L’évolution du Bring Your Own Device (BYOD) est aussi profonde que rapide. Cette tendance montre de toute évidence que les frontières entre vie personnelle et vie professionnelle deviennent de plus en plus floues.
Travailler 35 heures, uniquement depuis son lieu de travail, est devenu un modèle archaïque : de plus en plus de personnes effectuent des heures supplémentaires et travaillent depuis différents endroits y compris depuis leur lieu de travail, à l’extérieur, pendant leur trajet, et de la maison. Nous vivons dans un environnement de travail véritablement global, 24 heures sur 24 et sept jours sur sept, et il n’est pas surprenant de recevoir des e-mails professionnels tard dans la soirée. L’essentiel de cette évolution se traduit par la possibilité d’accéder aux réseaux d’entreprises de n’importe où, n’importe quand. La gamme d’outils, qui permet cette connectivité constante, est devenue plus puissante, avec les ordinateurs portables, tablettes et smartphones qui permettent d’accéder à un panel d’applications d’entreprises et de communications, tandis que le cloud computing étend efficacement le bureau hors du bureau.
L’avantage du BYOD, dont on entend le plus parler, est une plus grande productivité. Toutefois, une recherche récente a indiqué que cela pourrait être en fait le grand mythe du BYOD, la réalité étant que le BYOD, en pratique, pose de nouveaux défis de sécurité qui pourraient l’emporter sur les avantages, si cette pratique n’est pas dûment prise en compte par l’organisation.
Une étude mondiale commanditée par Fortinet – l’un des leaders de la sécurité réseau haute performance – a examiné les attitudes à l’égard du BYOD et la sécurité du point de vue de l’utilisateur plutôt que du responsable IT. L’enquête, menée dans 15 pays, est focalisée plus particulièrement sur les salariés actifs disposant d’un diplôme universitaire ou équivalent, âgés de 20 à 29 ans. Ce groupe représente la première génération à entrer dans l’entreprise avec une compréhension et des attentes en matière d’utilisation de son propre appareil mobile. Ils sont également les influenceurs et décideurs de demain.
Les résultats de l’enquête s’adressent à la fois aux responsables de la sécurité des réseaux et aux directions stratégiques responsables de la question de l’adoption du BYOD par l’entreprise. On peut s’attendre à ce que les grandes organisations aient en place des politiques et stratégies IT matures. Mais qu’en est-il des petites entreprises, qui n’ont sans doute pas de stratégies aussi bien développées et pour qui la culture du BYOD pourrait déjà être implantée dans l’entreprise ? Devraient-elles être inquiètes par le comportement et les attitudes de leur personnel, surtout de celui des salariés les plus jeunes ?
Le BOYD : un droit ?
A noter que dans ce groupe de jeunes salariés, le BYOD est considéré comme un droit plutôt qu’un privilège, avec plus de la moitié (55 %) des personnes souhaitant être autorisées à utiliser leurs propres appareils au travail ou à des fins professionnelles. Avec ce niveau d’attente, le véritable risque est que les salariés ignorent la politique de l’entreprise interdisant l’utilisation des appareils personnels. Plus d’un tiers (36 %) des sondés ont ainsi admis avoir, ou seraient prêts à transgresser un telle politique. Cependant, cette dernière statistique, aussi inquiétante soit-elle, varie en fonction des pays, et positionne l’Inde comme étant le territoire le plus risqué. Il est surprenant de constater que 66 % des sondés en Inde sont prêts à transgresser la politique de l’entreprise.
La menace posée par ce niveau de subversion ne saurait être trop soulignée. Par exemple, les personnes sont de plus en plus technophiles et capables de configurer leurs propres smartphones pour accéder aux e-mails professionnels sans l’aide des départements informatiques. Mais, avec l’OS Android, qui fait face à une très forte croissance en matière de logiciels malveillants, et avec des utilisateurs de smartphones accédant aux réseaux sociaux tels que Facebook (environnement de plus en plus dangereux), on peut aisément comprendre où se situent les menaces.
Le BOYD : pour se distraire ou travailler ?
L’enquête jette un doute sur l’idée que le BYOD conduit à une plus grande productivité en dévoilant les réelles motivations des jeunes employés à la pratique du BYOD. Seulement 26 % des personnes interrogées dans cette catégorie d’âge citent l’efficacité comme la raison pour laquelle ils veulent utiliser leurs propres appareils, alors que 33 % admettent que la principale raison est qu’ils ont accès à leurs applications préférées. Mais, avec les applications personnelles à portée de main, les risques pour l’entreprise incluent certainement la distraction et la perte de temps. Pour étayer cette hypothèse, 46 % des sondés reconnaissent la perte de temps comme la plus grande menace pour l’organisation, et 42 % y voient une plus grande exposition aux menaces IT malveillantes et le vol ou la perte de données confidentielles. Pourtant, même avec de tels inconvénients, seulement 27 % pensent que les risques l’emportent sur les avantages pour leur organisation.
De toute évidence, d’un point de vue utilisateur, il y a une grande part de contradiction autour du BYOD et une sorte d’égoïsme dans lequel les utilisateurs s’attendent à utiliser leurs propres appareils, mais surtout dans un intérêt personnel. Ils reconnaissent les risques pour l’organisation mais sont convaincus que ceux-ci valent la peine d’être pris.
Le BOYD : qui est responsable de la sécurité ?
Donc, qu’en est-il de la responsabilité ? C’est une question clé pour toute entreprise qui envisage une politique gouvernant le BYOD, car le défi pour l’organisation est de mettre en place des mesures de sécurité pour assurer une intégration sécurisée des appareils personnels. Mais pour cela, il faut la coopération du propriétaire de l’appareil. L’enquête Fortinet suggère que gagner la coopération et le respect des salariés pourrait s’avérer plus difficile à obtenir qu’il n’y parait.
Deux tiers (66 %) des personnes interrogées considèrent elles-mêmes être finalement responsables de la sécurité de leurs propres appareils, et seulement 22 % pensent que c’est l’entreprise qui est responsable. Bien que les propriétaires soient plus heureux d’utiliser leurs propres appareils dans l’environnement du travail, ils pourraient être très réfractaires à ce que l’organisation mette des limites sur l’utilisation ou intervienne sur leurs appareils personnels pour installer des mesures de sécurité.
La pleine mesure de ce délicat équilibre auquel fait face l’organisation est finalement dévoilée avec le fait que près d’une personne sur cinq envisage de ne pas utiliser ses propres appareils si elle sent que les systèmes de sécurité de l’organisation sont vulnérables au point de poser un réel risque envers leurs propres données personnelles. Du point de vue de l’utilisateur, le BYOD est une pratique qui s’aborde sous ses propres conditions.
Le BYOD n’est pas prêt de disparaître. Alors que l’enquête de Fortinet contrebalance la croyance largement répandue que le BYOD est surtout bénéfique aux entreprises en mettant en avant certains défis de sécurité clés, elle montre également que les organisations doivent aborder la question au plus tôt si elles veulent bénéficier de tous les avantages d’une pratique contre laquelle elles auront beaucoup de mal à résister. Avec des utilisateurs disposés à adopter des stratégies subversives pour l’usage de leurs propres appareils mobiles, l’organisation doit assurer le contrôle de son infrastructure IT dès que possible. Le moyen le plus efficace de le faire est de sécuriser l’accès entrant et sortant au réseau d’entreprise et ne pas seulement implémenter la gestion des terminaux mobiles (Mobile Device Management). Il serait dangereux de se fier à une seule technologie pour relever ces nouveaux défis de sécurité. La stratégie à entreprendre est le contrôle précis sur les utilisateurs et les applications, au-delà des appareils.
Commentez