Avant d’évoquer les risques qui s’y attachent (§2), il convient d’expliquer en quoi consiste le BYOD (§1).
§ 1 : Définition
Le BYOD, littéralement « apportez votre propre matériel », désigne le fait que les salariés d’une entreprise utilisent leurs propres équipements personnels au travail (smartphones, tablettes, ordinateurs portables, périphériques de stockage). Cette pratique prend véritablement de l’ampleur.
Plusieurs facteurs expliquent cet engouement. D’abord, les salariés peuvent disposer d’une qualité d’équipement personnel supérieure à celle fournie par l’entreprise. En effet, les nouvelles technologies se démocratisent, les prix baissent et le grand public a aujourd’hui accès à des produits toujours plus perfectionnés. Les salariés souhaitent utiliser leur matériel plus récent, plus performant, dans leur travail, tandis que parallèlement le budget informatique des entreprises diminue. Ensuite, les employeurs sont sensibles aux réductions de coût que peut représenter le recours au BYOD et surtout au gain de productivité qu’il engendre : les salariés sont plus réactifs, peuvent traiter instantanément leurs mails, une demande d’un client.
Enfin, nous vivons aujourd’hui dans une société « hyper-connectée » dans laquelle les individus veulent pouvoir communiquer et obtenir des informations à chaque instant, tant dans leur vie personnelle que professionnelle. C’est particulièrement le cas des jeunes générations.
Lorsque l’entreprise autorise le BYOD, c’est généralement limité à certains collaborateurs et il s’agit alors d’une démarche guidée par l’envie : les salariés souhaitant utiliser leur matériel plus récent le peuvent. Mais cela pourrait évoluer vers une réelle obligation, le salarié se voyant allouer une enveloppe par son employeur afin qu’il achète son équipement et le rapporte dans l’entreprise pour travailler. On parle alors de « buy(85) your own device ». Cette conception existe déjà dans certaines entreprises, en matière de téléphonie notamment, et pourrait se répandre dans les années à venir.
Naturellement cette pratique n’est pas sans risques pour la sécurité du système d’information.
§2 : Les risques
Quelle que soit la conception adoptée (bring ou buy), la pratique du BYOD présente des risques pour l’entreprise. Ces risques portent à la fois sur les équipements personnels apportés par les salariés, sur le système informatique de l’entreprise et sur les liens entre les deux (réseau interne et internet). Et ils ne sont pas nouveaux, ce sont ceux qui pèsent sur tout système d’information : fuite, perte, vol de données, atteinte ou modification des données, intrusion frauduleuse dans le système. Mais ces risques sont fortement accrus par le BYOD, car le système devient mouvant et intègre des paramètres humains et techniques multiples et variés. Il est encore plus difficile d’assurer l’intégrité, la disponibilité et la confidentialité d’un système et des données dans ces conditions (A). De ce fait, cette pratique nécessite un réel encadrement de la part de l’entreprise (B).
A) Difficultés de sécurisation du système
Du fait du BYOD, les points d’accès au système d’information de l’entreprise sont en effet démultipliés, et ce sont autant de possibilités pour des hackers de s’introduire dans le système de l’entreprise et d’avoir accès à ses données. D’autant que l’employeur, bien souvent, n’est pas en mesure de sécuriser les terminaux personnels des salariés comme il pourrait le faire pour le parc informatique de l’entreprise, ces équipements sont donc plus vulnérables aux attaques des pirates informatiques. Le risque de malveillance interne peut être lui aussi favorisé, les salariés mal intentionnés bénéficiant de leur outil de travail en tout lieu et à tout moment, les opportunités de fraude sont potentiellement plus importantes.
Par ailleurs, le risque de perte ou de vol des appareils augmente naturellement avec la prolifération des terminaux mobiles. Corrélativement, c’est le risque d’atteinte aux données qui est particulièrement aggravé. Il peut arriver qu’un commercial oublie son smartphone contenant des données clients dans le train au cours d’un déplacement ou se le fasse voler dans le métro. Outre la pure perte d’informations que cela représente pour l’entreprise et qui est déjà dommageable, c’est la confidentialité des données qui est menacée. Le voleur peut en effet se contenter de garder l’appareil, mais il peut aussi le revendre ou exploiter les informations qu’il contient. De même en cas de perte du terminal mobile, n’importe qui pourra s’en emparer, avec des intentions louables ou non.
En outre, l’entreprise ne peut pas contrôler totalement l’usage que font les salariés de leurs équipements personnels. Or, on l’a vu, une simple erreur de manipulation peut provoquer une atteinte à la sécurité du système. Là encore, c’est la confidentialité des données qui est très concernée. Il faut s’assurer qu’aucune autre personne que le salarié ne puisse avoir accès aux données de l’entreprise. Mais cette dernière ne peut pas interdire aux employés le prêt de leur matériel à un proche. L’employeur ne peut pas non plus les empêcher de revendre leurs équipements ou encore de les confier à un tiers pour réparation.
La mise en place de certaines règles s’avère cependant incontournable.
B) Un encadrement nécessaire
Pour limiter les risques, il est important que les entreprises encadrent le recours au BYOD par leurs collaborateurs. Il est ainsi conseillé de définir la population autorisée à y recourir (utilisation généralisée ou limitée à certains employés), les équipements personnels pouvant être apportés (ordinateurs, smartphones, etc), l’usage qui peut en être fait (téléphonie uniquement, applications critiques, etc) et enfin les informations accessibles via les terminaux personnels des employés (intranet, données confidentielles, etc). En fonction des réponses à ces questions, il est possible d’identifier et de quantifier plus précisément les risques et de mettre en place des mesures de sécurité techniques adéquates (mot de passe, chiffrement des données, etc.) sans toutefois imposer trop de contraintes aux utilisateurs sous peine de provoquer un rejet de leur part.
Des règles doivent également être prévues s’agissant des modalités de sauvegarde des données, des protections anti-virus le cas échéant et des logiciels pouvant ou devant être installés sur les appareils personnels.
Il s’agit aussi de sensibiliser les utilisateurs quant aux risques précités et de les responsabiliser en imposant des règles de comportement dans le cadre du BYOD. Tout cela peut être prévu dans une charte informatique voire dans le contrat de travail.
Reste que bien souvent, les entreprises tolèrent pour certains de ses salariés (cadres notamment) plus qu’elles n’autorisent officiellement ce genre de pratique. Dans ce cas, elles n’établissent pas forcément des règles strictes.
L’utilisation de ces équipements personnels sur le lieu de travail est très récente en France. En effet, jusqu’en 2010, la plupart des chartes informatiques l’interdisaient et beaucoup d’entreprises l’interdisent toujours. Selon de nombreuses études, la France, et plus généralement l’Europe, sont très en retard par rapport à d’autres régions du monde comme l’Amérique du Nord ou l’Asie. Une étude réalisée par le groupe Cisco Internet Business Solutions Groupe (IBSG) révèle que « seulement 50% des salariés français utilisent leurs périphériques mobiles personnels sur leur lieu de travail », alors que cela concerne 70% des salariés aux USA ou en Chine. Cette réticence française s’explique peut-être par l’encadrement et les investissements nécessaires pour une pratique sécurisée du BYOD. Mais ce phénomène n’ira qu’en s’accentuant avec l’arrivée des jeunes générations sur le marché du travail.
Outre le BYOD, une autre pratique prend aujourd’hui beaucoup d’ampleur : le cloud computing. Le recours à ce type de service a de quoi séduire les entreprises. Mais les risques afférents pour la sécurité des systèmes d’information doivent également être remarqués.
85 Signifie acheter
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance