BYOD: Opération rattrapage pour les départements IT

Tous les indicateurs sont au vert pour que la déferlante des terminaux personnels dans l’entreprise se poursuive. Les ventes mondiales de smartphones ont dépassé il y a quelques semaines celles des téléphones portables traditionnels et les ventes de tablettes ne cessent de grignoter le marché des ordinateurs. Après les appels, le calendrier, les contacts et les e-mails professionnels, l’usage de ces terminaux hyper-conviviaux s’étend logiquement aux applications et fichiers des entreprises, en particulier pour les tablettes.

Sachant que deux tiers des utilisateurs préfèrent n’avoir qu’un appareil pour le travail et le privé, la dynamique semble inexorable et profite d’ailleurs aux employeurs qui, outre des collaborateurs satisfaits, peuvent espérer une productivité et une collaboration accrues, ainsi qu’une réduction de leurs coûts d’achat et d’opérations.

Ainsi, après avoir oscillé entre interdiction pure et simple et tolérance négligente, les entreprises sont toujours plus nombreuses à mettre en place des programmes réglant l’usage des smartphones et tablettes privés, afin surtout de diminuer les risques encourus. Selon les spécialistes de Gartner, 38% des entreprises ne fourniront d’ailleurs plus de terminaux à leurs équipes d’ici 2016, ordinateurs compris.

Celui qui paie décide

Si Gartner inclut les ordinateurs fixes et portables dans ses estimations, force est de constater que le phénomène du Bring Your Own Device (BYOD) concerne aujourd’hui surtout les smartphones et les tablettes. Ces terminaux sont en effet les plus susceptibles d’être achetés par les utilisateurs et apportés dans l’entreprise. Ainsi, d’après une enquête de McKinsey, 80% des smartphones employés professionnellement (et 67% des tablettes) sont détenus par les employés, qui profitent des offres des opérateurs et assument dans une majorité des cas également les coûts de trafic de données.

Cette pratique a le double avantage de réduire les coûts des entreprises et de régler la question du détenteur de l’appareil au moment où le collaborateur quitte la société. En revanche, les utilisateurs finançant leur appareil intelligent sont d’autant moins disposés à ce que leur employeur règle le choix de leur terminal et en contrôle l’usage par des mesures techniques ou des directives.

Qu’est-ce qui est privé?

Comme pour les autres outils liés à la consumérisation de l’IT, la méfiance et le manque de compréhension règnent souvent entre les utilisateurs et le département informatique. Selon une enquête réalisée cette année par BT et Cisco, 39% des collaborateurs employant un appareil personnel jugent que «le département IT impose des règles qui restreignent l’usage le plus innovant de ces technologies». De leur côté, seul un quart des responsables IT pensent que tous les utilisateurs comprennent les accès/permissions liés à leur appareil.

Une part importante des collaborateurs dont l’usage est contrôlé s’inquiètent aussi que leur employeur n’en profite pour les surveiller. Dans le détail, les réserves des utilisateurs varient selon le type de données, révèle une étude de l’éditeur MobileIron. S’ils refusent ainsi que l’entreprise puisse accéder à leurs e-mails et contacts personnels (66% et 59% respectivement), ils tolèrent en revanche cette pratique pour leurs messages et contacts professionnels (20% environ à s’en défendre).

La moitié des utilisateurs souhaite d’autre part que leurs photos et leur localisation demeurent privées. Plus généralement, les réserves sont plus importantes chez les 18-34 ans que chez leurs aînés, signalant un rapport à l’entreprise diffèrent selon les générations. Avant d’accepter le regard de l’entreprise sur leurs données, les collaborateurs réclament des explications détaillées sur le pourquoi et le comment de la surveillance (26%), voire leur permission écrite explicite (20%).

Les risques encourus

Les risques sécuritaires sont la principale raison poussant les entreprises soit à interdire le BYOD, soit à déployer des solutions techniques et des directives en la matière. Les attaques ciblant les smartphones et tablettes se développent en effet aussi vite que leurs ventes, et ces terminaux sont en général plus vulnérables et protégés plus négligemment que les ordinateurs. Le fait que les smartphones et tablettes soient détenus et employés à titre privé ajoute encore aux craintes des départements IT, sachant que seul un quart des collaborateurs utilisant un appareil personnel pour le travail reconnaît que ceci représente un risque pour son employeur.

Selon l’étude de BT et Cisco, les principales préoccupations des entreprises concernent le fait que le collaborateur quitte la société avec des informations sensibles (47%), la perte ou le vol de l’appareil (42%) et la diffusion non-autorisée de données (42%), notamment via les systèmes de sauvegarde automatique sur les clouds publics. Une grande part des responsables IT craignent au final de ne pas être en mesure de remplir leurs obligations en termes de conformité et de gouvernance.

Une analyse réalisée par Osterman Research révèle par ailleurs des discrépances entre la sévérité des risques et les mesures mises en place par les entreprises pour les atténuer, concernant particulièrement la sécurité des données stockées hors du contrôle de l’IT, la perte d’un appareil et l’emploi de solutions de partage de fichiers telles que Dropbox ou Skydrive.

Ce que contient un programme BYOD

Les programmes mis en œuvre par les entreprises pour profiter du BYOD et en réduire les risques se composent en général de mesures techniques et de directives. Celles-ci règlent des questions telles que le financement des terminaux et des communications, la liste des utilisateurs éligibles et des appareils ou plateformes autorisés, le support fourni, la responsabilité, les usages admis et les règles à respecter, comme l’emploi d’un mot de passe pour verrouiller l’appareil. A ces politiques s’ajoutent des moyens techniques tels que les solutions de Mobile Device Management (MDM), la virtualisation et la containerisation, les anti-virus et le chiffrement.

Selon une enquête d’iPass, trois quarts des collaborateurs indiquent que leur employeur exige des fonctions de sécurité sur leur terminal mobile et, dans plus de la moitié des cas, l’entreprise dispose des moyens d’en effacer les données à distance. Selon une autre enquête effectuée par BT et Cisco, 33% des responsables IT sont en mesure de dire immédiatement si quelqu’un utilise un appareil non-autorisé et 26% savent si un utilisateur emploie son appareil de façon non-autorisée.

Du MDM au MAM

Avec un nombre croissant d’entreprises adoptant des programmes BYOD, l’avenir semble radieux pour le marché de la sécurité mobile, qui devrait représenter 30% du marché des logiciels de sécurité à l’horizon 2015, selon Gartner. Le marché semble particulièrement prometteur pour les solutions MDM combinant plusieurs des fonctions BYOD requises par les entreprises (connectivité, hardware, apps, sécurité). Des solutions employées directement ou sous la forme de services managés proposés par les opérateurs. Gartner estime cependant que le marché du MDM va bientôt connaître un déclin, ces solutions se voyant remplacées par des outils agissant plutôt au niveau des apps (Mobile App Management, MAM) que des appareils, et facilitant par la même la séparation privé/professionnel au sein d’un même terminal.