Chaque entreprise doit se positionner face au BYOD
Le phénomène du "Bring Your Own Device" bouscule les façons de penser. A l'occasion du salon InfoSecurity Europe 2012 à Londres, une table ronde a fait le point. Chaque entreprise devra se positionner face au BYOD, en l'acceptant ou en le refusant.
Le Bring Your Own Device (BYOD) est une réflexion récente, qui permet à l'employé de travailler avec son propre matériel sur son lieu de travail. Posant de nouvelles questions en termes de sécurité et de management, le BYOD est aussi une manière de responsabiliser l'employé dans l'entreprise.
Pour comprendre le développement futur des politiques de BYOD, l'opérateur télécoms BT a réalisé, avec le cabinet d'études Vanson Bourne, une étude auprès de 2000 personnes concernées (utilisateurs, Directeurs des Systèmes d'Information et managers), de onze pays et de cinq secteurs d'activité différents (Grande distribution, Finance, logistique, pharmaceutique et public). Toutes ces personnes ne travaillaient pas forcément dans des services passés au BYOD. L'étude a été rendue publique lors d'une table ronde le mardi 24 avril, à l'occasion du salon Info Security 2012, à Londres. Ce salon est le plus grand évènement consacré à la sécurité en Europe.
Les appareils personnels sont de plus en plus présents dans l'environnement professionnel et 60 % des employés les utilisent pour leur activité, atteignant même des taux élevés dans les pays émergents, 92% en Chine et 80% en Inde. Mais, seulement 43% des entreprises interrogées déclarent avoir les outils nécessaires pour suivre régulièrement les employés qui utilisent leurs matériels sur le réseau interne. Dans ce contexte, développer une politique de BYOD devient nécessaire afin de formaliser l'usage des terminaux personnels au sein de l'entreprise.
Pour Carl Blackett, responsable de l'architecture de sécurité au Norfolk County Council (la région urbaine de Norfolk, en Grande Bretagne), présent à la table ronde, il convient d'abord de se poser des questions quant à la pertinence du BYOD dans son propre contexte : « il faut prendre en compte les opportunités, et savoir si cela a vraiment un intérêt managérial au sein de l'entreprise ». Cette réflexion a poussé le Norfolk County Council à préparer une politique de BYOD, qui sera lancée cette année. Dans tous les cas, pour Carl Blackett « les temps changent et il n'est plus possible de dire non aux utilisateurs qui veulent travailler de manière différente. »
Dans l'enquête, les risques soulevés par le fait que les employés connectent de plus en plus d'appareils personnels sur le réseau de l'entreprise apparaissent en troisième position (61% des réponses) dans la hiérarchie des risques cités par les responsables IT. Ils viennent après ceux liés à la cyber-sécurité (68% des réponses) ou aux fuites de données dont l'utilisateur peut être la cause (68%). En quatrième position, après le BYOD, le risque le plus souvent cité est celui des défauts ou des bugs présents dans les logiciels de l'entreprise (57%), et en cinquième position, on trouve les risques liés aux systèmes de gestion de la chaîne logistique (57%). Le risque qui clôt cette liste est l'espionnage, qu'il soit industriel ou impulsé par une puissance étrangère (53%).
Pour poursuivre côté chiffres, la moitié des personnes travaillant dans le secteur privé ne voit pas de risque à employer son propre équipement en entreprise. Ils ne sont que 17% dans le secteur public, a priori nettement plus prudent. Un propos que reprendrait donc à son compte le capitaine Simon Wise, Deputy Head of Service Opérations au ministère de la Défense britannique, qui gère la sécurité du réseau militaire du Royaume-Uni, et présent lors de la table ronde.
Il déclare avoir été « effrayé à l'idée de faire du BYOD, et très réfractaire à son utilisation dans [son] ministère, car les données que nous avons à défendre concernent la sécurité nationale ». A la question de savoir si le Ministère de la Défense comptait appliquer une politique de BYOD, il répond simplement : « Non ». Il ajoute : « nous somme très critiques vis-à-vis du BYOD car nous avons appris, et le temps nous l'a montré, que l'un des risques majeurs du BYOD est qu'un matériel non autorisé pénètre au sein de nos réseaux. »
Pour BT, adopter une politique BYOD présente pourtant une triple opportunité, « celle d'étendre les possibilités de travail, de faciliter le management, ainsi que de rendre l'employé plus intelligent vis-à-vis de l'utilisation de son matériel ».
En écho aux craintes du Ministère de la Défense Britannique, l'un des points clés de l'étude est de constater que près de quatre sociétés sur dix ont connu des failles de sécurité du fait de l'usage d'appareils personnels non autorisés. Chez les entreprises appliquant une politique de BYOD, la problématique de la sécurité apparaît en tête, à hauteur de 74% des préoccupations, avant la réduction des coûts.
Mais pour David Lockwood, Vice-président Global Defence & Security de BT, adopter une politique BYOD, c'est pour l'entreprise, l'occasion de « rassembler technologie et management au sein d'un même pôle pour permettre une réduction des coûts ».
Avec le BYOD, on se retrouve finalement devant le dilemme classique, où un grand risque - ouvrir le système d'information de l'entreprise - constitue dans le même temps une formidable opportunité pour l'entreprise, en libérant l'utilisateur dans ses manières de travailler, et donc de doper sa productivité et sa rentabilité.