Qu’est-ce que le BYOD (bring your own device) ?

Le BYOD est apparu avec les débuts des smartphones iOS et Android à la fin des années 2000, car de plus en plus de travailleurs préféraient ces appareils aux téléphones mobiles standards fournis par l’entreprise. L’essor des modalités de travail à distance et hybrides, ainsi que l’intégration croissante des réseaux d’entreprise à des fournisseurs et sous-traitants, ont accéléré la nécessité d’étendre les politiques BYOD au-delà des smartphones.

Plus récemment, la pandémie de COVID-19, ainsi que les pénuries de puces et les perturbations de la chaîne d’approvisionnement, ont contraint de nombreuses entreprises à adopter des politiques BYOD. Cette approche a permis aux nouveaux employés de continuer à travailler en attendant un appareil fourni par l’entreprise.

Généralement élaborée par le DSI et d’autres décideurs informatiques de haut niveau, une politique BYOD définit les conditions dans lesquelles les appareils appartenant aux employés peuvent être utilisés au travail. Elle établit également les politiques de sécurité que les utilisateurs finaux sont tenus de respecter.

Bien que les spécificités d’une politique BYOD varient en fonction des objectifs de la stratégie BYOD d’une entreprise, la plupart des politiques relatives aux appareils définissent une variante de ces éléments :

Utilisation acceptable : les politiques BYOD décrivent généralement comment et quand les employés peuvent utiliser des appareils personnels pour des tâches professionnelles. Par exemple, les directives d’utilisation acceptable peuvent inclure des informations sur la connexion sécurisée aux ressources de l’entreprise par le biais d’un réseau privé virtuel (VPN) et une liste d’applications professionnelles approuvées.

Les politiques d’utilisation acceptable précisent souvent comment les données sensibles de l’entreprise doivent être manipulées, stockées et transmises à l’aide des appareils appartenant aux employés. Le cas échéant, les politiques BYOD peuvent également inclure des politiques de sécurité et de conservation des données conformes à des réglementations telles que la loi HIPAA (Health Insurance Portability and Accountability Act), la loi Sarbanes-Oxley et le règlement général sur la protection des données (RGPD).

Appareils autorisés : une politique BYOD peut décrire les types d’appareils personnels que les employés peuvent utiliser à des fins professionnelles, ainsi que les spécifications appropriées des appareils, telles que la version minimale du système d’exploitation.

Mesures de sécurité : les politiques BYOD fixent généralement des normes de sécurité pour les appareils des employés. Celles-ci peuvent inclure des exigences minimales en matière de mot de passe et des politiques d’authentification à deux facteurs, des protocoles de sauvegarde des informations sensibles et des procédures à suivre en cas de perte ou de vol d’un appareil. Les mesures de sécurité peuvent également spécifier les logiciels de sécurité que les employés doivent installer sur leurs appareils, tels que les outils de gestion des appareils mobiles (MDM) ou de gestion des applications mobiles (MAM). Ces solutions de sécurité BYOD sont décrites plus en détail ci-dessous.

Confidentialité et autorisation : les politiques BYOD décrivent généralement les mesures prises par le service informatique pour respecter la vie privée des employés sur leurs appareils, notamment la manière dont la séparation entre les données personnelles des employés et les données de l’entreprise est assurée. La politique peut également détailler les autorisations spécifiques dont le service informatique a besoin sur l’appareil de l’employé, y compris certains logiciels qu’il lui faudrait installer et les applications qu’il devrait contrôler.

Défraiement : si l’entreprise accorde aux employés une compensation pour l’utilisation de leurs appareils personnels, par exemple une participation à l’achat ou la prise en charge des forfaits de données Internet ou mobiles, les conditions de ces défraiements sont décrites dans une politique BYOD. Ce document précise également les montants que les employés peuvent recevoir.

Support informatique : la politique BYOD peut spécifier dans quelle mesure le service informatique d’une entreprise sera (ou ne sera pas) disponible pour aider les employés à dépanner les appareils personnels endommagés ou ne fonctionnant pas correctement.

Désinscription : enfin, les politiques BYOD décrivent généralement les étapes à suivre lorsqu’un employé quitte l’entreprise ou retire son appareil du programme BYOD. Ces procédures de sortie comprennent souvent des plans visant à supprimer les données sensibles de l’entreprise de l’appareil, à révoquer l’accès de l’appareil aux ressources réseau et à désactiver le compte utilisateur ou de l’appareil.

Les programmes BYOD soulèvent des problèmes de sécurité des appareils que les services informatiques rencontrent rarement (ou dans une moindre mesure) avec les appareils fournis par l’entreprise. Les vulnérabilités matérielles ou système des appareils des employés peuvent élargir la surface d’attaque de l’entreprise, offrant aux pirates de nouveaux moyens de pénétrer le réseau de l’entreprise et d’accéder aux données sensibles. Les employés peuvent adopter un comportement plus risqué en matière de navigation, d’e-mails ou de messagerie sur leurs appareils personnels qu’ils n’oseraient le faire avec un appareil fourni par l’entreprise. Un logiciel malveillant qui infecte l’ordinateur d’un employé en raison de son utilisation personnelle peut facilement se propager au réseau de l’entreprise.

Avec les appareils fournis par l’entreprise, le service informatique peut éviter ces problèmes et d’autres préoccupations similaires en surveillant et en gérant directement les paramètres, les configurations, les logiciels d’application et les autorisations des appareils. Toutefois, il est peu probable que les équipes chargées de la sécurité informatique aient le même contrôle sur les appareils personnels des employés, et ceux-ci s’offusqueraient probablement de ce niveau de contrôle. Au fil du temps, les entreprises se sont tournées vers d’autres technologies pour atténuer les risques de sécurité liés au BYOD.

Les bureaux virtuels, également appelés infrastructures de bureau virtuel (VDI) ou bureaux en tant que service (DaaS), sont des instances informatiques de bureau entièrement provisionnées qui s'exécutent sur des machines virtuelles hébergées sur des serveurs distants. Les employés accèdent à ces bureaux et les exécutent essentiellement à distance à partir de leurs appareils personnels, généralement via une connexion chiffrée ou un VPN.

Avec un bureau virtuel, tout se passe à l’autre bout de la connexion : aucune application n’est installée sur l’appareil personnel et aucune donnée d’entreprise n’est traitée ou stockée sur celui-ci, ce qui élimine efficacement la plupart des problèmes de sécurité liés aux appareils personnels. Mais les bureaux virtuels peuvent être coûteux à déployer et à gérer. Comme ils dépendent d’une connexion Internet, les employés n’ont aucun moyen de travailler hors ligne.

Les logiciels en tant que service (SaaS) basés sur le cloud peuvent offrir un avantage de sécurité similaire avec moins de frais de gestion, mais aussi un contrôle légèrement inférieur sur le comportement de l’utilisateur final.

Avant le BYOD, les organisations géraient les appareils mobiles fournis par l’entreprise à l’aide d’un logiciel de gestion des appareils mobiles (MDM). Les outils MDM donnent aux administrateurs un contrôle total sur les appareils : ils permettent d’appliquer des politiques de connexion et de chiffrement des données, d’installer des applications d’entreprise, d’envoyer des mises à jour d’applications, de suivre l’emplacement des appareils et de verrouiller et/ou nettoyer un appareil s’il est perdu, volé ou autrement compromis.

La gestion des appareils mobiles était une solution de gestion mobile acceptable jusqu'à ce que les employés commencent à utiliser leurs propres smartphones au travail et qu'ils se rebellent rapidement pour accorder aux équipes informatiques ce niveau de contrôle sur leurs appareils, applications et données personnels. Depuis lors, de nouvelles solutions de gestion des appareils sont apparues à mesure que les utilisateurs d'appareils personnels et les styles de travail des employés ont changé :

Gestion des applications mobiles (MAM) : plutôt que de contrôler les appareils eux-mêmes, la MAM se concentre sur la gestion des applications, accordant aux administrateurs informatiques le contrôle des applications et des données d’entreprise uniquement. La MAM y parvient souvent grâce à la conteneurisation, la création d’enclaves sécurisées pour les données et les applications d’entreprise sur les appareils personnels. La conteneurisation donne au service informatique un contrôle total sur les applications, les données et les fonctionnalités des appareils dans le conteneur, mais ne lui permet pas de toucher ni même de voir les données personnelles des employés ou l’activité des appareils au-delà du conteneur.

Gestion de la mobilité d’entreprise (EMM) : à mesure que la participation à la politique BYOD augmentait et s’étendait des smartphones aux tablettes, et des Blackberry OS et Apple iOS à Android, la gestion des applications mobiles (MAM) avait du mal à suivre tous les nouveaux appareils appartenant aux employés introduits dans les réseaux d’entreprise. Des outils de gestion de la mobilité d’entreprise (EMM) sont rapidement apparus pour résoudre ce problème. Les outils EMM combinent les fonctionnalités de la MDM, de la MAM et de la gestion des identités et des accès (IAM), offrant aux services informatiques une vue unique sur une seule plateforme de tous les appareils mobiles personnels et appartenant à l’entreprise présents sur le réseau.

Gestion unifiée des terminaux (UEM) : le seul inconvénient de l’EMM était son incapacité à gérer les ordinateurs Microsoft Windows, Apple MacOS et Google Chromebook, ce qui posait problème car le BYOD devait s’étendre aux employés et aux tiers travaillant à distance avec leurs propres PC. Les plateformes UEM sont apparues pour combler cette lacune, en regroupant la gestion des appareils mobiles, des ordinateurs portables et des ordinateurs de bureau sur une seule plateforme. Avec l’UEM, les services informatiques peuvent gérer les outils, les politiques et les workflows de sécurité informatique pour tous les types d’appareils, quels que soient leur système d’exploitation et le lieu de leur connexion.

Les avantages du BYOD pour l'organisation les plus fréquemment cités sont les suivants :

• Économies de coûts et réduction de la charge administrative liée à l'informatique: l'employeur n'est plus responsable de l'achat et de la mise à disposition des appareils pour tous les employés. Pour les entreprises capables d'implémenter et de gérer avec succès le BYOD pour la plupart ou l'ensemble des employés, ces économies peuvent être considérables.
  
  
• Processus d’intégration plus rapide des nouvelles recrues : les employés n’ont plus besoin d’attendre un appareil fourni par l’entreprise pour commencer à faire leur travail. Cette approche s’est avérée particulièrement utile lors des récentes pénuries de puces et autres perturbations de la chaîne d’approvisionnement, qui peuvent empêcher une entreprise de fournir un ordinateur à ses employés à temps pour qu’ils puissent commencer à travailler.
  
  
• Amélioration de la satisfaction et de la productivité des employés : certains employés préfèrent travailler avec leurs propres appareils, qu'ils trouvent plus familiers ou plus performants que les équipements fournis par l'entreprise.

Ces avantages, ainsi que d'autres avantages du BYOD, peuvent être contrebalancés par des défis et des compromis pour les employés et pour les employeurs :

• Préoccupations relatives à la confidentialité des employés : les employés pourraient s’inquiéter de la visibilité de leurs données et de leurs activités personnelles, et peuvent être réticents à l’idée d’installer des logiciels imposés par le service informatique sur leurs appareils personnels.
  
• Nombre de candidats limité, problèmes d’inclusion : si le BYOD est obligatoire, les personnes qui n’ont pas les moyens ou qui ne possèdent pas d’appareils personnels adéquats risquent d’être exclues de la liste. Certaines personnes peuvent également préférer ne pas travailler pour une entreprise qui les oblige à utiliser leur ordinateur personnel, que l’employeur compense les frais ou pas.
  
  
• Risques de sécurité persistants : même avec des solutions de sécurité BYOD et de gestion des appareils en place, les employés peuvent ne pas toujours respecter les bonnes pratiques de cybersécurité, telles que la gestion rigoureuse des mots de passe et la sécurité physique de leurs appareils personnels, ouvrant ainsi la porte aux pirates, aux logiciels malveillants et aux violations de données.
  
  
• Problèmes de conformité réglementaire : les employeurs des secteurs de la santé, de la finance, du gouvernement et d’autres secteurs fortement réglementés peuvent ne pas être en mesure d’implémenter le BYOD pour certains ou tous les employés, en raison de réglementations strictes et de pénalités coûteuses concernant le traitement des informations sensibles.