Bring Your Own Device ou « BYOD » : un phénomène qui prend de l'importance... quel impact sur la Direction des SI ?
La tendance est à l'utilisation de son propre terminal (smartphone, tablette et même PC portable) dans un contexte professionnel. Quels sont les impacts pour la Direction des Systèmes d'Information et quels sont les enjeux pour l'entreprise ?
La mobilité est au cœur de la consumérisation de l'informatique. L'année 2010 a confirmé l'explosion des Smartphones (101 millions, 87% d'augmentation ) avec, pour la première fois au 4ème trimestre, un dépassement des ventes de PC. Le même phénomène est observé pour les tablettes (11 millions en 2010).
Les utilisateurs échangent et accèdent à l'information partout, tout le temps quelque soit l'appareil Smartphone ou Tablette. Nous parlons d'ubiquité. Le phénomène se constate notamment avec les mails, twitter, facebook, les sites internet ... Pourquoi ne pas profiter de cela dans un contexte professionnel, accéder aux mails, aux documents, aux derniers rapports à partir de son appareil personnel (auquel l'utilisateur est habitué, simple d'utilisation et qui en a les capacités)? Pourquoi ne pas bénéficier des nouvelles fonctionnalités offertes par ces terminaux : fonction multimédia, réseaux sociaux, ...?
1. Le phénomène et son étendue
IBM et IDC ont dirigé, en décembre 2011, une enquête[1] sur l'utilisation des terminaux personnels dans un cadre professionnel. L'étude a été menée auprès de 206 utilisateurs et 100 responsables informatiques de grandes sociétés françaises.
Les points marquants de cette études[2] sont que :
* 17% des entreprises vont accroitre le nombre de professionnels équipés en Smartphones et 18% celui en tablettes d’ici à 6 mois,
* 67% des collaborateurs interrogés font l’usage de leurs Smartphones personnels dans le cadre leur travail et ce à hauteur de 27% du temps d'utilisation de l'équipement,
* les salariés profitent de ces terminaux mobiles pour accéder principalement à la messagerie électronique et à l'agenda : 78% accédant à la messagerie et 66% à l'agenda via leur Smartphone et respectivement 72% et 47% via leur tablette.
Dans le cadre de cette étude[3], 70% des Directeurs des Systèmes d'Information considèrent que c'est un moyen d'améliorer les interactions avec le client et pour 67% que cela contribue à développer l'image innovante de l'entreprise.
Cette tendance semble vouloir se renforcer car 74% des utilisateurs[4] souhaitent pouvoir consulter toutes les applications collaboratives de l'entreprise en situation de mobilité sur un outil unique et multifonction : messagerie, agenda, intranet et applications métier.
Actuellement aux États-Unis, l'ordinateur de bureau est pratiquement remplacé par un ou même plusieurs terminaux individuels. La France pourrait bien combler ce retard dans les années à venir. Le phénomène de BYOD est une démarche de fond. Les professionnels de plus en plus équipés d’appareils mobiles dernier cri à titre personnel souhaitent de plus en plus en faire un usage professionnel.
Selon l’infographie d’Orange Business Services basée sur une étude menée sur le sujet[5] : 60% des entreprises autorisent le BYOD
2. Les enjeux
Comme toute nouvelle tendance, le BYOD soulève des questions : techniques, et aussi plus globales notamment liées à l'organisation de l'entreprise.
Les enjeux sont techniques. Le problème le plus important soulevé par le BYOD est tout d'abord celui de la sécurité. En effet, rendre accessible le système d'information de l'entreprise aux terminaux personnels remet en cause le contrôle de l'accès à ce réseau.
Ces nouveaux usages apportés par le BYOD doivent être intégrés dans la politique de sécurité et cela à trois niveaux :
- contrôle de l'accès au réseau en termes d'authentification et de droit d'accès,
- sécurisation du terminal en lui-même, notamment en passant par le chiffrement des données et en séparant les données professionnelles et personnelles,
- gestion du parc de terminaux mobiles. De la même façon que les Directeurs des Systèmes d'Information gèrent le parc de postes de travail, il faut gérer ces nouveaux terminaux mobiles apportés par les employés eux-mêmes et leur hétérogénéité.
Cependant, toute la difficulté consiste à mettre à jour la politique de sécurité pour se prémunir de ces nouvelles menaces sans pour autant brider la flexibilité d'accès et d'usage.
Un autre des enjeux est l'évolution des infrastructures de l'entreprise, en particulier les infrastructures réseaux sans fils (WIFI) en termes de couverture et de capacité. Certains de ces terminaux mobiles, en particulier les tablettes, n'ont pour seul mode de communication que le WIFI. Le réseau sans fil doit couvrir l'ensemble du site. Par ailleurs, l'utilisation croissante des terminaux mobiles, se connectant via l'infrastructure sans fil, implique un volume croissant de données transférées, nécessitant un dimensionnement adapté de la bande passante.
L'accès aux différentes applications du système d'information de l'entreprise est également un enjeu de taille. Le phénomène de BYOD élargit le type d'appareil accédant aux informations, couplé au mode de travail collaboratif génère de nouveaux besoins en terme d'accès. Il engendre aussi de récents besoins dans le domaine de l'exploitation du parc applicatif du système d'information.
L'entreprise passe d'un fonctionnement cloisonné ou un seul équipement accédait aux différents applicatifs nécessaires, à une logique multi-terminaux accédant aux applications d'entreprise et cela en mode local ou distant. Afin de gérer cette complexité, il est indispensable pour les sociétés de repenser leur parc applicatif : applications collaboratives, métier... (ex. CRM, gestion projet, ...).
Les solutions de "webisation" ou virtualisation de l'environnement de travail ou des applications sur les différents clients sont des solutions techniques qui semblent émerger pour gérer cette complexité, en gardant la flexibilité nécessaire. Cependant elles doivent se compléter de solutions de stockage en ligne et d'une gestion du mode "déconnecté".
Au delà des enjeux techniques, le BYOD a un impact fort sur l'organisation du travail et l'accompagnement des salariés.
L'élargissement de l'environnement de travail avec des terminaux mobiles innovants, des applications qui se diversifient, des systèmes d'exploitation nouveaux, une plus fréquente évolution des applications implique que l'entreprise doit accompagner ses salariés dans l'adoption de ces nouvelles pratiques.
L'intégration des sphères professionnelle et privée nécessite également un accompagnement des entreprises. La frontière devenant de plus en plus diffuse avec l'utilisation du même appareil dans les deux cas. Il est l'unique moyen de limiter l'hyperconnectivité, source de stress. Cela implique que l'entreprise déploie des processus adaptés de formations, de support ...
Les enjeux organisationnels et juridiques sont liés, notamment pour cadrer cette séparation entre les sphères privées et professionnelles ainsi que l'usage de ces nouveaux terminaux. Les entreprises devront adapter leur charte de bon usage des moyens informatiques, en complément du règlement intérieur. Les notions d’assurance et de responsabilité de l'équipement et des données qu’il contient seront à préciser.
Le BYOD et tous les enjeux organisationnels et techniques, viennent étendre ceux du télétravail et devront également être intégrés par les entreprises.
3. Les différentes politiques appliquées
Aujourd’hui les sociétés ont principalement trois façons d'aborder l'équipement de leurs collaborateurs d'appareils mobiles :
* l'approche "contrôlée", où l'entreprise fournit le matériel et impose les règles d'usages et de sécurité. Cette approche permet une maîtrise totale de l'entreprise de la sécurité, des conditions d'utilisation. En contre partie, elle n'offre aucune flexibilité aux salariés. Dans ce cas on ne parle pas de BYOD !
* l'approche "ouverte" et "hybride" où la société laisse l’employé apporter son propre appareil afin de l'utiliser dans l'environnement professionnel.
Dans l'approche "ouverte", le salarié paie son terminal et son abonnement. Il a la possibilité de consulter ou non les applications métier de l'entreprise (messagerie, ...) via une plateforme d'accès sécurisée. Le professionnel bénéficie d'une flexibilité totale. L'entreprise n'a aucune responsabilité vis à vis du terminal ou de l'abonnement, ce qui n'exclus pas tous les enjeux techniques, en particulier de sécurité et organisationnel.
L’approche "hybride" est un mix, où le salarié utilise un terminal personnel avec un contrat fournit par l'entreprise. Dans ce cas elle autorise le mélange des usages professionnels et personnels. L'employé peut ainsi utiliser un appareil qui lui convient et l'entreprise garde une légitimité pour mettre en œuvre ces règles de sécurité, de gestion des terminaux et de maitrise des coûts.
Les problématiques et les questions sont nombreuses, concernant le BYOD. La réponse à ce phénomène est loin d'être unique et devra être adaptée pour chaque entreprise. La mise place va se faire progressivement, dans le but de rendre l'accès au système d'information de plus en plus flexible tout en conservant une maîtrise et un niveau de sécurité convenable. Cette mise en œuvre devra s'accompagner d'une transformation du système d'information et d'un accompagnement des salariés.
Un des points importants de ce phénomène auquel devra faire face la Direction des Système d'Information sera la gestion de ces nouveaux terminaux mobiles. Comment gérer ces flottes d'appareils afin de garantir l'application des règles de sécurité de l'entreprise et y déployer les applications métier ? C'est ce que propose de prendre en charge les outils de "Mobile Device Management" (ou MDM), et qui fera l'objet de ma prochaine chronique...
-------------------------
[1] Source : http://www-03.ibm.com/press/fr/fr/pressrelease/36176.wss
[2] Source : http://www-03.ibm.com/press/fr/fr/pressrelease/36176.wss
[3] Source : http://www-03.ibm.com/press/fr/fr/pressrelease/36176.wss
[4] Source : http://www-03.ibm.com/press/fr/fr/pressrelease/36176.wss
[5] Source : Infographie Orange http://blogs.orange-business.com/usages-entreprise/2012/03/byod-les-risques-en-terme-de-securite-dsi.html - janvier 2011