BYOD, une nouvelle tendance susceptible d’en intéresser plus d’un !
Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device. Le BYOD, c’est la fusion des téléphones personnel et professionnel, ou comment se servir de son propre terminal pour un usage d’entreprise.
Ce phénomène a une explication : l’explosion du taux de pénétration des smartphones sur le marché Grand Public. En 2010, 270 millions de ces smartphones ont été vendus dans le monde, soit 55% de plus qu’en 2009.
Aux États-Unis, ce sont 43 % des cadres des entreprises de plus de 500 salariés qui utilisent déjà des équipements personnels sur les réseaux et les systèmes d’entreprise[1].
Cependant, l’entreprise devra faire face à quelques difficultés…
Du point de vue de l’entreprise, la question de la gestion multi-OS / terminaux pourrait s’avérer délicate et complexe pour les DSI. Outre l’aspect de la sécurité des informations qui transitent, les mises à jour des terminaux peuvent être source de grandes difficultés au sein du département télécom qui gère cette flotte. Cependant, des solutions industrielles sont aujourd’hui capables de gérer la diversité des plates-formes et des terminaux mobiles.
Du coté des DSI, 3 points nécessitent d’être traités :
– La sécurité du SI vis-à-vis du terminal (contrôle des accès, chiffrement et contrôle des flux…)
– La sécurité du terminal lui-même (authentification locale, chiffrement des données stockées…)
– La gestion du parc de terminaux mobiles (Mobile Device Management ou MDM)
Comment l’entreprise doit-elle gérer ce phénomène ?
Un grand nombre d’entreprises cherchent à intégrer les iPhone personnels de leurs salariés dans un environnement professionnel. Astra Zeneca, par exemple, estime qu’il lui serait possible de réduire ses coûts de 2 millions de dollars par an, en demandant simplement à ses sous-traitants et à certains de ses employés d’utiliser leurs propres équipements. Les employés qui ont adopté cette « BYOD Attitude » la jugent plus rentable et plus efficace dans leur quotidien.
Face à cette tendance, il existe en réalité trois écoles chez la plupart des responsables Télécom et Sécurité :
– La première prône le « laissez-faire, laissez-passer » : cela consiste à ne mettre aucune barrière dans l’usage professionnel des mobiles personnels des employés. Cette approche peut s’avérer périlleuse car presque aucun contrôle n’est effectué sur les flux entrants et sortants touchant le réseau de l’entreprise. La sécurité des données de l’entreprise, l’un des points d’attention principaux du BYOD, est alors mise à rude épreuve.
– La seconde école : celle du « protectionnisme », consiste à interdire le BYOD au sein de l’entreprise. Cette méthode met en avant une sécurité des données intacte et la potentielle perte de productivité générée par l’usage de terminaux personnels au travail. Mais elle fait peu de cas de la réalité des usages et peut déboucher sur la critique par les employés, d’une politique trop rigide, voire suspicieuse de la DSI. Notons que cette approche mène presque toujours à des pratiques « sauvages » hors contrôle.
– Dernière école, enfin : l’ouverture de l’accès au réseau de l’entreprise de certains types de terminaux / certaines plates-formes uniquement, iPhone et BlackBerry en tête.
Des solutions techniques existent pour gérer le compromis Sécurité / Ouverture…
Des solutions spécialisées existent à date sur le marché pour permettre l’usage professionnel de son terminalpersonnel. Ces solutions reposent sur la mise en place de silos « entreprise » permettant d’isoler les données sensibles dans des espaces spécifiques (applications, boite aux lettres, agenda…).
Certaines consistent à déployer une plate-forme dédiée, entre autres celles de Sybase et de Good Technology. Concrètement, ces suites incluent la gestion centralisée des emails, du calendrier, des contacts, des tâches ou encore l’accès à distance aux applications métiers.
Cette brique technologique peut être adressée au travers de l’opérateur mobile de l’entreprise : il a intérêt à se positionner comme fournisseur de service afin de trouver la solution idoine capable de répondre aux exigences particulières des comptes qu’il gère.
… Mais l’entreprise se doit de statuer sur les points d’attention juridiques et RH générés par la tendance BYOD
Attention : cette mutation de l’usage des Smartphones pour accéder au SI de l’entreprise, est perçue de façon différente par les utilisateurs et les discours divergent :
– là où certains voient un outil qui leur simplifie la vie…
– …d’autres perçoivent une contrainte supplémentaire qui les incite à étendre leur travail au-delà des heures de bureau.
A l’heure où de nombreux témoignages rapportent que « l’hyper-connectivité » devient addictive, il est important que les départements RH se positionnent sur plusieurs thèmes :
– Le fait de lire ses mails professionnels sur ton propre téléphone dans le métro peut-il (ou doit-il) être considéré comme du temps de travail supplémentaire ?
– Quels sont les impacts de l’usage de son terminal personnel : y-a-t-il un stress induit par le fait d’être connecté en permanence ?
– Il peut parfois aussi s’avérer important de veiller à ne pas créer de discrimination entre les collaborateurs qui peuvent/veulent acheter un Smartphone et les autres.
L’aspect juridique doit, lui aussi, être clairement défini, et les questions qui sont généralement posées sont les suivantes :
– Jusqu’où l’entreprise peut-elle maîtriser le terminal personnel de l’utilisateur (le tracer, effacer son terminal à distance, récupérer certaines données personnelles…) ? N’oublions pas qu’elle reste responsable de l’usage qui est fait par les moyens qu’elle offre à ses employés.
– Jusqu’où l’usage de l’employé peut-il aller, en particulier concernant des données de l’entreprise ? Il semble clair, aux yeux de la loi, qu’elles restent bien la propriété de cette dernière, même si elles sont stockées sur un terminal personnel.
– Qu’en est-il de la partie matérielle ? Si un collaborateur casse son Smartphone alors qu’il l’utilisait pour consulter ses e-mails professionnels, qui doit payer la réparation ?
Pour couvrir ces sujets, une modification du contrat de travail semble être une action trop longue et complexe. On lui préfère en général une charte signée par l’utilisateur, et par exemple annexée au règlement intérieur.
Il reste cependant une grande inconnue, sur laquelle il paraît tôt de se positionner : le BYOD va-t-il trouver sa place comme pratique à long terme ? Le phénomène de « consumérisation » fait en effet l’objet de nombreux débats depuis des années, sans que l’on puisse affirmer qu’il a réellement réussi à percer…
[1] Gartner, « Economic Factors Accelerate Employees’ Use of Personally Owned Equipment », 7 janvier 2009