Bring Your Own Device (BYOD) : comment gérer les risques Bring Your Own Device : 4 conseils pour gérer les risques techniques
La plupart des études sur le sujet convergent. Le Bring Your Own Device (BYOD), ou l'utilisation de terminaux personnels pour le travail, est devenu en quelques mois une préoccupation majeure des DSI. Les salariés se sont en effet équipés, à titre personnel, de smartphones, tablettes, ultrabooks, clés USB... Alors que l'entreprise ne peut pas toujours leur fournir un matériel de qualité équivalente (ses cycles de renouvellement n'étant pas ceux du grand public), directions générales comme directions métiers entendent bien pouvoir utiliser ces nouveaux ordinateurs portables pour travailler, et ainsi améliorer leur productivité. Les DSI n'ont plus le choix.
Cependant, en contribuant à accroitre le nombre de terminaux mobiles et les types de produits utilisés dans l'entreprise, le Bring Your Own Device augmente également les risques, depuis longtemps identifiés, liés aux parcs nomades. "Nous distinguons les risques de fuite ou pertes de données, d'accès non-autorisé au système d'information, ou encore les risques juridiques liés notamment au stockage de données professionnelles sur un support personnel", rappelle Chadi Hantouche est expert sécurité chez Solucom , lors d'une conférence du Clusif sur le BYOD
Reste une problématique de taille : à la différence des terminaux sur lesquels le DSI avait jusqu'ici la main, ces nouvelles flottes sont par définition moins facilement maitrisables en termes d'administration et de sécurité. Les outils de Mobile Device Management ou des solutions plus légères comme le protocole Microsoft ActiveSync permettent néanmoins de gérer un parc hétérogène. Mais, "imposer des restrictions trop importantes, autour de politiques de mots de passe trop fortes par exemple, peut contribuer à dégrader l'ergonomie et finalement imposer trop de contraintes à l'utilisateur", prévient Chadi Hantouche. Pour bien anticiper ces problématique, il est recommandé de décliner le projet en plusieurs étapes.
1 - Analyser la culture de l'entreprise et définir le public cible
Selon les entreprises, le niveau de maturité en matière de consumérisation informatique peut être différent, tout comme le niveau d'acceptabilité des salariés à utiliser leurs terminaux personnels au travail. Dans un premier temps, la politique de BYOD pourra se limiter à une petite partie des salariés.
2 - Définir les types de terminaux acceptés
Cela peut paraître évident, mais la DSI doit définir les types de terminaux personnels qui permettront d'accéder aux applications. Se limite-t-on aux smartphones (et si oui lesquels) ? Etend-t-on le dispositif aux tablettes, ordinateurs portables... ? De ces décisions découleront des choix technologiques, en matière de MDM par exemple.
3 - Définir les types d'applications et de données mis à disposition
C'est un point particulièrement important. Définir le type d'applications et de données accessibles sur les terminaux engendrera en effet des choix en termes de sécurité, mais aussi des décisions de nature juridique.
4 - Définir les moyens à mettre en œuvre
La définition des moyens à mobiliser découlera de l'analyse décrite ci-dessous. En fonction des besoins plusieurs architectures sont possibles :
Proposer des applications Web, en mode SaaS par exemple, pour éviter d'archiver des informations professionnels sur le terminal, ce qui palie certaines problématique de sécurité, et juridiques (liées aux stockage en local),
Proposer une bulle regroupant les applications et données professionnelles, isolée du reste du terminal. Mieux adaptée aux terminaux de petites tailles, cette solution permet de travailler plus facilement en mode déconnecté.