Bring your own device

Prenez vos appareils personnels

Terminaux mobiles : ordinateur portable, ultra portable, tablette et smartphone.

BYOD, abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels »[1] ou AVEC pour « apportez votre équipement personnel de communication »[2], est une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel.

Cette pratique pose des questions relatives à la sécurité de l'information et à la protection des données, ainsi que sociales et juridiques.

Origines du terme BYOD

L'origine de l'expression est une analogie avec l'expression anglaise BYOB (bring your own bottle) des années 1950.

  • 2005 : le terme BYOD a été mentionné en 2005 dans un document rédigé par Ballagas et al., A UBICOMP 2005.
  • 2009 : BYOD est définitivement inventé avec le support d’Intel qui a remarqué une tendance croissante chez les employés à apporter leur appareil personnel pour travailler et ainsi se connecter au réseau d’entreprise.
  • 2009: Le premier brevet mentionnant le BYOD, destiné à assurer la gestion et la sécurisation de l'approche IT du BYOD est déposé par la société Mobiquant[3]
  • 2011 : le terme prend de plus en plus d’importance lorsque les services informatiques Unisys et les éditeurs de logiciels systèmes VMware et Citrix reconnaissent l’émergence de ces dispositifs.
  • 2012 : l’Equal Employment Opportunity Commission des États-Unis (organisme d’application de la loi fédérale qui applique les lois contre la discrimination en milieu de travail) a adopté la politique BYOD. Cependant, de nombreux employés ont continué à utiliser leur BlackBerry fournis par le gouvernement pour deux raisons : problème de facturation et manque de dispositifs alternatifs.
  • 2014 : un tribunal en Californie a statué que les entreprises doivent dorénavant rembourser les appels de travail sur téléphone personnel d’un salarié dans l’État de Californie[4]

Sécurité

Perte de données

Selon Winn Schwartau, 25 % des salariés propriétaires de mobiles et pratiquant le BYOD perdent au moins une fois leur smartphone. Cela implique que des données professionnelles peuvent être perdues et en accès libre à celui qui trouvera cet appareil.

Problèmes liés au réseau

Les employés d’une entreprise ayant mis en place le BYOD, peuvent se connecter au réseau de celle-ci, cela inclut donc plusieurs connexions entrantes sans pour autant être contrôlées et donc de nombreux risques d’intrusions dans le réseau de la société. À noter aussi que les nombreuses connexions Wi-Fi des salariés avec leurs outils de travail peuvent entraîner une trop grosse demande en bande passante et par conséquent des latences sur les réseaux ou des déconnexions, cela entraînant parfois des pertes de données.

Sécurité des appareils

Ces appareils personnels sont par nature non prévus pour un usage professionnel mais un usage personnel. Il en résulte qu’ils n’ont pas toutes les sécurités nécessaires à l’usage professionnel puisque les systèmes d’exploitation ne sont pas prévus à cet effet. On remarque donc pour la plupart l’absence de pare-feu ou de chiffrement des données, le problème de pertes de données est en partie provoqué par cela. Selon Winn Schwartau : « Nobody controls his devices at 100% » (« personne ne contrôle ses appareils à 100 % »)[5].

Position de l’ANSSI

Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) de 2009 à 2014, se positionne clairement en 2012 contre l’usage de BYOD lors d’un discours des assises de la sécurité IT, en affirmant qu’il fallait « entrer en résistance vis-à-vis de la liberté totale de l’usage des nouvelles technologies en entreprise » et que « la sécurité c’est aussi le courage de dire non ». Il continue ensuite son discours en illustrant ses propos, par des exemples qui montrent la dangerosité de BYOD dans le monde professionnel[6]. L’ANSSI publie également une note en mai 2013 destinée aux DSI (direction des systèmes d’information) où elle met en évidence le fait qu’il est impossible d’avoir un haut niveau de sécurité avec un ordinateur ou une tablette ordinaire[7]. Patrick Pailloux a certes infléchi légèrement son discours en 2013, où il s’est dit ne pas être opposé à l’utilisation d’appareils grand public dans les entreprises, si ceux-ci étaient passés dans les mains de la DSI. La position de l’ANSSI, notamment à travers son directeur général, reste clairement contre l’usage du BYOD en entreprise pour des raisons de sécurité[8].

Guillaume Poupard, son successeur à la tête de l'ANSSI, présente une position plus ouverte lors des Assises de la sécurité IT organisées à Monaco en octobre 2014[9].

Alternatives

CYOD

Choose your own device[10] (en français, « sélectionnez votre appareil personnel » ou SAP)[11]. Cette optique propose aux salariés de choisir leurs propres appareils parmi un catalogue de terminaux approuvés par l’entreprise. Ainsi, ceux-ci sont paramétrés, approuvés et intégrés à la société qui s’évite donc tout problème lié à la législation et à la protection des données. Le matériel choisi reste par contre uniquement professionnel et propriété de l’entreprise. Si cette solution est de plus en plus envisagée, elle n’est pas aussi satisfaisante que le BYOD pour les salariés mais bien plus sécurisante pour les sociétés.

COPE

Corporate owned, personally enabled (en français, « voici votre appareil personnel » ou VAP)[12]. Le VAP prend le contrepied du PAP (en anglais BYOD) et garde le principe du matériel professionnel acheté par l’entreprise. Cela conserve les mêmes avantages vus pour le SAP (en anglais CYOD) mais avec un terminal qui peut aussi être utilisé personnellement par le salarié.

Virtualisation

Le principe : on désolidarise l’environnement de travail du poste de travail. Les données ne sont plus stockées au sein de l’entreprise mais sur un serveur accessible de partout aux salariés et de n’importe quelle sorte de terminal, le cloud. Cela permet une réduction des coûts mais aussi une sécurité importante, la DSI pouvant isoler le terminal d’accès du serveur.

Notes et références

  1. « Fiche terminologique - prenez vos appareils personnels », Office québécois de la langue française, Grand dictionnaire terminologique.
  2. [PDF] « Vocabulaire de l’informatique et des télécommunications - apportez votre équipement personnel de communication », Journal officiel du 24 mars 2013.
  3. (en) « 1. (WO2009101155) SYSTEM AND METHOD FOR SECURING THE OPERATION OF A MOBILE TERMINAL », sur patentscope.wipo.int (consulté le 18 novembre 2016).
  4. « Vous considérez le BYOD ? Pas si vite ! Voyons ce qu’en disent les tribunaux... », Caroline Lebrun, Cimpl.com, 25 septembre 2014 (consulté le 26 août 2016)
  5. « Hack in Paris pointe les dangers du Byod », sur 01net.com
  6. « Sécurité IT : l’ANSSI prescrit des "anti-BYOD-tiques" », sur itespresso.fr
  7. « L’ANSSI déconseille l’usage du BYOD », sur preventica.com
  8. « BYOD : L’Anssi infléchit son discours », sur lemagit.fr
  9. « Sécurité IT : on parle BYOD sur le Rocher », sur itespresso.fr
  10. « Le CYOD : le juste milieu entre BYOD et fourniture de l’appareil ? », sur zdnet.fr
  11. « Fiche terminologique - sélectionnez votre appareil personnel », Office québécois de la langue française, Grand dictionnaire terminologique (consulté le 26 août 2016).
  12. « Fiche terminologique - voici votre appareil personnel », Office québécois de la langue française, Grand dictionnaire terminologique (consulté le 26 août 2016)
  • Portail du travail et des métiers
  • Portail de l’informatique
  • Portail des télécommunications
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.