La tendance du Bring Your Own Device (apportez votre propre matériel) est dans l'air depuis quelques années. Il s'agit pour un employé d'utiliser un équipement personnel pour effectuer son travail de tous les jours, et donc accéder à l'Intranet de son entreprise, aux applications métiers, à la messagerie. L'année 2012 aura été marquée par la présence de ce sujet dans tous les événements traitant de sécurité informatique. Cette mise en lumière est due au grand nombre de problèmes pratiques que soulève le BYOD, incluant des aspects sécuritaires mais également organisationnels. Cet article propose d'exposer à quel point le BYOD est un sujet suffisamment sensible pour que son déploiement mobilise différents départements opérationnels des grandes entreprises.
1. BYOD, bring your own device
Le BYOD se décline sous plusieurs formes que l’on peut s’amuser à lister : le Bring Your Own Device qui regroupe le Bring Your Own Mobile et Bring Your Own Computer, ou encore le Buy Your Own Device, ou encore de manière un peu plus futuriste le Bring Your Own Application. Notons l’arrivée du cousin du BYOD, le COPE, Corporate Owned, Personnally Enabled, qui est une tentative de faciliter aux employés l’utilisation d’un matériel unique, subventionné et détenu par l’entreprise pour des usages personnels, en toute confiance. La notion clé qui recoupe toutes ces abréviations est le fait que l’utilisateur choisit son type d’appareil ou son application, endossant par là même une partie des responsabilités usuellement attribuées à la DSI et à l’entreprise.
L'apparition du BYOD s'explique par plusieurs facteurs :
- la démocratisation des équipements privés, en ordinateur, smartphone ou tablette, parfois plus performants ou récents que les équipements mis à disposition par les entreprises ;
- la multiplication des situations de mobilité et de travail à distance ;
- le mélange des genres entre les outils et applications utilisés dans la sphère privée et la sphère professionnelle - la messagerie électronique, le GPS, ... ;
- la demande forte de certaines populations d'utiliser le matériel de leur choix (par exemple les jeunes embauchés et les cadres dirigeants).
Le BYOD est un buzz word, largement médiatisé, associé à toutes les conversations de solution d’entreprise mobile, mais il est important de noter qu’il recouvre plusieurs formes d’usage, qui n’auront pas le même impact en termes de déploiement. Il peut s’agir de l’utilisation d’un smartphone pour consulter du courrier électronique sur un portail webmail, ou de la connexion à l’Intranet de l’entreprise depuis un client VPN installé sur un PC portable personnel, ou encore de l’accès à des applications métiers en mode web ou non. Le phénomène peut impacter, on le comprend, plusieurs couches du système informatique.
Parce que le BYOD a d’abord été porté par une pratique naturelle des utilisateurs, il s’est longtemps déployé de manière non contrôlée. Un scénario très schématique serait le suivant : un cadre vient de recevoir une tablette à Noël, et il souhaiterait lire ses mails professionnels le dimanche matin, en prenant son petit déjeuner. Quel que soit le regard que l’on puisse porter sur ce scénario, il est important de ne pas ignorer que le cadre en question sera capable de passer du temps à trouver des solutions, bidouiller, discuter avec ses collègues de l’IT pour finalement réaliser son souhait.
Une des réponses de l’entreprise a été de créer des pilotes, des exceptions, des clusters d’utilisateurs ayant accès à certains privilèges. Néanmoins, la consumérisation des smartphones et tablettes par une large population chez les travailleurs ne permet plus ce genre de politique au cas par cas. La plupart des entreprises connaissent le phénomène du BYOD. Mais ce qui les différencie les unes des autres est la façon d’en tenir compte : pour certaines, le BYOD est interdit, pour d’autres, il est toléré (mais non contrôlé), et enfin, dans de rares cas, il est contrôlé, mais bien souvent dans son aspect technique sans tenir compte des aspects légaux et sociaux, qui on le verra sont essentiels dans cette affaire. Nul ne peut nier aujourd’hui que le BYOD introduit de nouvelles pratiques de travail et a un effet non négligeable sur la vie des salariés. Il est temps pour les grandes entreprises d’ajouter dans la liste des projets transversaux le BYOD.
2. Quelques entreprises qui ont sauté le pas
Certaines entreprises de grande taille se sont exprimées à propos de leur déploiement du BYOD. Les témoignages indiquent que les premières utilisations se sont déroulées dans un cadre de téléphone mobile, sur des applications limitées. Par exemple, Ford a initié en 2011 un programme permettant à ses employés de consulter leurs e-mails depuis leur BlackBerry. La flotte autorisée s’est ensuite étendue aux iPhone et iPad. L’expérience a sans doute été couronnée de succès puisqu'en juin 2012, Ford a annoncé une évolution de sa politique de sécurité sur le BYOD, associée à une amélioration de l’expérience utilisateur [1]. On notera que IBM a été un des premiers à autoriser ses collaborateurs à plugger leurs équipements personnels. Ainsi, en 2011, 40 000 sur les 400 000 collaborateurs utilisaient leur téléphone ou tablette pour accéder aux applications métiers. Néanmoins, devant la désinvolture de certains employés, la direction a dû interdire l’utilisation de quelques applications telles que Dropbox ou iCloud afin de maîtriser (partiellement) la copie des données entreprises [2].
SAP, Australia New Zealand, déclarait en mars 2012 que le déploiement du BYOD avait été un facteur différenciant pour leurs récentes recrues, notamment celles de la Génération Y, qui ne semblaient pas apprécier d’utiliser deux équipements différents sur leur lieu de travail et à la maison. Bien que l’ambition ait été dès le début pour SAP de déployer le BYOD de manière globale, le retour de terrain a démontré que ce genre de projet ne pouvait se concevoir que localement, en intégrant les aspects business, juridiques, ressource humaine et IT [3].
Enfin, Thierry Breton, PDG d’ATOS, annonçait en avril 2012 avoir l’ambition d’intégrer le BYOD pour une partie de ses employés, sur la base de matériel subventionné à hauteur de 1000 euros, fournissant une authentification biométrique pour accéder à un nombre limité d’applications métiers dans le cloud. En décembre dernier, le même Thierry Breton mettait en garde les directeurs de Sécurité des Entreprises réunis en colloque annuel sur les risques de la pratique du BYOD, rappelant qu’un accompagnement des employés et une sensibilisation à la sécurité étaient essentiels pour garantir un déploiement sans risque [4].
Bref, certaines entreprises abordent timidement le sujet, d’autres se penchent dessus afin de développer une vraie stratégie. Faisons le point du déploiement réel du BYOD grâce à quelques chiffres.
3. L’état du déploiement BYOD
Une récente analyse de janvier 2013 conduite par Frost & Sullivan, pour le compte de (ISC)2 Foundation, a interrogé plus de 1500 responsables DSI dans le monde entier. L’analyse démontre que 53% des entreprises interrogées autorisent leurs employés et/ou leurs partenaires à utiliser leur réseau depuis leur matériel personnel. 87% des entreprises déclarent être ouvertes à accueillir des smartphones, 79% des tablettes et 72% des ordinateurs. Par ailleurs, les systèmes d’information sont capables de supporter des environnements de type iOS à hauteur de 84%, Android à 75%, RIM Blackberry ou QNS à 62%, et enfin, Windows Mobile à 51%. Ces chiffres globaux donnent une bonne indication que le phénomène est en route, conduit par le cas d’usage du smartphone. Néanmoins, en France, le phénomène reste peu répandu. D’aucuns accusent les DSI françaises d’être frileuses, ou encore les entreprises d’être freinées par les aspects juridiques. Une étude de CISCO auprès de 4900 décideurs IT (dont 450 en France) dans 18 secteurs d’activité de 9 pays démontre que la France est le pays où le BYOD est le moins bien traité : seuls 40% des responsables informatiques français pensent que le « BYOD » est un phénomène positif.[5]
4. Les impacts dans l'entreprise
Quelles seraient les raisons de freiner l’adoption du BYOD dans les grandes entreprises ? En quoi cette flexibilité offerte peut paraître moins attractive pour les entreprises que pour les salariés ? Avouons-le, cette flexibilité du poste de travail n'est pas sans conséquence sur l'organisation des entreprises, l'arrivée du BYOD bouscule un certain nombre de paramètres jusqu'ici sous le contrôle des entreprises :
- la sécurité, le contrôle, et la maintenance des postes de travail ;
- la nature privée ou publique des données et applications utilisées sur les postes ;
- la définition du temps de travail.
Malgré ces problématiques délicates à résoudre, l'entreprise peut avoir un certain intérêt à favoriser cette pratique : le BYOD pourrait être vu comme une opportunité de faire plaisir à un salarié en le laissant travailler avec l'outil de son choix, tout en réduisant la facture relative à la gestion de la flotte informatique.
On le voit, avec ces différents éléments, plusieurs départements des entreprises risquent d'être impactés : la Direction de Systèmes d’Information, la Direction des Ressources Humaines, les services juridiques, la Direction des Affaires Financières. Regardons en détail les embûches et les possibles solutions qui s'offrent à ces services pour progresser dans une démarche raisonnable d'adoption du BYOD.
5. La sécurité et la DSI
L'entrée sur les systèmes informatiques de mobiles, tablettes ou ordinateurs dont l'état de santé est laissé aux mains du salarié pose la question de la sécurité globale du système. La connaissance des risques encourus est la clé pour progresser sur le sujet de façon sereine.
5.1 La tendance
Tout d’abord, il est important de noter que les appareils les plus utilisés dans le cas du BYOD sont évidemment des smartphones ou des tablettes dernier cri. Exit donc la prédominance des BlackBerry reconnus pour leurs capacités de chiffrement, qui étaient un temps incontournables dans les environnements « corporate ». Et bienvenue au matériel à base d’OS Android ou iOS, conçu pour permettre aux utilisateurs de consommer des applications et des services et qui sont un vrai challenge pour la sécurité. La littérature sécuritaire ne cesse de rapporter mois après mois de nouvelles vulnérabilités sur ces environnements (avec une forte exposition des équipements à base d’Android). Le milieu « corporate » se retrouve ainsi soumis aux risques « consumers », c'est-à-dire des attaques par le biais d’applications chargées depuis des sites de type AppStore ou Play et de navigateurs présentant des vulnérabilités.
5.2 La sécurité du poste de travail
Rappelons que le principal risque contre lequel l’entreprise doit se prémunir est la fuite de données sensibles. Cette fuite peut arriver par plusieurs canaux : l’introduction de logiciels malveillants et le vol du matériel. Dans un cadre traditionnel, les contre-mesures mises en place par les DSI prudentes permettent de surveiller les applications installées sur la machine de l’utilisateur et de gérer les droits d’accès d’une machine au SI. Dans le cas du BYOD, deux difficultés majeures apparaissent : la flotte des équipements est très fragmentée, et la sécurité du poste de travail revient à l’utilisateur. Mais comment demander à chaque utilisateur de maintenir en parfait état un smartphone ou une tablette sur une longue durée tout en conservant ses habitudes de charger de nouvelles applications ? Par ailleurs, la question du matériel en partie privée nécessite d’intégrer l’idée que l’utilisateur pourra prêter son équipement à ses enfants de manière ponctuelle. L’identification de l’utilisateur devient donc un enjeu majeur pour donner accès aux données sensibles de l’entreprise. Idéalement, il faudrait que la machine de l’utilisateur puisse présenter des capacités de contrôle d’accès fort, d’isolation des applications, de chiffrement des données, et de contrôle des applications chargées.
Cependant, même en imaginant que le poste soit protégé de manière rapprochée, la DSI devra assumer que toute machine de type BYOD entrant sur son système présente un risque d’introduire des vulnérabilités. Il est donc essentiel que l’entrée de cette catégorie de matériel soit sous surveillance particulière. Ceci nécessite de bien connaître l’architecture de son SI, de segmenter les services accessibles ou non par ces machines, et de gérer de manière fine cette catégorie de matériel : reconnaissance des appareils, accès filtrés aux applications web et/ou métiers, audit des machines, ...
5.3 Les solutions existantes
Il existe des solutions adaptées en fonction des usages attendus. Selon que l’on accède au web mail seulement ou que l’entreprise permette l’accès à des applications métiers, l’exposition et les risques encourus sont légèrement différents. Néanmoins, dans tous les cas, une solution d’authentification du materiel devra être mise en place. Cette authentification peut être plus ou moins complexe, sur la base d’un simple certificat, ou encore sur la base d’une double authentification (par exemple par l'utilisation de mot de passe à utilisation unique, communément appelé OTP pour One Time Password). Afin de pallier le problème de mise à jour des applications et de suivi de l’état du matériel accédant au SI, les entreprises ont souvent recours à des solutions de Mobile Device Management (MDM), qui permettent sur la base d’un client installé sur l’équipement de contrôler les opérations effectuées, et d’appliquer une politique de sécurité appropriée. Une solution de MDM offrira en général la possibilité de gérer plusieurs types d’environnement d’exécution (Android, iOS, au minimum), ainsi que la possibilité de bloquer ou effacer un terminal déclaré volé ou disparu, de suivre les mises à jour de firmware de l’équipement. Libre ensuite à la DSI, avec ces outils, d’appliquer des politiques plus ou moins strictes d’accès au service ou de mise en quarantaine des terminaux, selon leur vulnérabilité.
5.4 Et le régulateur dans tout ça ?
Le régulateur, et plus particulièrement l’Agence Nationale de la Sécurité des Systèmes de l’Information (ANSSI), s’est récemment prononcé sur le sujet avec une clarté que certains vendeurs de solutions de BYOD ont eu à regretter. Au cours des Assises de la Sécurité IT, en octobre 2012, Patrick Pailloux, Directeur Général de l’ANSSI, a encouragé toutes les entreprises à rejeter la tentation de déployer du BYOD, indiquant que les solutions actuelles péchaient toutes par une sécurité insuffisante [6]. Dans le même temps, l’ANSSI a publié un guide d‘hygiène informatique en entreprise à destination des Responsables de la Sécurité des Systèmes d’Information [7], contenant 40 règles de bon sens, parmi lesquelles la règle 5 vient renforcer la position de l’ANSSI : interdire la connexion d’équipements personnels au système d’information de l’entreprise.
Du côté des États-Unis, on notera que le National Institute of Standard and Technology est en train de consulter le public sur un document nommé « Guidelines for Managing and Securing Mobile Devices in the Enterprise » [8]. Bien que ce document soit à l’état de brouillon, et puisse être soumis à des changements, le NIST offre dans ce guide une possible porte de sortie pour intégrer les appareils du personnel sur les réseaux de l’entreprise : il recommande de prendre en main l’appareil avant de l’accepter, afin de connaître son état initial et être ensuite capable de tracer ses évolutions et maintenir une certaine confiance dans cet appareil. Néanmoins, le NIST indique que le BYOD est un phénomène que le jailbreak ou le rootage affaiblissent, de même que l’absence de technologie garantissant l’intégrité du système d’exploitation d’une machine, tel que le Trusted Platform Module (TPM) développé dans le cadre du Trusted Computing Group (TCG), une technologie intégrée dans les récents produits de Microsoft.
6. Le service juridique
6.1 Loi informatique et le CIL
Les systèmes informatiques des grandes entreprises usent souvent de service de monitoring, de log d'activité, de gestion de flotte informatique, et de sauvegarde de machine. Sauf cas exceptionnel où les terminaux seront équipés d'une solution qui assure une étanchéité forte entre les données personnelles et professionnelles, la DSI se chargera donc potentiellement de manipuler un mélange des données personnelles et privées d'un salarié. Or la loi Informatique et Libertés oblige à une gestion transparente des données relatives à un utilisateur. Dans le cas où des données personnelles sont gérées, la sensibilité des utilisateurs risque d'augmenter de manière considérable, resserrant la pression sur les mesures de confidentialité, et donc sur les obligations en lien avec la loi Informatique et Liberté. Le Correspondant Informatique et Liberté (CIL) sera dans ce cas un interlocuteur clé pour construire une stratégie appropriée.
6.2 La notion de responsabilité
Admettons que votre tablette soit de nature à être acceptée sur les systèmes informatiques de votre entreprise, admettons que ce jour-là, une fausse manipulation soit faite du côté de la DSI et que vos données soient effacées ou que l'état de votre machine soit modifié au point de l'altérer. Qui sera responsable de sa réparation ou de son remplacement ? Quelle sera la responsabilité de l'entreprise dans la détérioration de ce bien ? En cas de perte du bien du salarié, quelle sera la responsabilité de celui-ci si cette perte donne lieu à une fuite d'information confidentielle pour l'entreprise ? Sans parler du cas d'une saisie liée à une enquête judiciaire touchant l'entreprise. Enfin, le cas du départ d’un salarié de l’entreprise doit être considéré avec beaucoup d’attention, dans la mesure où le formatage des données de son équipement personnel doit pouvoir être possible, tout en respectant ses données personnelles. La littérature regorge de cas tordus mais possibles, auxquels il faudra penser avant de décider d’adopter le BYOD [9].
On sent bien qu'ici, il est important d'établir les règles du jeu avant que de telles situations ne se concrétisent. Le recours à une charte spécifique qui décrive en détail les conditions d'utilisation des appareils personnels dans les systèmes informatiques parait être une première action de bon sens. Ce sera l’occasion de balayer tous les cas possibles, en tenant compte des dernières jurisprudences. Il sera nécessaire de clarifier aussi, et surtout, qui est propriétaire et responsable des applications, quel est le niveau de support que pourra espérer avoir un salarié en cas de problème d’appareil endommagé, perdu, et que deviendra l’appareil en cas de départ de l’entreprise… Bref, tous les cas possibles devront être décrits et portés à la connaissance de l’utilisateur afin d’éviter les malentendus ou les situations de procès. Cette charte devra être rédigée avec l'aide des services juridiques, on l'aura compris [10].
7. Les ressources humaines et le management
7.1 L’équité entre les salariés
Tous les employés ne sont pas forcément égaux face à la technologie. Certains en sont friands, d’autres moins. Certains allouent un budget conséquent pour acheter les derniers gadgets, d’autres ont fait un choix différent. Le déploiement du BYOD pose évidemment la question de l’égalité des salariés, avec le risque notamment de créer des conditions de travail différentes entre salariés ayant des missions similaires. Il est important de noter que le BYOD, avec son caractère potentiellement intrusif dans la vie personnelle, doit rester le choix des employés. Ils doivent avoir le droit de refuser cette pratique si elle ne convient pas à leur mode de vie ou de travail.
7.2 L’accélération des rythmes de travail
Bien que le BYOD ne soit que la continuité d'une tendance de travail en situation de mobilité, sa formalisation questionne la notion de temps de travail. En effet, un salarié qui utilise son équipement le soir, et vaque alternativement à des occupations personnelles ou professionnelles, n'est-il pas potentiellement en train de fabriquer des conditions de stress intense ? Le risque que les notions de temps de travail et temps personnel glissent est non négligeable. Le spectre des risques psycho-sociaux n’est pas loin. Ici encore, il sera donc important de rappeler aux pratiquants du BYOD (et à leur hiérarchie) que le fait de détenir du matériel connecté dans sa sphère privée n’entraîne aucune obligation pour les travailleurs de consulter de manière continue leurs applications professionnelles. À ce titre, il est donc important de sensibiliser la Direction des Ressources Humaines et les instances représentatives du personnel pour les associer à la réflexion et au déploiement du BYOD dans l'entreprise. Une campagne d'accompagnement et de sensibilisation des salariés paraît également nécessaire, couvrant aussi bien les risques sécuritaires liés au BYOD, que les dérives de mode de travail qu’il peut induire.
8. L'ajustement des coûts et la direction financière
8.1 Les bénéfices évidents
L’attrait du BYOD est souvent justifié par une promesse de diminution de coûts. En effet, au premier abord, le principe de laisser à la charge des collaborateurs l’achat du matériel baisse de manière mécanique le budget alloué à la flotte informatique. Une machine connectée est souvent accompagnée d’un abonnement téléphonique, donc ici aussi l’entreprise peut envisager une réduction des charges liées à la télécommunication. La productivité des employés est sans doute le graal poursuivi par les directions proactives sur le BYOD. Néanmoins, il est important de tenir compte des effets de bord, qui peuvent venir impacter de manière conséquente le calcul de ROI d’un déploiement de BYOD. En fonction du contexte, la société devra négocier un certain nombre de mesures d’accompagnement, qui auront l’avantage de promouvoir le passage au BYOD si telle est la stratégie. La négociation prendra nécessairement du temps puisqu’il s’agira d’avancer de manière transparente et pédagogique sur le dossier, avec les partenaires sociaux et les Ressources Humaines - un paramètre parfois oublié dans les calculs de ROI.
8.2 La maintenance
Il s’agira de déterminer qui sera en charge de la maintenance du matériel, et qui subventionnera le support en cas de problème. Dans la plupart des cas, le salarié pourra être en charge de la maintenance, mais il pourrait être intéressant pour l’entreprise de l’accompagner sur ces aspects, notamment au moment de la migration de son abonnement professionnel vers son numéro personnel.
8.3 La subvention pour l’achat de matériel et d’abonnement téléphonique
La participation de l’entreprise aux frais d’achat de matériel et d’abonnement téléphonique peut faire sens si l’entreprise souhaite afficher de l’équité entre les collaborateurs. Comme indiqué précédemment, tous les employés ne disposent pas forcément du même budget pour s’équiper. Par le biais d’une subvention pour le matériel et l’abonnement, la société uniformise les usages au sein de l’entreprise, pour les salariés qui auront choisi le BYOD. Un autre avantage à cette subvention est la possibilité pour l’entreprise de recommander du matériel qualifié par un certain niveau de sécurité, évitant ainsi les principaux écueils liés au matériel de mauvaise qualité.
Conclusion
Le sujet du BYOD est donc un sujet vaste et qui touche de nombreux aspects de la vie de l'entreprise. Il est nécessaire de traiter son déploiement de façon sérieuse avec une concertation des différentes directions impactées. La mise en place d'une solution technique pour contrôler le phénomène, ainsi que le développement d'une charte informatique détaillée, communiquée clairement aux salariés, sont deux pistes majeures pour intégrer et contrôler cette pratique. Néanmoins, la création de groupe de travail transverse dans l’entreprise, intégrant les acteurs précédemment cités, est une garantie que le BYOD déployé dans une entreprise correspondra aux besoins des utilisateurs et sera correctement compris et appliqué par l’ensemble des salariés demandeurs de BYOD.
Bibliographie
[1] Ford Motors to implement BYOD mobile security - http://myaka.com/news/other-professions/ford-motors-to-implement-byod-mobile-security-800798013
[2] Le BYOD trouve ses limites chez IBM - http://www.itespresso.fr/byod-trouve-limites-ibm-53634.html
[3] SAP Australia seeing BYOD success - http://www.zdnet.com/sap-australia-seeing-byod-success-1339334754/
[4] Thierry Breton (Atos) s'inquiète au sujet du Cloud et du BYOD - http://www.cio-online.com/actualites/lire-thierry-breton-atos-s-inquietent-au-sujet-du-cloud-et-du-byod-4748.html
[6] Patrick Pailloux, ANSSI : BYOD, réseaux sociaux, pour la sécurité, « il est autorisé d’interdire » - http://pro.clubic.com/it-business/securite-et-donnees/actualite-514337-patrick-pailloux-anssi-byod-reseaux-sociaux-securite-autorise-interdire.html
[7] Le guide d’hygiène informatique en entreprise - http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/appel-a-commentaires-sur-le-guide-l-hygiene-informatique-en-entreprise-quelques.html
[8] Guidelines for Managing and Securing Mobile Devices in the Enterprise (Draft) - http://csrc.nist.gov/publications/drafts/800-124r1/draft_sp800-124-rev1.pdf
[9] The Dark Side of BYOD – Privacy, Personal Data Loss and Device Seizure - http://consumerization.trendmicro.com/consumerization-byod-privacy-personal-data-loss-and-device-seizure/
[10] BYOD, la charte informatique encore plus nécessaire - http://www.blog-lamon-associes.com/byod-la-charte-informatique-encore-plus-necessaire
Pour aller plus loin :
Le compte rendu de la conférence du CLUSIF sur le BYOD [fr] - http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2012-Byod-Synthese.pdf