En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

BYOD 2014 : quelles avancées après 4 ans de buzz ?

De nombreux freins ont amené les entreprises à bouder le BYOD, et à préférer souvent le COPE (Corporate Owned Personnally enabled).

laisser un avis
Dès 2010, les demandes des salariés pour utiliser leurs terminaux personnels au travail ont commencé à se faire clairement entendre. Les smartphones bien sûr, mais aussi les tablettes tactiles, voire les ordinateurs portables !
C’est fin 2011 (comme le montre le graphique de tendance Google ci-dessous), le phénomène était affublé d’un doux acronyme : BYOD.
 
Graphique Google Trends montrant l\'évolution de recherche du mot-clé \
Graphique Google Trends montrant l'évolution de recherche du mot-clé "BYOD" entre 2010 et 2014
En 2012 et 2013, le buzz est complet, et les projets fleurissent au sein des entreprises : études d’opportunité, études de cadrage, études de sécurité… Pourtant, les déploiements en France restent rares, et concernent généralement un nombre limité d’utilisateurs.
Le résultat est-il un constat simple d’échec ? Pas tout à fait. Plusieurs avancées ont tout de même été réalisées d’un point de vue technique comme dans les esprits.

Une maturation du concept

La définition même de ce que l’on peut classer dans le « BYOD » a donné lieu à de nombreux débats. De l’idée selon laquelle il serait simplement possible de ne plus fournir de terminal à un collaborateur sans compensation (et en lui demandant d’utiliser son matériel personne), il a rapidement fallu remettre le sujet dans le cadre du code du travail. Celui-ci impose effectivement à un employeur de donner à ses employés les moyens et outils pour réaliser leurs missions.
Aujourd’hui, il est acquis que le BYOD à la française ne peut être qu’un service de confort (offert en supplément de l’existant, et non obligatoire), ou alors donnant lieu à une compensation financière de la part de l’employeur (permettant au collaborateur d’acheter son terminal).
Les réflexions ont permis au passage de définir un autre type d’opportunité : le BYOD dit « prestataire » (nous l’avions défini en 2012 dans la synthèse Solucom sur le sujet). Une entreprise impose alors contractuellement à ses prestataires informatiques l’utilisation de postes fournis par leur employeur et non par elle-même
L’approche, ensuite, a été déclinée à différentes sauces : BYOIdentity, BYOApps

La sécurité n’a pas été mise de côté

Les premières questions à avoir été posées concernaient la sécurité du SI. Deux approches ont mûri pour protéger les données professionnelles sur des terminaux non maîtrisés :
1. Ne pas autoriser leur stockage sur le terminal. Ici, rien de nouveau en soi, mais plutôt une utilisation plus généralisée de systèmes existant depuis longtemps déjà en entreprise, tels que les webmails ou les solutions de déport d’affichage. Avec une limite forte : le terminal doit toujours avoir un accès réseau pour y accéder.
Si cette solution est envisageable pour des ordinateurs, elle devient vite handicapante dans l’utilisation de smartphones et tablettes.
2. Les isoler sur le terminal. Cette démarche, plus innovante, permet de ne s’intéresser qu’aux données professionnelles en leur imposant des mesures de sécurité spécifiques. Adoptée par les éditeurs d’outils de MDM (gestion de flotte mobile), l’approche permet de laisser l’utilisateur libre de l’usage qu’il fait de son terminal par ailleurs.
Des solutions ont surtout émergé pour les smartphones et tablettes, mais l’approche a un véritable intérêt pour les ordinateurs également – sans solution convaincante pour l’heure.
Enfin, une approche hybride est à surveiller, sur PC comme sur smartphones/tablettes : la virtualisation, qui permet d’exécuter sur le même matériel un environnement pro et un environnement perso.

Des freins juridiques et de RH

Les points de blocage principaux sont venus des réflexions d’ordre légal et organisationnel (voir par exemple cette intervention de Maître Garance Mathias)
Les juristes ont eu l’occasion d’expliquer à plusieurs reprises que si la jurisprudence française est assez claire concernant le sort des données personnelles sur un terminal professionnel, elle ne l’est pas pour celui des données professionnelles sur un terminal personnel ! Les directions juridiques sont donc assez peu disposées à prendre le risque d’une décision défavorable en cas de litige avec un collaborateur.
Source d’alertes à la fois juridique et RH, le risque de discrimination entre employés a aussi souvent été jugé élevé : en effet, comment définir de manière sereine qui est éligible à ce type de service par confort, qui a les moyens ou la volonté de s’acheter ou non un terminal personnel ?

Un modèle de support toujours à réinventer

La question du niveau de support aux utilisateurs est également toujours une difficulté. Car si l’on simplifie la gestion des stocks, de déploiement et de la fourniture de matériel grâce au BYOD, que faire en cas de difficulté à l’utilisation ?
Dans le cas classique de terminaux que l’entreprise maîtrise, les cas d’usage et de problèmes rencontrés sont connus et sont mis sous contrôle. Une flotte hétérogène non maîtrisée s’accompagnera de moins de support, mais de plus de sensibilisation, de responsabilisation et de self-service des utilisateurs.
Pour autant, il n’est pas question de les laisser livrer à eux-mêmes : il en va de la productivité de l’entreprise. Le modèle de support adapté est donc à définir, bien souvent au cas par cas…

Un retour sur investissement qui reste à démontrer

A l’exception près du BYOD « prestataires » cité plus haut, il est très difficile de démontrer un ROI pour une démarche BYOD à l’heure actuelle. Les investissements en infrastructures souvent élevés, doublés d’une volonté des utilisateurs de continuer à disposer d’un support de la part de l’entreprise, amènent même plutôt une explosion des coûts. Seules certaines entreprises disposant d’un contexte particulièrement favorable (SI à la pointe, utilisateurs technophiles) y trouveront un réel bénéfice.

Le BYOD aura tout de même fait avancer les choses

Les nombreux freins ci-dessus ont amené les entreprises à bouder le BYOD, au profit d’un autre charmant acronyme, le « COPE » (Corporate Owned, Personally Enabled). Autrefois appelé « pro/perso », il s’agit de tolérer largement les usages personnels d’un terminal professionnel.
Si les déploiements massifs que certains prédisaient pour le BYOD n’ont pas eu lieu, les réflexions et l’évolution des offres technologiques ont véritablement permis de se poser des questions centrales pour l’entreprise numérique de demain.
Beaucoup sont aujourd’hui mieux armées pour définir la part d’usages privés tolérés dans l’utilisation de l’outil informatique, et les limites à imposer. Les fournisseurs d’infrastructures techniques orientent leurs solutions vers plus de souplesse pour différents types d’utilisateurs et les usages associés. D’un point de vue purement sécurité, enfin, le débat a été sain, puisqu’il a permis un rapprochement avec les fonctions RH et Juridique, mais surtout de mettre à nouveau en lumière le besoin de centrer la sécurité sur la donnée que l’on veut protéger, indépendamment de son lieu et son contexte d’utilisation.

Chadi Hantouche

agrandir la photo

Chadi Hantouche est manager en sécurité au sein du cabinet Solucom. Depuis 8 ans, il se spécialise dans la protection des infrastructures et des applications. Il est intervenu auprès de nombreux grands comptes, notamment sur des problématiques de cybersécurité, de mobilité et de Cloud computing.

envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
L’antivirus : 25 ans déjà
Solucom dépasse ses prévisions «sur un marché du conseil plus serein»
iOS 8 : Apple met la sécurité au cœur de ses annonces
Quand la sécurité devient éco-responsable
Piratage : Ebay, Orange, Target... A qui le tour ? (vidéo du jour)
IOC : le nouvel or noir des cyberdéfenseurs
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs