Bring your own device

Un article de Wikipédia, l'encyclopédie libre.

Prenez vos appareils personnels

Terminaux mobiles : ordinateur portable, ultra portable, tablette et smartphone.

BYOD, abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels »[1] ou AVEC pour « apportez votre équipement personnel de communication »[2], est une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel.

Cette pratique pose des questions relatives à la sécurité de l'information et à la protection des données, ainsi que sociales et juridiques.

Origines du terme BYOD[modifier | modifier le code]

L'origine de l'expression est une analogie avec l'expression anglaise BYOB (bring your own bottle) des années 1950.

  • 2005 : le terme BYOD a été mentionné en 2005 dans un document rédigé par Ballagas et al., A UBICOMP 2005.
  • 2009 : BYOD est définitivement inventé avec le support d’Intel qui a remarqué une tendance croissante chez les employés à apporter leur appareil personnel pour travailler et ainsi se connecter au réseau d’entreprise.
  • 2009: Le premier brevet mentionnant le BYOD, destiné à assurer la gestion et la sécurisation de l'approche IT du BYOD est déposé par la société Mobiquant[3]
  • 2011 : le terme prend de plus en plus d’importance lorsque les services informatiques Unisys et les éditeurs de logiciels systèmes VMware et Citrix reconnaissent l’émergence de ces dispositifs.
  • 2012 : l’Equal Employment Opportunity Commission des États-Unis (organisme d’application de la loi fédérale qui applique les lois contre la discrimination en milieu de travail) a adopté la politique BYOD. Cependant, de nombreux employés ont continué à utiliser leur BlackBerry fournis par le gouvernement pour deux raisons : problème de facturation et manque de dispositifs alternatifs.
  • 2014 : un tribunal en Californie a statué que les entreprises doivent dorénavant rembourser les appels de travail sur téléphone personnel d’un salarié dans l’État de Californie[4]

Sécurité[modifier | modifier le code]

Perte de données[modifier | modifier le code]

Selon Winn Schwartau, 25 % des salariés propriétaires de mobiles et pratiquant le BYOD perdent au moins une fois leur smartphone. Cela implique que des données professionnelles peuvent être perdues et en accès libre à celui qui trouvera cet appareil.

Problèmes liés au réseau[modifier | modifier le code]

Les employés d’une entreprise ayant mis en place le BYOD, peuvent se connecter au réseau de celle-ci, cela inclut donc plusieurs connexions entrantes sans pour autant être contrôlées et donc de nombreux risques d’intrusions dans le réseau de la société. À noter aussi que les nombreuses connexions Wi-Fi des salariés avec leurs outils de travail peuvent entraîner une trop grosse demande en bande passante et par conséquent des latences sur les réseaux ou des déconnexions, cela entraînant parfois des pertes de données.

Sécurité des appareils[modifier | modifier le code]

Ces appareils personnels sont par nature non prévus pour un usage professionnel mais un usage personnel. Il en résulte qu’ils n’ont pas toutes les sécurités nécessaires à l’usage professionnel puisque les systèmes d’exploitation ne sont pas prévus à cet effet. On remarque donc pour la plupart l’absence de pare-feu ou de chiffrement des données, le problème de pertes de données est en partie provoqué par cela. Selon Winn Schwartau : « Nobody controls his devices at 100% » (« personne ne contrôle ses appareils à 100 % »)[5].

Position de l’ANSSI[modifier | modifier le code]

Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) de 2009 à 2014, se positionne clairement en 2012 contre l’usage de BYOD lors d’un discours des assises de la sécurité IT, en affirmant qu’il fallait « entrer en résistance vis-à-vis de la liberté totale de l’usage des nouvelles technologies en entreprise » et que « la sécurité c’est aussi le courage de dire non ». Il continue ensuite son discours en illustrant ses propos, par des exemples qui montrent la dangerosité de BYOD dans le monde professionnel[6]. L’ANSSI publie également une note en mai 2013 destinée aux DSI (direction des systèmes d’information) où elle met en évidence le fait qu’il est impossible d’avoir un haut niveau de sécurité avec un ordinateur ou une tablette ordinaire[7]. Patrick Pailloux a certes infléchi légèrement son discours en 2013, où il s’est dit ne pas être opposé à l’utilisation d’appareils grand public dans les entreprises, si ceux-ci étaient passés dans les mains de la DSI. La position de l’ANSSI, notamment à travers son directeur général, reste clairement contre l’usage du BYOD en entreprise pour des raisons de sécurité[8].

Guillaume Poupard, son successeur à la tête de l'ANSSI, présente une position plus ouverte lors des Assises de la sécurité IT organisées à Monaco en octobre 2014[9].

Alternatives[modifier | modifier le code]

CYOD[modifier | modifier le code]

Choose your own device[10] (en français, « sélectionnez votre appareil personnel » ou SAP)[11]. Cette optique propose aux salariés de choisir leurs propres appareils parmi un catalogue de terminaux approuvés par l’entreprise. Ainsi, ceux-ci sont paramétrés, approuvés et intégrés à la société qui s’évite donc tout problème lié à la législation et à la protection des données. Le matériel choisi reste par contre uniquement professionnel et propriété de l’entreprise. Si cette solution est de plus en plus envisagée, elle n’est pas aussi satisfaisante que le BYOD pour les salariés mais bien plus sécurisante pour les sociétés.

COPE[modifier | modifier le code]

Corporate owned, personally enabled (en français, « voici votre appareil personnel » ou VAP)[12]. Le VAP prend le contrepied du PAP (en anglais BYOD) et garde le principe du matériel professionnel acheté par l’entreprise. Cela conserve les mêmes avantages vus pour le SAP (en anglais CYOD) mais avec un terminal qui peut aussi être utilisé personnellement par le salarié.

Virtualisation[modifier | modifier le code]

Le principe : on désolidarise l’environnement de travail du poste de travail. Les données ne sont plus stockées au sein de l’entreprise mais sur un serveur accessible de partout aux salariés et de n’importe quelle sorte de terminal, le cloud. Cela permet une réduction des coûts mais aussi une sécurité importante, la DSI pouvant isoler le terminal d’accès du serveur.

Notes et références[modifier | modifier le code]