Bring your own device

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis BYOD)
Aller à : navigation, rechercher

BYOD (abréviation de l’anglais « Bring your own device » : « Apportez vos appareils personnels » ; en français : PAP, abréviation de « Prenez vos appareils personnels »[1] ou encore AVEC, abréviation d'« Apportez votre équipement personnel de communication »[2]) est une pratique qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel. Ces appareils facilitent l’accès aux informations et applications de l’entreprise. Cette pratique pose des questions relatives à la sécurité de l'information et à la protection des données, ainsi que sociales et juridiques.

Apparu avec les premiers ordinateurs portables qui ont permis de gommer la frontière entre monde personnel et professionnel, ce phénomène a tendance à se répandre au sein des entreprises. Selon une étude menée par un cabinet d'étude indépendant, en 2013, 71 % des collaborateurs interrogés utiliseraient à titre professionnel des solutions non mises à disposition par leur entreprise[3].

En raison de l'absence de contrôle, l'approche BYOD est généralement considérée comme risquée par les entreprises, qui lui préfèrent l'approche COPE (abréviation de l'anglais Corporate Owned, Personally Enabled) ou « Propriété de l'entreprise avec accès privé » permettant de contrôler et d'administrer les terminaux au sein de la politique informatique de l'entreprise.

Origines[modifier | modifier le code]

2005 : Le terme BYOD a été mentionné en 2005 dans un document rédigé par Ballagas et al., A UBICOMP 2005.

2009 : BYOD est définitivement inventé avec l’autorisation d’Intel qui a remarqué une tendance croissante chez les employés à apporter leur appareil personnel pour travailler et ainsi se connecter au réseau d’entreprise.

2011 : Le terme prend de plus en plus d’importance lorsque les services informatiques Unisys et les éditeurs de logiciels systèmes VMware et Citrix reconnaissent l’émergence de ce dispositif.

2012 : L’« Equal Employment Opportunity Commission » des États-Unis (organisme d’application de la loi fédérale qui applique les lois contre la discrimination en milieu de travail) a adopté la politique BYOD. Cependant, de nombreux employés ont continué à utiliser leur BlackBerry émis par le gouvernement pour deux raisons : problème de facturation et manque de dispositifs alternatifs.

2014 : Un tribunal en Californie a statué que les entreprises doivent dorénavant rembourser les appels de travail sur téléphone personnel d’un salarié dans l’État de Californie. 

Aspect technique[modifier | modifier le code]

Intérêt[modifier | modifier le code]

BYOD est une nouvelle tendance qui consiste à utiliser son propre matériel informatique à la place de celui que pourrait fournir l’entreprise. Cela comporte principalement deux intérêts. Le premier est tout d’abord pour le salarié, qui va pouvoir utiliser son propre matériel, ce qui a plusieurs avantages pour lui. Ainsi, il sera mieux adapté à son propre matériel qu’il connaît et maîtrise mieux, donc plus efficace. Par ailleurs, de plus en plus de salariés possèdent plusieurs terminaux informatiques, à savoir un ordinateur, un smartphone, voire une tablette en plus. Cela va permettre à l’employé de pouvoir travailler sur son outil informatique à chaque instant s’il le souhaite et ce même en dehors des locaux de l’entreprise[4].

Le deuxième intérêt est pour l’entreprise qui emploie. En effet, ce phénomène permet à celle-ci d’une part de diminuer ses coûts de structure en informatique et même en locaux, puisque certains salariés pourront travailler directement de leur domicile sans la nécessité d’avoir un bureau personnel au sein de la société. D’autre part, BYOD peut amener à un gain important en productivité pour l’entreprise, puisque les salariés travailleront plus efficacement avec leur propre matériel et le fait de confondre leur outil professionnel et privé leur octroie une plus grande réactivité, puisqu’aujourd’hui la très grande majorité des salariés a constamment au moins un terminal informatique immédiatement disponible. En outre, cela améliore la communication dans les entreprises entre les salariés, notamment à travers la mise en place de réseaux sociaux d’entreprise. Enfin, le gain de productivité peut être obtenu aussi par le consumérisme des employés, puisque beaucoup aiment avoir les derniers modèles qui sont bien souvent les plus performants et donc plus performants que ceux qu’auraient pu leur proposer leurs entreprises qui renouvellent moins leurs appareils électroniques.

Pour ce faire, les entreprises doivent adapter leurs infrastructures à ce nouveau phénomène d’autant plus qu’il doit être très encadré en raison des problèmes de sécurité qui peuvent apparaître. En effet, si BYOD amène à des gains et à des réductions de coûts importantes pour l’entreprise, il peut également se produire l’effet inverse s’il est mal géré. Ainsi, certaines sociétés vont être obligées de mettre en place des réseaux sans fil au sein de leurs infrastructures pour celles qui n’en possédaient pas, car certains terminaux aujourd’hui, à l’image des tablettes ne peuvent se connecter que par ce biais. Il est également indispensable pour limiter les risques (pertes de données, conflits juridiques…) de mettre en place un système de gestion de droit numérique et d’adapter l’infrastructure de l’entreprise à supporter des flux supplémentaires qui représentent aussi un coût. Ces systèmes peuvent se traduire notamment par l’embauche d’un ou de plusieurs informaticiens selon la taille de l’entreprise dédiée aux interventions (que ce soit pour des réparations, des contrôles ou encore des aides) sur les périphériques personnels des salariés. Cela est très important  du fait que les employés doivent absolument être sensibilisés aux enjeux de BYOD (la négligence des salariés étant la principale crainte des employeurs utilisant BYOD).  Pour ce qui est des applications du système d’information de l’entreprise devant être mis sur les terminaux des salariés, certaines sont directement disponibles au moyen d’un simple navigateur, mais d’autres plus lourdes ne le sont pas et nécessitent une plus grande vigilance. Pour celles-ci, la virtualisation du poste de travail semble être la solution la plus efficace. Cela consiste à remplacer le poste de travail par des services informatiques gérés de façon centralisée. Par ailleurs, en raison de l’ampleur qu’a pu prendre BYOD, de nombreuses entreprises (Microsoft, Samsung, Good technology…), se sont intéressées à la partie liée à la sécurité qui soulève beaucoup de questions et ont décidé de lancer des logiciels (Good work, My Knox…) pour tenter de régler ces problèmes. Ces logiciels visent à scinder en deux parties son smartphone (une partie privée et une professionnelle) afin de sécuriser ce dernier[5].

Impact économique[modifier | modifier le code]

Les avantages de BYOD se traduisent économiquement, puisque plus de 70 % des entreprises qui l’ont mis en place ont déclaré avoir obtenu des gains de productivité liés à leurs salariés et une économie de coûts liée à l’absence d’achats de nouveaux terminaux informatiques.

Par ailleurs, une étude menée par Landesk software a démontré que le BYOD permettrait aux entreprises d’économiser 180 000 € sur 5 ans. Celle-ci se base sur le fait que 81 % des sociétés autorisent le BYOD et que 39 % des salariés achètent leurs propres terminaux informatiques. Mais ces chiffres ne tiennent compte que de la baisse des charges pour l’entreprise, cela ne prend pas en compte les gains de productivité, ni les charges qu’elle pourrait être amenée à supporter pour mettre en place la stratégie BYOD, celles-ci étant plus difficilement mesurables[4].

BYOD peut donc avoir des impacts négatifs sur les entreprises, et une enquête réalisée par Check Point est venue chiffrer ce phénomène. Ainsi, sur 700 professionnels interrogés un peu partout dans le monde (Amérique du Nord, Europe, Australie), 95 % se sentent menacés par des problèmes de sécurité et 42 % indiquent que ceux-ci auraient entraîné un coût financier supérieur à 250 000 $[6].

BYOD peut donc avoir un réel impact économiquement parlant pour les entreprises, mais pour que cet impact soit positif, il faut que la stratégie soit très encadrée pour ne pas avoir de mauvaises surprises, notamment en termes de sécurité. BYOD peut donc devenir un véritable enjeu stratégique pour les entreprises.

Aspect social[modifier | modifier le code]

Avec le développement des technologies modernes et l’entrée dans le monde du travail des étudiants issus de la génération Y, le monde professionnel doit faire face à de nouvelles habitudes de travail. Ce phénomène ne se développe pas uniquement en France, il est international. Les étudiants sortant de leurs études et entrant dans le monde du travail ont pris l’habitude d’utiliser leur Smartphone ou leur tablette informatique durant toute la journée, tant pour consulter leurs mails que pour se tenir au courant de l’actualité. Désormais, la plupart des travailleurs possèdent plusieurs interfaces informatiques de travail, à tel point qu’une grande majorité des employés n’envisagent pas de travailler sans leurs interfaces personnelles. Les entreprises ont dû s’adapter à cette nouvelle tendance car un certain nombre d’employés ne se préoccupait pas des chartes informatiques qui leur interdisaient l’utilisation de leurs appareils personnels à des fins professionnelles.

Cela permet donc aux salariés d’avoir un maximum de flexibilité[7]. Ils sont de plus en plus amenés à se déplacer pour leurs activités et le fait de ne pas avoir à changer de périphériques lors de leurs déplacements permet d’accroître la mobilité.

BYOD peut également conduire à des tensions entre les employés du fait des inégalités que cela va provoquer parce qu’ils n’auront pas obligatoirement les mêmes périphériques.

Une des craintes majeures des dirigeants était de voir leurs employés distraits par les applications et les contenus personnels, par exemple les réseaux sociaux. Cette appréhension ne s’est donc pas révélée correcte comme le prouve le rapport d’étude de Cisco IBSG de 2012[8].

La satisfaction au travail des salariés est aussi un des aspects positifs du BYOD sur le plan social. En effet, les employés se sentent plus impliqués dans leur travail. Ils ont la possibilité d’utiliser les périphériques de leur choix, ce qui les motive davantage. De plus, le fait d’utiliser le périphérique dans le cadre professionnel et personnel permet à l’employé de s’adapter plus rapidement, son temps d’apprentissage et de prise en main de l’interface sera donc réduit.

Enfin, le troisième aspect positif du BYOD concerne la société car ce phénomène lui permet de diminuer ses coûts liés aux périphériques mobiles[9] car l’employé assume tout ou une partie de dépenses liées à ce périphérique, même si cette économie doit être nuancée par le fait que des frais supplémentaires vont être nécessaires pour sécuriser les informations professionnelles sur ces périphériques.

Cette tendance  BYOD, malgré les avantages qui peuvent être attendus, risque  d’amener de nouvelles menaces dans les entreprises mettant en place ce concept. En effet, cette tendance soulève des problèmes de sécurité et également de droit du travail et de gestion des ressources humaines au sein de la société.

Sécurité[modifier | modifier le code]

Perte de données[modifier | modifier le code]

Selon Winn Schwartau, 25 % des salariés propriétaires de mobiles et  pratiquant le BYOD perdent au moins une fois leur Smartphone. Cela implique que des données professionnelles peuvent être perdues et en accès libre à celui qui trouvera cet appareil.

Problèmes liés au réseau[modifier | modifier le code]

Les employés d’une entreprise ayant mis en place le BYOD, peuvent se connecter au réseau de celle-ci, cela inclut donc plusieurs connexions entrantes sans pour autant être contrôlées et donc de nombreux risques d’intrusions dans le réseau de la société. À noter aussi que les nombreuses connexions Wi-Fi des salariés avec leurs outils de travail peuvent entraîner une trop grosse demande en bande passante et par conséquent des latences sur les réseaux ou des déconnexions, cela entraînant parfois des pertes de données.

Sécurité des appareils[modifier | modifier le code]

Ces appareils qui sont personnels sont par nature non prévus pour un usage professionnel mais un usage personnel. Il en résulte donc  qu’ils n’ont pas toutes les sécurités nécessaires à l’usage professionnel puisque les systèmes d’exploitation ne sont pas prévus à cet effet. On remarque donc pour la plupart l’absence de pare-feu ou de cryptage des données, le problème de pertes de données est en partie provoqué par cela. Selon Winn Schwartau : « Nobody control his devices at 100% », personne ne contrôle ses appareils à 100 %[10].

Position de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information)[modifier | modifier le code]

Patrick Pailloux, directeur général de l’ANSSI, s’est clairement positionné en 2012, contre l’usage de BYOD lors d’un discours des assises de la sécurité IT en 2012 en affirmant qu’il fallait « entrer en résistance vis-à-vis de la liberté totale de l’usage des nouvelles technologies en entreprise » et que « la sécurité c’est aussi le courage de dire non ». Il a ensuite continué son discours en illustrant ses propos, par des exemples qui montrent la dangerosité de BYOD dans le monde professionnel[11]. L’ANSSI a également publié une note en mai 2013 destinée aux DSI (direction des systèmes d’information) où elle met en évidence le fait qu’il est impossible d’avoir un haut niveau de sécurité avec un ordinateur ou une tablette ordinaire[12]. Patrick Pailloux a certes infléchi légèrement son discours en 2013, où il s’est dit ne pas être opposé à l’utilisation d’appareils grand public dans les entreprises, si ceci était passé dans les mains de la DSI. La position de l’ANSSI, notamment à travers son directeur général, reste clairement contre l’usage du BYOD en entreprise pour des raisons de sécurité[13].

Solutions envisageables[modifier | modifier le code]

Concernant les différents problèmes liés à cette méthode de travail, plusieurs solutions sont envisageables :

Sécurisation des appareils[modifier | modifier le code]

Pour ce qui concerne les téléphones portables,  différentes solutions sont possibles pour réduire le risque de perte de données. Une toute simple consiste à mettre des mots de passe et antivirus sur les appareils des utilisateurs du BYOD. Il existe aussi une autre méthode qui consiste à utiliser une application nommée MDM (Mobile Device Management), qui contrôle de l’appareil à distance. Un autre système, appelé l’Air Gap, protège les mobiles des salariés, isole les réseaux sécurisés d’entreprises des réseaux publics non sécurisés. De plus, afin de pallier ces problèmes de sécurité, Google développe un système basé sur la géolocalisation de l’appareil pour contrôler les différents niveaux de sécurité. Avec ce système, la sécurité de l’appareil est très fortement accrue dans les locaux de l’entreprise quand il utilise le réseau, puis cette sécurité diminue quand l’appareil retrouve l’environnement personnel. Cela pourrait être un bon compromis entre la sécurité et le maintien de l’usage personne[14]. En ce qui concerne l’utilisation du réseau, un annuaire du BYOD serait utile afin de connaître exactement qui utilise le réseau et avec quels appareils. Cet annuaire pouvant être utilisé avec le logiciel MDM permettrait de savoir exactement le nombre de personnes et d’appareils qui sont en contact avec le réseau. En cas d’anomalie détectée, il convient de savoir exactement quel appareil et utilisateur est fautif afin de pouvoir le contrôler à distance avec le logiciel MDM et dans le pire des cas effacer toutes les données professionnelles de l’entreprise.

Amélioration du WIFI et connaissance exacte des besoins[modifier | modifier le code]

Pour les problèmes concernant le Wi-Fi, plusieurs solutions sont envisageables. Tout d’abord, pour les problèmes de latences et d’insuffisance réseau, il faut renforcer son réseau Wi-Fi parce qu’il faut savoir que la plupart des réseaux Wi-Fi d’entreprise sont pour l’instant dans l’incapacité de fournir un accès correct à tous les appareils susceptibles d’avoir besoin de connexion avec l’usage du BYOD. Puis, une solution efficace concernant le problème du Wi-Fi serait de faire un benchmark afin de connaître exactement les besoins en Wi-Fi, c’est-à-dire qui prend quel appareil et savoir quel accès donner à celui-ci. Il faut aussi se poser plusieurs questions telles que qui ou quel appareil utilise le Wi-Fi, sur quel site internet ou application l’utilisateur du BYOD va et pour quelle utilisation. Avec ce benchmark, on devrait être capable d’estimer les besoins en Wi-Fi dans l’entreprise[15].

Contrôle des utilisateurs[modifier | modifier le code]

Les problèmes concernant l’utilisation même du réseau de l’entreprise par les utilisateurs en utilisant le BYOD peuvent être atténués par la mise en place d’une charte d’utilisation du réseau. Dans celle-ci, on peut y lister les heures d’utilisation du réseau professionnel, les applications, logiciels et sites ne devant pas être utilisés sur le réseau avec les modalités de contrôle du respect de cette charte. Elle peut faire l’objet d’un écrit sur des modèles préétablis. Il faut aussi y mentionner les sanctions qui sont de forts moyens de dissuasion. De plus, pour pallier les « supposées » carences techniques des employés utilisant le BYOD sur leurs appareils, il est possible de rédiger un annuaire de procédures informatiques permettant de répondre aux problèmes techniques les plus courants. Celui-ci permettrait alors de gagner du temps en évitant un nombre incalculable de questions. Il faut aussi essayer de privilégier le travail d’équipe en essayant de mettre en place une forte communication et entraide autour de tous ces problèmes informatiques[16].

Droit du travail et gestion des ressources humaines [modifier | modifier le code]

Problème des heures de travail[modifier | modifier le code]

BYOD soulève la question de la durée légale du temps de travail. En effet, bon nombre d’employés sont connectés avec l’entreprise de leur domicile, par l’utilisation de leur appareil personnel pour leur activité professionnelle. Cela peut remettre en cause le nombre d’heures de travail réellement effectuées par le salarié. Ce temps passé à travailler à son domicile doit-il être considéré comme du temps de travail avec rémunération en conséquence ? Cela ferait-il dépasser le temps de travail au-delà de la durée légale maximale ? La loi française n’est pas encore très claire à ce sujet.

Les entreprises et les employeurs ont donc tout intérêt à prendre les devants pour éviter des conflits juridiques, soit en intégrant une charte au règlement intérieur relative à ce sujet, soit en incluant une ou plusieurs clauses directement dans le contrat de travail du salarié pour se prémunir.

BYOD un outil de surveillance ?[modifier | modifier le code]

En plus des problèmes de coûts liés aux ennuis de sécurité, le BYOD pose de nouvelles contraintes dans son utilisation. L’application de tous les logiciels de géolocalisation ainsi que ceux contrôlant à distance les appareils ou ayant un droit de regard pose de nouveaux problèmes alors que ces logiciels devraient clarifier et améliorer l’utilisation du BYOD. Ces problèmes sont l’espionnage du salarié et la perte de sa vie privée. En effet, les dirigeants peuvent à tout moment savoir ce que font les employés, où ils se trouvent, les applications qu’ils ont et ce qu’ils regardent. Certains salariés ont été licenciés parce qu’ils n’ont pas déclaré la perte de leurs mobiles dans les 24 heures et d’autres se sont vus espionnés dès qu’ils quittaient l’enceinte professionnelle[17].

Coût du BYOD[modifier | modifier le code]

Face aux problèmes et donc l’application des moyens pour les limiter, le BYOD, qui a pour but premier d’augmenter la productivité des salariés tout en réduisant ses coûts informatiques et de flottes mobiles, risque par son application même d’entraîner de nouveaux coûts. En effet, l’achat de tous les logiciels permettant de sécuriser le réseau ainsi que l’amélioration même de celui-ci représentent un coût important. Des frais supplémentaires s’ajoutent à ces derniers, que ce soit la mise en place d’un système qui prend du temps aux salariés, soit la formation des salariés afin de régler les problèmes informatiques les plus courants ou encore les problèmes juridiques ou de gestion des ressources humaines (éventuelle baisse de motivation) que cela peut engendrer.

De nouveaux logiciels sont donc à l’étude afin de séparer complètement l’usage privé du professionnel. Ils augmenteraient encore un peu plus le coût du BYOD. Le nouveau vrai problème de BYOD est donc la confiance entre les employés et les employeurs[6]. Ces ennuis contribuent maintenant à une diminution du développement du BYOD[18].

Avenir et alternatives de BYOD[modifier | modifier le code]

L’avenir passera par un rapprochement entre les appareils utilisés professionnellement et personnellement mais les risques liés au BYOD poussent à envisager d’autres solutions hybrides.

CYOD[19][modifier | modifier le code]

Choose Your Own Device, ou choisissez votre propre matériel en français. Cette optique propose aux salariés de choisir leurs propres appareils parmi un catalogue de terminaux approuvés par l’entreprise. Ainsi, ceux-ci sont paramétrés, approuvés et intégrés à la société qui s’évite donc tout problème lié à la législation et à la protection des données. Le matériel choisi reste par contre uniquement professionnel et propriété de l’entreprise. Si cette solution est de plus en plus envisagée, elle n’est pas aussi satisfaisante que le BYOD pour les salariés mais bien plus sécurisante pour les sociétés.

COPE[modifier | modifier le code]

Corporate Owned, Personally Enabled ou en français : acheté par l’entreprise et utilisable personnellement. Le COPE prend le contrepied du BYOD et garde le principe du matériel professionnel acheté par l’entreprise. Cela conserve les mêmes avantages vus pour le CYOD mais avec un terminal qui peut aussi être utilisé personnellement par le salarié. Certaines personnes assurent que ce système sera le plus utilisé à l’avenir.

Virtualisation[modifier | modifier le code]

Le principe : on désolidarise l’environnement de travail du poste de travail. Les données ne sont plus stockées au sein de l’entreprise mais sur un serveur accessible de partout aux salariés et de n’importe quelle sorte de terminal, le cloud. Cela permet une réduction des coûts mais aussi une sécurité importante, la DSI pouvant isoler le terminal d’accès du serveur.

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]