BYOD : la sécurité oui, mais comment ?

Maria Ramirez FernandezAu delà des Pyrénées … l’Espagne. Ah, l’Espagne, son soleil, ses plages, ses chipirones, son flamenco… et Maria! Maria Ramirez Fernandez est Ingénieur Avant-Ventes chez Trend Micro Espagne, à Madrid. Elle s’intéresse de près au phénomène du BYOD en entreprise, aussi appelé consumérisation informatique. Maria est particulièrement prolixe, puisqu’elle anime le blog de Trend Micro Espagne. L’occasion pour moi de lui poser pêle-mêle toute une série de questions sur sa vision du BYOD.

Le Sécuriscope : On entend beaucoup parler des problématiques de sécurité engendrées par le BYOD ? Pourrais-tu nous dire ce qu’il en est en Espagne ?

Maria Ramirez Fernandez : des études, dont les résultats ont été rendus publics, démontrent que, malgré l’intérêt des entreprises et des employés pour cette nouvelle tendance qu’est la mobilité, 42% des entreprises espagnoles ne cautionnent pas l’utilisation de dispositifs personnels. Parmi celles qui le tolèrent, 36% ont intégré cette pratique du BYOD dans leur politique interne depuis des années, 15% depuis quelques mois et 7% affirment qu’ils vont adopter le BYOD à court terme. Mais il y a un souci : seules 18% des entreprises qui ont adopté le BYOD ont mis en place, en parallèle, une politique de sécurité dédiée, tandis que la majorité d’entre elles (58%) déclare ne disposer d’aucun outil pour gérer ces dispositifs personnels.

D’autres études relatives au BYOD révèlent que le principal effort des entreprises devrait porter sur la sécurisation des dispositifs personnels pour 54% des entreprises interrogées, suivi de la sécurisation des applications (21%), de la gestion des dispositifs (18%) et de l’infrastructure pour gérer les accès sans fils (7%). 39% des entreprises déclarent avoir été victimes d’une problématique de sécurité liée à l’utilisation de périphériques non autorisés par leurs employés, surtout dans les secteurs pharmaceutique et des biens de consommation. Plus de 83% des responsables informatiques considèrent qu’autoriser aux collaborateurs un accès en 24×7 au réseau de l’entreprise représente, actuellement, la plus grande menace pour la sécurité informatique des entreprises.

On parle beaucoup des problématiques que pose le BYOD aux DSI et RSSI, mais quels sont les avantages de ce phénomène ?

Partout dans le monde, les collaborateurs veulent garder la main sur la façon dont ils travaillent. Autrement dit, les collaborateurs défendent le BYOD car ils pensent ainsi mieux contrôler l’organisation de leur travail, jusqu’à vouloir choisir leur dispositif personnel et réaliser des tâches personnelles sur leur lieu de travail et inversement. Les collaborateurs se sentent plus motivés à travailler avec leur dispositif perso qui contient également des renseignements personnels, des photos, des applications, des jeux… Même si cela semble curieux, les laisser utiliser leur propre dispositif peut être un levier de motivation. Un dirigeant a tout intérêt à ce que les collaborateurs soient motivés et, en ce sens, le BYOD est son allié.

Pour les RSSI, en revanche, l’enjeu est différent. Ils doivent intégrer les risques de sécurité liés au BYOD dans leur politique de sécurité (fuite d’informations confidentielles, surf sur des sites web malveillants…). C’est la raison pour laquelle une solution de sécurité associée à la gestion des dispositifs mobiles (MDM : Mobile Device Management) est primordiale. Les utilisateurs sont souvent inconscients des risques entraînés par le BYOD, et ne comprennent pas qu’on leur impose des règles d’utilisation de leurs dispositifs mobiles. Nombre d’entre eux n’y voient aucun risque !


Quels sont les avantages pour les employés ? Je suppose que ces avantages doivent être conséquents puisque certains préfèrent payer eux-mêmes leur iPhone ou iPad!

Il a en effet été démontré que la plupart des utilisateurs disposant d’un smartphone l’utilisent au sein de l’entreprise (en Espagne, cela représente 81% de la population active) : utiliser ces dispositifs mobiles personnels est devenu un droit ! Pour ces collaborateurs, notamment ceux issus de la génération Y, il est inconcevable de passer plus d’une journée sans utiliser leur téléphone, sans accéder aux réseaux sociaux, ou sans envoyer d’e-mails ou de SMS. Or la plus grosse crainte du BYOD pour les entreprises réside dans la sécurisation de ces dispositifs. En Espagne, 26% de cette population active se dit prête à enfreindre les règles de sécurité de l’entreprise si on leur interdisait d’utiliser leurs dispositifs mobiles au travail. 74% d’entre eux se considèrent comme étant responsables de la sécurité de leurs appareils. Je pense d’ailleurs que ces chiffres s’appliqueraient bien ailleurs qu’en Espagne.

Il semble que les dispositifs personnels sont surtout utilisés pour accéder à Internet, consulter son courrier ou envoyer des messages, et non pour accéder aux données sensibles de l’entreprise (CRM, ERP…). Es-tu d’accord avec cela ? Et si tel est le cas, n’en fait-on pas un peu trop en matière de sécurité ?

Tout employeur qui veut intégrer le BYOD au sein de son entreprise se doit d’être prudent. Les RSSI, conscients des dangers que peut engendrer cette nouvelle tendance, mettent en place des solutions au niveau de leurs serveurs et applications d’entreprise pour éviter les fuites d’informations. Ils portent leur attention sur la sécurisation des applications métiers qui hébergent des données sensibles de l’entreprise. Je ne pense pas qu’il s’agisse de tirer le signal d’alarme à tout va, mais juste de prendre conscience des dangers liés au BYOD.

Comment un employé peut sécuriser son dispositif personnel puisqu’il n’appartient pas à l’entreprise ? En d’autres termes, faut-il protéger les dispositifs personnels ou l’accès au réseau d’entreprise ?

Idéalement il faudrait mettre en œuvre des mesures de sécurité tant sur les appareils des utilisateurs que sur l’accès au réseau. Mais beaucoup d’utilisateurs ne sont pas prêts à accepter un logiciel « intrusif » sur leur dispositif. Ce dernier serait désinstallé par l’utilisateur s’il ralentit son appareil. L’important est de parvenir à un accord. La protection des informations d’entreprise est fondamentale: des solutions de prévention des fuites de données ou d’antimalware, mises à jour fréquemment, peuvent constituer des mesures suffisantes pour éviter les accès indésirables aux informations d’entreprise. Pour que cela fonctionne, il est fondamental que la mise en place d’une politique de sécurité mobile fasse l’objet de discussion avec les collaborateurs.

Quelle sera l’évolution du BYOD à moyen terme? Aurons-nous tous, ou presque, accès aux informations de l’entreprise via nos dispositifs personnels ? Si oui, dans quelle mesure les employés accepteront-ils d’être contrôlés par leur entreprise pour éviter les fuites de données ?

D’après les prévisions, le BYOD va se généraliser en entreprise. Les possibilités qu’offrent ces dispositifs facilitent le travail des collaborateurs. Par conséquent, les employeurs doivent envisager d’intégrer le BYOD au sein de leur entreprise, voire d’en tenir compte lors des recrutements. Le BYOD n’est pas synonyme de fuite de données. Avec une bonne politique de sécurité qui contrôle l’accès à l’information, le BYOD devient un avantage considérable pour toutes les entreprises, en matière de maîtrise des coûts et de productivité notamment.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.