Passer du BYOD subi au BYOD réfléchi

Le BYOD (Bring Your Own Device) – ce device pouvant être un ordinateur portable un smartphone ou une tablette – est l’un des buzzwords du moment dans le monde de l’informatique professionnelle. Il est notamment poussé par la consumérisation des technologies de l'information (IT) – particulièrement au sein de la Génération Y massivement présente dans l’entreprise –, le besoin de mobilité ou la volonté de réduction des Capex (coûts d’investissements) de la direction des systèmes d’information (DSI).

De nombreuses entreprises ont compris que l’opposition frontale était inutile et contre-productive. Elles permettent donc à leurs employés d'utiliser leurs outils personnels au travail. Selon NetMediaEurope, 60 % des employeurs français autorisent l’utilisation à titre professionnel de terminaux privés. Cependant, peu ont mis en place une politique réellement réfléchie d’encadrement et d’accompagnement de la tendance.

Afin que le BYOD ne soit pas interprété comme un « faites ce que bon vous semble », une approche d’ensemble est nécessaire. Elle doit tenir compte des populations concernées et de la culture d’entreprise.

Cartographier les technologies et sécuriser l'accès au système d'information

Il est ainsi nécessaire de bâtir des règles claires. D’une part, en recensant les types de matériels (potentiellement très hétérogènes : marques, systèmes d’exploitation ou versions), les catégories d’utilisateurs éligibles à un accès au réseau d’entreprise, le périmètre et les moyens d’accès. D’autre part, en définissant les services couverts par le help desk informatique, les niveaux de service associés tant sur le logiciel que le matériel et, par conséquent, ce qui reste à la charge de l’employé.

Les mesures de protection sur l’appareil personnel sont à définir : chiffrage des données, remise à zéro à distance, virtualisation du poste de travail (VMware ou Citrix y voient de nouveaux relais de croissance), géolocalisation... L’employeur doit étudier l’opportunité d’installer des infrastructures dédiées, comme un réseau Wi-Fi séparé permettant un accès limité aux ressources de l’entreprise (messagerie, dossiers, applicatifs métiers) ou à internet. Ainsi les gains financiers potentiels doivent s’apprécier à l’aune des investissements pour la sécurité et la supervision.

La charte informatique doit être adaptée en conséquence, pour se prémunir des difficultés juridiques, en intégrant la ségrégation des données personnelles-professionnelles. Une telle démarche doit être mise en place de façon concertée entre la DSI et les métiers.

Accompagner le salarié pour garder un minimum de contrôle sur son équipement

L’accompagnement ne devant pas être négligé, des mesures d’incitation pour les salariés peuvent être prises, notamment pour favoriser l’équipement en terminaux certifiés par l’entreprise. Elles peuvent également réduire la frustration de ceux qui ne disposent pas d’équipements de dernière génération. Le circuit de départ des employés qui quittent l’entreprise doit également être repensé pour éviter toute fuite de données.

Ainsi, tout en acceptant qu’une partie croissante du matériel informatique utilisé par leurs employés leur échappe, l'entreprise et sa DSI ne doivent pas pour autant perdre le contrôle.