L’informatique personnelle et l’informatique professionnelle ont longtemps été des mondes relativement séparés. La première repose sur des appareils communicants, avec des usages centrés sur l’utilisateur. La seconde repose sur des usages centrés sur le métier et les données et offrant relativement peu de libertés à l’utilisateur. Mauvaise nouvelle pour les DSI : ces deux mondes ne font plus qu’un à travers le BYOD (Bring Your Own Device), auquel les DSI vont devoir faire face.
Les différentes études sur le fameux phénomène du BYOD (Bring Your Own Device, ou « Apportez votre propre terminal ») qui se succèdent depuis quelques mois (voir encadré page 5) mettent en évidence la popularité du phénomène. Avec des expérimentations à plus ou moins grande échelle. Chez EDF, par exemple, l’expérience de BYOD est née d’une double demande.
D’abord, celle des métiers de l’entreprise, qui souhaitent utiliser des terminaux divers, en fonction du lieu et du moment. « Les collaborateurs nés à l’heure du numérique ont de plus en plus d’attentes dans ce domaine », précise Jean-Michel Sarda, d’EDF, qui est intervenu sur ce thème lors de la dernière conférence CIOnet France.
Ensuite, la demande de la direction des systèmes d’information, qui avait quatre objectifs. Le premier était de s’affranchir du rythme des évolutions de l’informatique personnelle, de manière à prendre en compte la diversité des terminaux (smartphones, tablettes, micro-ordinateurs…) pour les salariés comme pour les prestataires qui accèdent au système d’information.
Deuxième objectif : introduire un nouveau modèle d’activités générateur potentiel d’économies dans la mesure où c’est l’utilisateur qui gère son poste de travail. Autre objectif : « Intégrer le retour d’expérience dans la conception des futurs postes de travail fournis par l’entreprise », souligne Jean-Michel Sarda. Enfin, le quatrième objectif de la DSI était de « promouvoir des architectures applicatives via le Web, là encore sous la pression des utilisateurs », rappelle Jean-Michel Sarda.
Anticiper les conséquences pour la DSI
L’expérimentation, d’une durée de six mois, a porté sur une centaine d’utilisateurs dans une direction métier. « Les principes retenus sont, d’une part, de ne toucher qu’au minimum au système d’exploitation natif et, d’autre part, d’avoir un accès au système d’information d’EDF via un LAN, en mode « terminal » », précise Jean-Michel Sarda. Trois points de vigilance doivent être particulièrement pris en compte.
D’abord la sécurité, avec des antivirus et des dispositifs de contrôle d’accès, de contrôle et de filtrage réseau. Ensuite, les parties gestion des ressources humaines et juridique. « L’offre BYOD est une offre alternative à l’offre standard de l’entreprise, et l’on ne peut pas contraindre un salarié de l’accepter », précise Jean-Michel Sarda. De même, il convient de bien cloisonner les données professionnelles de celles qui sont personnelles. Il faut prévoir des matériels, il faut prévoir les conditions de cofinancement, notamment pour l’acquisition du matériel, des logiciels, de la maintenance et des éventuels contrats d’assurance. « Une convention d’engagement réciproque doit être réalisée avant toute mise en œuvre », prévient Jean-Michel Sarda.
Enfin, un point de vigilance à ne pas négliger concerne la conduite du changement. Cela suppose en particulier de mesurer les conséquences réelles sur l’activité de la DSI, notamment pour le support, et, éventuellement, d’adapter les processus de la DSI en matière d’assistance, de dépannage, les achats de services de télécommunications et l’acquisition des licences de logiciels.
Sécuriser les accès réseau
Pour répondre au besoin croissant d’accès à certaines données de l’entreprise en situation de mobilité, Volvo IT, filiale informatique du groupe de transport commercial Volvo a mis au point un service sur mesure permettant aux collaborateurs qui le souhaitent d’installer les principales applications de type bureautique de l’entreprise sur leur appareil mobile personnel. Le service couvre tous les smartphones et tablettes fonctionnant sur les dernières versions d’iOS, Android et Windows Phone.
Lors de la première connexion aux applications de l’entreprise, les collaborateurs doivent choisir un mot de passe afin de protéger l’accès au contenu de leur appareil. En cas de vol ou de perte de l’appareil, Volvo IT a ainsi la possibilité de supprimer à distance les données relatives à l’entreprise seulement comme les e-mails et l’agenda par exemple. Toujours dans cette optique de protection, les terminaux mobiles ne peuvent accéder au Wi-Fi de l’entreprise et doivent être équipés d’une connexion de type 3G illimité.
Cependant, afin de faire évoluer le service, les équipes de Volvo IT étudient la possibilité de mettre en place un réseau Wi-Fi réservé aux smartphones sur chaque site du groupe et qui serait accessible bien sûr à travers un accès sécurisé après identification de l’utilisateur.
Depuis septembre 2011, date de lancement du service, les salariés qui en font la demande peuvent ainsi accéder à distance à leurs e-mails, à leur agenda et à leurs contacts. Sur les 12 000 terminaux mobiles (smartphones et tablettes) aujourd’hui inscrits à ce service pour l’ensemble du groupe Volvo, près de 8 000 sont des appareils personnels. Et l’engouement pour ce service s’est confirmé en décembre 2011 où Volvo IT a reçu près de 4 000 demandes en l’espace d’un mois.
« Cela s’explique par la période de Noël propice aux cadeaux high-tech bien sûr, mais cela montre aussi que le bouche-à-oreille fonctionne très bien et qu’il y a une vraie volonté de la part de nos collaborateurs de centraliser les usages personnels et professionnels de leur smartphone ou de leur tablette », explique Laurent Geray, responsable Innovation chez Volvo IT France, pour qui « chercher à gérer le phénomène de BYOD dans sa globalité dès le départ n’est pas une tactique efficace, et il est important d’étudier de près les usages et de penser aux besoins de demain en agissant pas à pas ».
Les étapes de l’expérimentation BYOD à EDF | |||
Étapes | Smartphone, tablette | PC des prestataires | PC des salariés |
Connexion | 3G, Wi-Fi | Wi-Fi, LAN | Wi-Fi, WAN |
Services | Messagerie mobile | Webmail, bureautique | |
Engagement | Offre MéMo | ND | ND |
Assistance | Offre MéMo | ND | ND |
Options perso (exemples) | iWorks, applications métiers | Suite Office | |
Conditions d’éligibilité |
|
|
|
Matériel et système d’exloitation |
|
|
|
Disponibilité | Début 2012 | 1er trimestre 2012 | 2e trimestre 2012 |
Des motivations diverses
Pour Lionel Arbey, consultant senior chez Logica, l’approche BYOD naît de différents constats : « Une évolution des capacités des matériels mobiles et des infrastructures, un encombrement croissant des dispositifs téléphoniques et une préoccupation quant à l’ergonomie. » Mais, au-delà de ces aspects purement techniques, « mener un projet BYOD consiste avant tout à mener un projet organisationnel mêlant plusieurs problématiques : ressources humaines, métiers, juridique et technique », détaille Lionel Arbey.
Un type de projet qui va devenir incontournable pour les DSI. « Toutes les entreprises (sans exception) devront s’adapter aux préférences technologiques de leurs collaborateurs, assure de son côté Taher Elgamal, consultant sécurité chez Axway. Loin de se limiter à la satisfaction des collaborateurs, cette tendance prendra une tournure concurrentielle, car le côté pratique que nous apprécions tous en tant que consommateurs deviendra un besoin que tous les employeurs devront satisfaire. »
Selon Loup Gronier, directeur des offres et de l’innovation chez Devoteam, l’engouement pour le BOYD provient de plusieurs facteurs : « L’attrait pour les nouveautés technologiques, la baisse des prix, les comportements de la génération Y, la baisse des budgets informatiques, ou encore la volonté de ne pas fournir des matériels aux sous-traitants. »
Concernant les problématiques métiers, il faut identifier les besoins, en particulier pour distinguer les usages systématiques de ceux qui concernent seulement les situations de mobilité. De même, on distinguera les accès simples à la messagerie ou les accès généralisés à l’ensemble du système d’information, avec, en parallèle, une analyse de risques. Les problématiques juridiques, elles, font référence aux licences et assurances, à l’utilisation du matériel de l’entreprise pour un usage privé (l’inverse du BYOD). « Il est préférable de rédiger une charte à faire signer par les utilisateurs, qui précise le contexte, les engagements des parties et les limites qui y sont associées », conseille Lionel Arbey. L’avis d’un juriste ne sera pas de trop…
Les problèmes techniques conduisent à se poser plusieurs questions. Quelle offre de service ? Quelles solutions techniques faut-il y associer ? Quels types de matériels sont autorisés ou interdits ? Comment assurer et adapter le support utilisateur ? « Il est facile d’être confronté à une situation de BYOD, par exemple de la part de la direction générale, mais pas toujours facile d’y répondre… », concède Lionel Arbey.
Des risques de discrimination
Autre exemple : la Société générale, qui a commencé à s’intéresser à la problématique BYOD en 2010, à l’occasion de l’arrivée de l’iPhone. Mais le terminal d’Apple n’a pas pour autant été mis d’emblée au catalogue des outils proposés aux collaborateurs, pour des raisons de coût et de sécurité. « Nous avons essayé d’anticiper », rappelle Olivier Chapron, RSSI Groupe (responsable de la sécurité des systèmes d’information) de la Société générale, intervenu sur le thème du BYOD lors d’une conférence organisée par le Clusif (Club de la sécurité de l’information français).
Un groupe de réflexion associant des représentants de la direction des ressources humaines, des juristes, la DSI et les RSSI a travaillé durant quatre mois sur la problématique du BYOD. Car les questions ne manquent pas : « Par exemple en matière de discrimination entre les salariés, d’accès aux terminaux personnels des collaborateurs, en particulier en cas de fraude, ou de financement des équipements et des factures associés », souligne Olivier Chapron.
La solution retenue par le groupe bancaire consiste à installer une « bulle » sur les terminaux, pour les applications professionnelles : « On peut y intégrer n’importe quelle politique de sécurité », note Olivier Chapron, qui a mis en œuvre le chiffrement des e-mails et, dans les endroits sensibles, a banni les clés USB et les graveurs.
L’annonce de la décision d’une grande banque espagnole (BBVA) de faire migrer vers Google Apps ses 110 000 collaborateurs à l’horizon fin 2012 a obligé la Société générale à affiner sa politique de sécurité. « Le BYOD, changement profond auquel nous sommes confrontés, ne se limite évidemment pas à la question du terminal, c’est toute la problématique de confidentialité des données qui est concernée », précise Olivier Chapron.
Des risques juridiques, sur les données et pour l’organisation
Pour Chadi Hantouche, consultant en sécurité chez Solucom, le BOYD génère trois catégories de risques, qui ne sont d’ailleurs pas nouveaux : sur les données (professionnelles et personnelles), pour le système d’information, et sur les plans organisationnel et juridique. « Les risques doivent être évalués de bout en bout, sans pour autant créer trop de contraintes qui dégradent l’ergonomie et peuvent générer des phénomènes de rejet », ajoute Chadi Hantouche, qui estime que « idéalement, il ne faudrait pas stocker de données professionnelles sur des terminaux personnels, ou alors les sécuriser, par exemple avec des silos applicatifs, ce qui est la tendance que l’on observe, avec le déport d’affichage ». Les risques concernent à la fois les fuites d’informations, les pertes de données, les attaques virales et, de façon plus générale, « le risque de baisse du niveau global de sécurité dans la mesure où le parc de terminaux augmente », estime pour sa part, Loup Gronier, directeur des offres et de l’innovation chez Devoteam.
Côté juridique, les embûches ne manquent également pas, en matière de droit social, de définition des responsabilités, d’intelligence économique, de fraude, sans parler des problématiques de stress, de santé au travail, de discrimination. Mais « il n’y a pas encore de jurisprudence spécifique sur le BYOD pour ces différents aspects », note Garance Mathias, avocate spécialisée dans le droit des nouvelles technologies, pour qui les aspects juridiques et RH doivent être clairement définis : « L’entreprise peut-elle maîtriser le terminal personnel de l’utilisateur ? Le salarié peut-il conserver les données de l’entreprise ? Qu’en est-il de la perte ou du vol des données de l’entreprise sur un terminal personnel ? »
D’une manière générale, le BYOD introduit une nouvelle relation entre la DSI et les utilisateurs. « Auparavant, il s’agissait de déployer et de supporter les terminaux, désormais, le job des équipes de la DSI est davantage de sensibiliser et de responsabiliser », note Chadi Hantouche. Celui-ci suggère une approche en trois phases. D’abord, « commencer par les besoins les plus évidents et les satisfaire avec des solutions technologiques matures et, si l’on a affaire à des solutions plus innovantes, réaliser un « proof of concept » ».
Ensuite, définir précisément l’offre cible : « Quels sont les usages, pour quelle(s) population(s), quels terminaux et avec quels niveaux de services ? Telles sont les questions auxquelles il faut apporter des réponses. » Enfin, il convient de ne pas négliger les aspects techniques ni, surtout, les règles d’usage acceptables d’un point de vue gestion des ressources humaines et juridique : « Pour les utilisateurs, elles concernent l’utilisation des terminaux et les assurances, pour le management, les problématiques d’organisation et d’horaires de travail, et pour les administrateurs, les principes d’accès aux terminaux et aux données qu’ils contiennent. »
Quelques moyens de protection | |
Ordinateurs portables | |
Technologie | Architecture de sécurité |
|
|
Tablettes | |
Technologie | Architecture de sécurité |
|
|
Source : Logica |