE MONDE AVEC LES YEUX OUVERTS ET AGIR

Vous avez bénéficié de 3 articles gratuits pour découvrir UP’.

Profitez d'un accès illimité à nos contenus !

A partir de 1.70 € par semaine seulement.

Profitez d'un accès illimité à nos contenus !

A partir de $1.99 par semaine seulement.
Partagez
Tweetez
Partagez
WhatsApp
Email
Print