Le Bring Your Own Device (ou « Apportez votre propre appareil » en français) représente l'avenir de l'informatique et de la communication en entreprise. Mais Yann Pradelle, de chez Fortinet, montre que l'urgent défi pour les organisations est de savoir comment adopter une pratique incontournable tout en minimisant ses risques.
L'évolution du Bring Your Own Device (BYOD) est aussi profonde que rapide. Cette tendance montre de toute évidence que les frontières entre vie personnelle et vie professionnelle deviennent de plus en plus floues. Travailler 35 heures uniquement depuis son lieu de travail est devenu un modèle archaïque : de plus en plus de personnes effectuent des heures supplémentaires et travaillent depuis différents endroits, y compris depuis leur lieu de travail, à l'extérieur, pendant leurs trajets, et de la maison. Nous vivons dans un environnement de travail véritablement global, 24h/24 et 7 j/7, et il n'est pas surprenant de recevoir des emails professionnels tard dans la soirée.
L'essentiel de cette évolution se traduit par la possibilité d'accéder aux réseaux d'entreprises depuis n'importe où, n'importe quand. La gamme d'outils qui permet cette connectivité constante est devenue plus puissante, avec les ordinateurs portables, tablettes et smartphones qui permettent d'accéder à un panel d'applications d'entreprises et de communications, tandis que le cloud computing étend efficacement le bureau hors du bureau.
BYOD : défis de sécurité VS avantages
L'avantage du BYOD dont on entend le plus parler est une plus grande productivité. Toutefois, une recherche récente a indiqué que cela pourrait être en fait le grand mythe du BYOD, la réalité étant que le BYOD en pratique pose de nouveaux défis de sécurité qui pourraient l'emporter sur les avantages, si cette pratique n'est pas dûment prise en compte par l'organisation.
Une étude mondiale commanditée par Fortinet – l'un des leaders de la sécurité réseau haute performance – a examiné les attitudes à l'égard du BYOD et la sécurité du point de vue de l'utilisateur plutôt que du responsable IT. L'enquête, menée dans quinze pays, est focalisée plus particulièrement sur les salariés actifs disposant d'un diplôme universitaire ou équivalent âgés de 20 à 29 ans. Ce groupe représente la première génération à entrer dans l'entreprise avec une compréhension et des attentes en matière d'utilisation de son propre appareil mobile. Il s’agit également des influenceurs et des décideurs de demain. Les résultats de l'enquête s'adressent à la fois aux responsables de la sécurité des réseaux et aux directions stratégiques responsables de la question de l'adoption du BYOD par l'entreprise. On peut s'attendre à ce que les grandes organisations aient en place des politiques et stratégies IT matures. Mais qu'en est-il des petites entreprises qui n'ont sans doute pas de stratégies aussi bien développées et pour qui la culture du BYOD pourrait déjà être implantée dans l'entreprise ? Devraient-elles être inquiètes par le comportement et les attitudes de leur personnel, surtout les plus jeunes salariés ?
Pour les jeunes, le BYOD est un droit
A noter que dans ce groupe de jeunes salariés, le BYOD est considéré comme un droit plutôt qu'un privilège, avec plus de la moitié (55%) des personnes souhaitant être autorisées à utiliser leurs propres appareils au travail ou à des fins professionnelles. Avec ce niveau d'attente, le véritable risque est que les salariés ignorent la politique de l'entreprise interdisant l'utilisation des appareils personnels. Plus d'un tiers (36%) des sondés ont ainsi admis avoir, ou seraient prêts à transgresser une telle politique. Cependant, cette dernière statistique, aussi inquiétante soit-elle, varie en fonction des pays, et positionne l'Inde comme étant le territoire le plus risqué. Il est surprenant de constater que 66% des sondés en Inde sont prêts à transgresser la politique de l'entreprise.
La menace posée par ce niveau de subversion ne saurait être trop soulignée. Par exemple, les personnes sont de plus en plus technophiles et capables de configurer leurs propres smartphones pour accéder aux emailsprofessionnels sans l'aide des départements informatiques. Mais avec l'OS Android, qui fait face à une très forte croissance en matière de logiciels malveillants, et avec des utilisateurs de smartphones accédant aux réseaux sociaux tels que Facebook (environnement de plus en plus dangereux), on peut aisément comprendre où se situent les menaces.
Doute sur le BYOD ?
L'enquête jette un doute sur l'idée que le BYOD conduit à une plus grande productivité en dévoilant les réelles motivations des jeunes employés à la pratique du BYOD. Seulement 26% des personnes interrogées dans cette catégorie d'âge citent l'efficacité comme la raison pour laquelle ils veulent utiliser leurs propres appareils, alors que 33% admettent que la principale raison est qu'ils aient accès à leurs applications préférées. Mais avec les applications personnelles à portée de main, les risques pour l'entreprise incluent certainement la distraction et la perte de temps. Pour étayer cette hypothèse, 46% des sondés reconnaissent la perte de temps comme la plus grande menace pour l'organisation, et 42% y voient une plus grande exposition aux menaces IT malveillantes et le vol ou la perte de données confidentielles. Pourtant, même avec de tels inconvénients, seulement 27% pensent que les risques l'emportent sur les avantages pour leur organisation.
De toute évidence, d'un point de vue utilisateur, il y a une grande part de contradiction autour du BYOD et une sorte d'égoïsme dans lequel les utilisateurs s'attendent à utiliser leurs propres appareils, mais surtout dans un intérêt personnel. Ils reconnaissent les risques pour l'organisation, mais sont convaincus que les risques valent la peine d'être pris. Donc, qu'en est-il de la responsabilité ? C'est une question clé pour toute entreprise qui envisage une politique gouvernant le BYOD, car le défi pour l'organisation est de mettre en place des mesures de sécurité pour assurer une intégration sécurisée des appareils personnels. Mais pour cela, il faut la coopération du propriétaire de l'appareil. L'enquête Fortinet suggère que gagner la coopération et le respect des salariés pourrait s'avérer plus difficile à obtenir qu'il n'y paraît. Deux tiers (66%) des personnes interrogées se considèrent elles-mêmes être finalement responsables de la sécurité de leurs propres appareils, et seulement 22% pensent que c'est l'entreprise qui est responsable. Bien que les propriétaires soient plus heureux d'utiliser leurs propres appareils dans l'environnement du travail, ils pourraient être très réfractaires à ce que l'organisation mette des limites sur leur utilisation, ou intervienne sur leurs appareils personnels pour installer des mesures de sécurité. La pleine mesure de ce délicat équilibre auquel fait face l'organisation est finalement dévoilée avec le fait que près d'une personne sur cinq envisage de ne pas utiliser ses propres appareils s'il sent que les systèmes de sécurité de l'organisation sont vulnérables au point de poser un réel risque envers ses propres données personnelles. Du point de vue de l'utilisateur, le BYOD est une pratique qui s'aborde sous ses propres conditions.
Le BYOD n'est pas prêt de disparaître
Alors que l'enquête de Fortinet contrebalance la croyance largement répandue que le BYOD est surtout bénéfique aux entreprises en mettant en avant certains défis de sécurité clés, elle montre également que les organisations doivent aborder la question au plus tôt si elles veulent bénéficier de tous les avantages d'une pratique contre laquelle elles auront beaucoup de mal à résister. Avec des utilisateurs disposés à adopter des stratégies subversives pour l'usage de leurs propres appareils mobiles, l'organisation doit assurer le contrôle de son infrastructure IT dès que possible. Le moyen le plus efficace de le faire est de sécuriser les accès entrant et sortant au réseau d'entreprise et de ne pas seulement implémenter la gestion des terminaux mobiles (Mobile Device Management). Il serait dangereux de se fier à une seule technologie pour relever ces nouveaux défis de sécurité. La stratégie à entreprendre est le contrôle précis sur les utilisateurs et les applications, au-delà des appareils.
Par Yann Pradelle, Fortinet, pour le magazine Réseau Télécom No 56