Le BYOD, c’est « Bring Your Own Device » ou en français « Apportez vos appareils personnels ». Il s’agit d’une pratique consistant à permettre à ses employés d’utiliser leurs appareils personnels (téléphone, ordinateur portable, poste de table, tablette électronique) dans un contexte professionnel.[1] L’usage veut que les employés d’une entreprise achètent leur propre équipement dans le but de l’utiliser à des fins professionnelles, et ce, avec ou sans le support de la fonction informatique de l’organisation. Les utilisations sont variées, mais consistent généralement à accéder aux courriels, contacts, calendriers, documents, web apps, applications diverses, outils de collaboration et autres systèmes d’entreprise.
Avec la multiplication des appareils personnels, la diminution des frais d’utilisation et la démocratisation de l’utilisation de ces appareils, le « BYOD » est aujourd’hui une tendance lourde dans le monde des technologies. Selon un sondage réalisé en 2013, près de 60% des travailleurs accédaient à des données liées à leur emploi via leur téléphone intelligent ou leur tablette. En contrepartie, seulement 1/3 des entreprises avaient mis en place des outils de gestion et des processus pour l’utilisation de ces appareils.[2]
Il existe plusieurs avantages pour une entreprise à encourager l’utilisation par les employés de leurs appareils personnels pour accéder aux données et systèmes de l’organisation, notamment :
- Le « BYOD » facilite le télé-travail, ce qui favorise un meilleur équilibre travail/famille;
- Les employés sont plus heureux et plus satisfaits . Ils utilisent ce qu’ils aiment – et ce qu’ils ont investi leur argent durement gagné;
- Les employés n’ont pas à faire face aux défis budgétaires de leur employeur, ce qui est souvent un soulagement pour eux;
La tendance « Bring your own device » vient cependant avec son lot de problèmes. En effet, les entreprises ayant adopté la pratique « BYOD » doivent gérer et supporter des appareils mobiles hétéroclites (différentes marques et modèles) et tournants sous des systèmes d’exploitation différents (iOS, Android, Windows, etc.). Elles sont confrontées à de gros défis en termes de support, de sécurité, de contrôle, de gestion du parc mobile. Le problème de gestion de la vie professionnelle versus la vie personnelle des employés fait également partie de l’équation.
En tant que dirigeant de PME, que devriez-vous faire pour limiter les risques liés au BYOD? Voici les neuf meilleures pratiques à mettre en place pour une saine gestion des appareils personnels dans votre entreprise.
- Implémenter une politique d’accès à distance et d’utilisation des appareils personnels et la diffuser aux employés
Mettre en place une politique d’accès à distance et d’utilisation des appareils personnels vient baliser la conduite de vos employés. Cette politique inclut notamment la liste des appareils acceptés, des règles sur la sécurisation des appareils (code de sécurité activé), la définition d’un mot de passe adéquat et sécuritaire (Minuscule, majuscule, chiffre, caractère spéciaux, etc.), ce qui peut et ne peut être téléchargé via le réseau de l’entreprise, etc.
Bien que vos employés utilisent leurs appareils personnels, il est important de leur rappeler que cette utilisation se fait dans un contexte de travail et que pour la pérennité de l’organisation, des règles de conduite et d’utilisation doivent être dictées. Assurez-vous que les employés ont lu la politique et y adhèrent et la respecte.
- Construire une infrastructure optimisée pour le « BYOD » et les appareils mobiles
La création d’un réseau distinct pour les appareils personnels permet une meilleure gestion du trafic sur le réseau et un contrôle accru des données qui circulent de ou vers ces appareils. Ce réseau distinct facilite également l’authentification, en accord avec les principes dictés par la politique d’utilisation, des appareils qui se connectent sur le réseau et permet ainsi d’éliminer les accès non autorisés.
- Mettre en place un processus pour gérer le départ d’un employé
Que ce soit un départ volontaire, un congédiement ou encore un décès, le départ d’un employé doit être géré adéquatement. Il est important de s’assurer qu’un employé n’emporte pas avec lui des secrets de l’organisation. Pour ce faire, des actions doivent être prises, souvent avant même le départ de l’employé. Ce processus viendra indiquer la marche à suivre dans de tels cas.
- Mettre en place une gestion des accès et de l’identité
La gestion des accès et de l’identité est utilisée pour initier, capturer, enregistrer et gérer l’identité des utilisateurs et les accès qui leur sont accordés. Des outils spécialisés sont disponibles pour mettre en œuvre une telle politique et gérer les autorisations de façon automatisée. La gestion automatisée assure que les privilèges d’accès sont accordés selon une seule interprétation de la politique et que les accès seront adéquatement authentifiés, autorisés et audités.
La gestion des accès et de l’identité améliore la sécurité tout en réduisant la complexité et en limitant plusieurs des risques usuellement associés aux environnements hétérogènes. Une approche rationnelle pour l’accès aux données corporatives et aux systèmes devrait comporter une politique de contrôle des accès, la séparation des rôles de façon structurée et une authentification unique (single sign-on).
La mise en place de la gestion des accès et de l’identité réduit considérablement les risques d’un incident de sécurité même si vos employés utilisent leurs appareils personnels de plus en plus fréquemment.
- Protéger l’information sensible et/ou personnelle
L’information est le nerf de la guerre pour les organisations de nos jours. Les données sur vos clients, vos marchés, vos produits, vos fournisseurs, tout est dorénavant informatisé et peut faire la cible d’un concurrent ou d’un simple hacker malveillant. L’utilisation d’appareils personnels augmente les risques liés à l’accès aux données sensibles. C’est pourquoi il est important de s’assurer que les données que l’entreprise possède soient correctement sécurisées. Qui n’a pas lu sur le vol d’informations bancaires, de brevets ou de techniques de fabrication?
- Surveiller et enregistrer toutes les activités
Pour diverses raisons, il peut être nécessaire de connaître quelles activités se sont déroulées pendant une période donnée sur votre réseau d’entreprise. Par exemple, pour retracer un accès non autorisé ou encore confronter un employé sur une utilisation prohibée par la politique d’utilisation. La mise en place d’outils de surveillance et d’enregistrement des activités est primordiale pour conserver un contrôle des réseaux et des systèmes de l’organisation.
- Séparer les données corporatives des données personnelles sur les appareils
Dans un monde idéal, les données d’entreprise sont séparées des données personnelles. Un des moyens d’y parvenir est de créer un espace de travail cloisonné sur les appareils personnels. Cette façon de faire permet d’éviter un mélange des informations ou applications personnelles avec celles corporatives et aide à réduire les risques qui pourraient mener à compromettre des données sensibles.
Par ailleurs, en regard de la loi sur la vie privée, l’organisation ne doit pas avoir accès aux informations personnelles des employés. Les mécanismes adéquats doivent donc être mis en place pour éviter tout accès.
- Implanter l’effacement à distance des appareils
Vous devez être prêt à faire face à toute éventualité. Le vol ou la perte d’un appareil est fréquent de nos jours. Si des données sensibles se retrouvent sur l’appareil, l’entreprise doit être en mesure de prendre les actions adéquates pour éviter que ces informations ne se retrouvent entre de mauvaises mains. La mise en place d’un outil permettant l’effacement à distance des données sur l’appareil est un exemple parfait de ce type de mesure.
- Encrypter les données sur les appareils
L’ajout de l’encryption sur les appareils est un moyen efficace de protéger les données de la perte ou du vol. Il existe aujourd’hui des outils permettant une gestion centralisée des politiques d’encryption basée sur les notions d’utilisateurs, groupes et sensibilité des données. En encryptant les données sur les appareils personnels, les organisations parviennent ainsi à réduire drastiquement les risques liés à la sécurité des données sur ceux-ci.
Si vous souhaitez partager vos réflexions sur cet article, il suffit de répondre à ce message ou écrivez-nous à info@6dt.ca. Nous avons hâte de lire vos commentaires.
[1] Wikipédia
[2] Ovum’s 2013 Bring-Your-Own survey of 4,371 employees in businesses in 19 countries