Catégories
Bonnes pratiques | Tips Optimisation Sécurité informatique

BYOD : conseils pour transformer ces nouvelles pratiques en véritable succès

QU’EST-CE QUE LE BYOD ?

Le BYOD, en anglais Bring Your Own Device ou « apportez votre propre équipement », décrit le phénomène croissant des employés, partenaires et clients qui apportent au travail leurs équipements informatiques et télécom personnels.
On parle aussi de « consumérisme informatique » ou le stress de l’informaticien qui voit débarquer sur les systèmes qu’il administre, de plus en plus d’équipements qu’il ne contrôle pas avec toutes les menaces qui y sont liées et les éventuelles demandes de support qu’il aura du mal à adresser.
En tête de liste le smartphone dernier cri, suivi de près par la tablette puis l’ordinateur portable. On retrouve aussi les appareils photos et autres caméscopes numériques, tous de plus en plus puissants, dotés de réseaux embarqués et d’une capacité de stockage de plus en plus importante.

Cet article a pour objectif d’exposer quelles sont les menaces qu’apportent le BYOD au sein de l’entreprise mais et surtout qu’il est important de surmonter sa peur face à ces risques et de faire évoluer son système d’information et les mentalités pour enfin bénéficier de ce qui se fait de mieux en terme de productivité et de création de valeur à partir des outils informatiques aujourd’hui !


QUEL EST LE DANGER DU BYOD ?

C’est assez simple en fait, jusqu’alors, il était assez facile de sécuriser les données de l’entreprise dans des silos de données physiquement et logiciellement fermés.
On ne donnait accès à ces données qu’à des équipements connus, fournis et équipés de logiciels par l’entreprise. Ces équipements étant maintenus à jour et parfaitement maîtrisés, le risque, lorsque tout était fait dans les règles de l’Art, était très faible.

Même lorsque les utilisateurs étaient mobiles, on les dotait de liaisons VPN (Virtual Private Network), de système à double ou triple authentifications, parfois fortes à l’aide de token et autre lecteur d’empreinte digitale. On chiffrait leur disque dur et leur clé USB fournis par l’entreprise.

Sur son réseau local, on implémentait le NAC ou NAP (Network Access Control / Network Access Protocol) et on filtrait les adresses MAC en plus des autres mécanismes de protection des réseaux sans-fils. Là encore on pouvait ajouter un VPN sur le réseau local.
Super, c’était Fort Knox ! Mais les temps ont bien changés. Mis à part pour quelques domaines d’activités où ces niveaux de sécurité sont essentiels (défense, justice, recherche, nucléaire, production d’énergie et d’eau potable, etc.), une grande majorité des métiers ont besoin de bien plus d’ouverture, de souplesse et de liberté pour rester attractif et compétitif.
Même les méthodes de travail ont changé, on fait plus d’Agilité tant dans les projets que dans les horaires de travail et ça aussi ça nécessite de la modernité dans les outils que l’on utilise.

Du coup les employeurs des « early adopters », ceux qui essayent et adoptent en premier, ont mesuré que leurs collaborateurs étaient plus efficaces et plus heureux au travail quand ils pouvaient utiliser leurs propres équipements. Vu que les chiffres sont là pour le démontrer, difficile pour la Direction Générale de leur interdire de le faire au risque de voir partir ces précurseurs à la concurrence. [D’après une étude du cabinet Vanson Bourne réalisée entre le 18 septembre et le 18 octobre 2012 auprès de 1485 décideurs informatiques répartis dans le monde.]

Et sont arrivés les réseaux sociaux, d’abord vécus comme une source de perte d’efficacité par les décideurs, on se rend compte, preuve en est avec la rédaction de cet article qui sera lu des centaines de fois grâce à ces réseaux en quelques jours seulement, qu’ils sont devenus incontournables pour quiconque a une position de leader sur son marché ou souhaite le devenir.
Il faut laisser les équipes passer de l’espace professionnel à l’espace privé et y revenir avec facilité à travers une frontière qui devient de plus en plus trouble et ce, quelque soit l’endroit et l’heure.

Le cabinet IDC indiquait dans une étude faite auprès des sociétés américaines en 2011 que 40 % des équipements qui accédaient aux données de l’entreprise étaient des équipements personnels, en croissance de 30 % par rapport à 2010 !
Le cabinet Gartner quant à lui, annonçait la même année que d’ici 2014, soit dans moins d’un an maintenant, 80 % des professionnels utiliseraient au minimum deux équipements pour accéder aux données de l’entreprise.

D’autres études démontrent encore qu’un employé qui utilise ses équipements personnels pour son travail, s’investit davantage pour son entreprise, est bien plus satisfait que ceux qui utilisent les terminaux fournis par leur employeur et qu’il collabore mieux et plus vite au sein des équipes.

Le BYOD est devenu une réalité et il n’y a pas de raison de freiner son déploiement sauf bien entendu, si votre activité fait partie des activités sensibles dont je parlais plus haut 🙂
Maintenant que vous avez entendu les bénéfices pour votre activité, voyons les risques que pose le BYOD pour l’entreprise :


La perte et le vol des données

Puisque l’on peut joindre, synchroniser et stocker des données de l’entreprise sur des équipements de faible taille qui n’appartiennent pas à l’entreprise. On augmente le risque de les perdre mais pire encore, de se les faire voler.

L’attaque virale

On ne peut se protéger de ce que l’on ne voit pas. Puisque de plus en plus de terminaux non contrôlés donc non vus par les informaticiens en charge de la sécurité vont se connecter, on augmente grandement le risque d’infection par des virus et autres menaces telles que les keyloggers et trojans.

Le surcoût et la complexité du support à fournir

Il faudra en effet prévoir une équipe support formée aux différents systèmes envisageables. Les techniciens devront pouvoir soutenir des équipes dont les membres utiliseront de plus en plus d’équipements disparates et pourtant communiquant entre eux. N’est-ce pas là d’ailleurs l’essence même d’Internet lorsque le réseau des réseaux a été mis au point à la fin des années 60 ?
L’investissement, plus important qu’un support classique, sera en fait vite récupéré sur la productivité et la satisfaction des équipes, ce risque peut donc être transformé en succès. Tout est histoire de préparation.

IL FAUT SE PRÉPARER POUR LE BYOD

Il est inutile de lutter contre le BYOD. C’est l’avenir dans notre monde où tout va de plus en plus vite tout en étant de plus en plus interconnecté.

Inutile aussi de vouloir faire du « BYOD fourni par l’entreprise » ! Nous avons quelques clients qui l’ont fait. Sans doute par peur du changement. ils achètent et fournissent, en plus des ordinateurs, de superbes smartphones et tablettes. Parfois un catalogue est même mis en place, avec deux voire trois choix pour chaque type de terminal. Mais ça n’est pas du BYOD et l’on reste dans un modèle ancien ou l’employeur impose ses outils et où le salarié n’est pas satisfait donc au final pas suffisamment efficace par rapport aux concurrents qui eux auront laissé le vrai BYOD entrer chez eux.

Comme nous le disons souvent chez OM Conseil, pour que le BYOD fonctionne, il y a des règles à respecter. Nous vous les indiquons ici afin que vous réussissiez vos projets de modernisation.

RÈGLE N° 1. FAITES DU BYOD, OUI MAIS DU BYOD SIMPLIFIÉ !

Il est évident qu’aucun service informatique ne pourra jamais sécuriser et supporter tous les systèmes d’exploitation (OS pour Operating System) ainsi que toutes les marques et tous les modèles de terminaux que l’industrie nous produit à très haute vitesse. Il est donc indispensable de sélectionner les systèmes qui seront considérés comme compatibles et supportés en cas de souci.

On retrouvera bien entendu les leaders du marché, en 2013 on acceptera les terminaux d’Apple qui utilisent MAC OS X ou iOS, ceux utilisant l’OS Android de Google et bien entendu ceux de Microsoft utilisant Windows 7 ou Windows 8 et RT. On peut autoriser aussi certaines marques et quelques modèles mais n’oublions pas que si l’on réduit trop les choix, on ne fait plus du BYOD, on impose juste aux salariés d’acheter ce qu’on leur fournissait auparavant et ça, ça ne passera pas !

RÈGLE N° 2. PRÉPAREZ LES RÈGLES DU JEU

Charte informatique et contrat de travail seront adaptés pour introduire les règles d’usage des terminaux personnels, les responsabilités de chacun ainsi que les éventuelles prises en charge financières.
Les salariés qui utilisent leurs terminaux personnels devront accepter que vous diffusiez sur leurs équipements des logiciels de contrôle et de sécurité des données. Ces logiciels serviront par exemple à effacer les données à distance si le terminal est perdu. Les points sensibles seront par exemple la sécurité et la confidentialité liées aux données personnelles du salarié. N’oubliez pas la CNIL dans votre projet !

RÈGLE N° 3. RÉGLEZ LES ÉQUIPEMENTS DE SÉCURITÉ

La sécurité des réseaux locaux, des équipements de sécurité liés à Internet et des applications devra être adaptée afin de tracer les terminaux personnels et alerter en temps réel en cas d’anomalie.

Certains fabricants ont déjà adaptés leurs produits pour faciliter le travail des administrateurs et réduire les risques au maximum. On notera par exemple les fabricants américains Watchguard dans le domaine des parefeux dotés de fonctionnalités évoluées ou encore Ruckus pour mettre en oeuvre un réseau WiFi professionnel qui facilite le Cloud.


WiFi sécurisé par Ruckus avec gestion du BYOD

RÈGLE N° 4. IMPOSEZ DES MOTS DE PASSE EFFICACES SUR LES TERMINAUX PERSONNELS

Puisque les terminaux personnels donneront accès et contiendront des données professionnelles, parfois très sensibles, il est indispensable que les accès à ces terminaux soient tout aussi efficaces que ceux des équipements fournis par l’entreprise. On appliquera ici une politique de mots de passe sévère à laquelle aucun passe-droit ne devra être accepté. C’est aussi l’occasion ici, si pas déjà fait, d’appliquer les règles élémentaires de sécurité des ordinateurs et terminaux.

RÈGLE N° 5. SÉPAREZ LES DONNÉES PRIVÉES DES DONNÉES PROFESSIONNELLES

Tout comme cela est fait sur les ordinateurs professionnels en exigeant le respect de certaines règles, il faudra imposer de ne pas mélanger les données sur les terminaux professionnels. Exemple : vous fournissez une application de synchronisation des fichiers entre l’ordinateur du bureau, le téléphone personnel et le cloud, il est bien entendu hors de question que l’utilisateur y mette ses films et photos de vacances. Dans l’autre sens, vous sensibiliserez vos utilisateurs sur l’importance de ne pas aller mettre des fichiers professionnels dans leur cloud personnel. Pensez ici aussi aux bonnes pratiques fournies par la CNIL.

RÈGLE N° 6. SÉCURISEZ LES RÉSEAUX ÉTENDUS DÈS QUE POSSIBLE

Utiliser des VPNs et des liaisons SSL dès que vous le pouvez pour éviter le vol de données à travers les réseaux publics. N’oubliez pas qu’un réseau WiFi gratuit peut s’avérer être extrêmement dangereux pour vos données sensibles. C’est un peu comme si tout votre courrier papier était ouvert par un tiers que vous ne connaissez pas mais qui lui, pourrait trouver un usage à faire de vos données (escroquerie, usurpation d’identité, revente d’informations à un concurrent, etc.).

RÈGLE N° 7. RESTEZ INFORMÉ ET INFORMEZ VOS ÉQUIPES

Mettez en place une démarche d’alertes et d’information dans les deux sens. Formez vos équipes à être plus vigilante par rapport aux risques (vol, perte, wifi publique, etc.) et sensibilisez les aussi pour qu’elles vous remontent leurs besoins. L’informatique et ses usages changent de plus en plus vite. Ce qui fonctionne aujourd’hui pourra, sans nul doute, être amélioré dans six à douze mois pour gagner en productivité ou créer plus de valeur.

Pour cela vos équipes doivent se sentir soutenues et entendues.
Votre service de hotline doit aller bien au-delà d’un simple support technique, d’ailleurs chez OM Conseil nous ne parlons plus de hotline mais de Centre de Services façon ITIL : une équipe pluridisciplinaire qui doit être à l’écoute des besoins et devenir force de proposition tant vis-à-vis des utilisateurs que de ses managers.

Pensez aussi à communiquer sur les possibilités, les outils, les usages, les bonnes pratiques, à travers différents médias et à l’aide de méthodes modernes. On retrouvera bien entendu les traditionnelles réunions de services auxquelles on ajoutera des présentations de quelques minutes dans les lieux de vie les plus fréquentés (espace détente, cantine, machines à café).

On peut imaginer ainsi des « petits déjeuners IT » qui permettront de présenter telle ou telle autre technologie.
Créez un intranet dédié aux outils dans lequel vous pourrez partager des guides et autres « how-to » dont les plus réussis seront sans doute les vidéos de deux à trois minutes qui présenteront l’essentiel d’une pratique.

Soutenez la communication et l’harmonisation de l’ensemble à travers votre réseau social d’entreprise.

RÈGLE N° 8. LE PLUS IMPORTANT : VOS APPLICATIONS MÉTIERS

Modifiez et faites évoluer vos applications métiers pour qu’elles soient compatibles BYOD. Rien de plus simple : faites du Web en utilisant les méthodes du e-business.

Achetez ou faites développer des logiciels compatibles avec le plus grand nombre de systèmes et de plateformes tout comme les sites de e-commerce.

Sécurisez les comme si vous ne connaissiez pas les visiteurs de vos applications, vous verrez alors que ce n’est pas le BYOD votre problème mais vos applications existantes. Mais ça c’est un autre sujet…