«Bring Your Own Device» ne fonctionne sans risque pour l’entreprise que si l’utilisation professionnelle des appareils mobiles privés est clairement réglementée et basée sur une stratégie globale.
Texte: Urs Binder, Image: Strandperle,
Les appareils personnels font partie de la vie quotidienne pour presque tout le monde. Quoi de mieux que d’utiliser son propre smartphone, sa tablette et son ordinateur portable à des fins professionnelles - après tout, on ne souhaite pas toujours avoir deux appareils du même type pour passer des appels privés ou professionnels ou accéder à des documents d’entreprise en déplacement. La mobilité est l’un des thèmes les plus importants dans le domaine des TIC en Suisse, comme l’indiquent les chercheurs de MSM Research dans une récente étude.
Les collaborateurs initient souvent «Bring Your Own Device» (BYOD) et posent divers défis pour l’ensemble de l’entreprise. La gestion, l’organisation et la technologie sont également requises si l’on ne veut pas que les dispositifs apportés entraînent une croissance incontrôlée avec des risques considérables pour la sécurité. BYOD introduit de nouvelles façons de travailler dans l’entreprise, et la culture change. Ce simple fait implique que le BYOD ne doit en aucun cas rester un sujet purement technique, mais doit être pris en charge dès le départ par la direction et intégré dans l’organisation.
La question de l’intégration des appareils dans le réseau de l’entreprise se pose toujours, mais ce n’est qu’une question parmi d’autres. Sans une stratégie alignée sur la situation de l’entreprise et sans règles claires, les avantages attendus du BYOD ne se réaliseront pas: augmentation de la productivité et de la satisfaction des collaborateurs, amélioration de la coopération et, en fin de compte, réduction des coûts grâce à l’élimination des équipements exclusifs - tout cela n’apparaitrait finalement pas.
Plus concrètement, BYOD affecte plusieurs niveaux dans l’entreprise :
Une chose est claire: les utilisations personnelle et professionnelle doivent être séparées sur les appareils mobiles. Parce que l’on manipule généralement les données de manière un peu plus négligente en privé, alors que les informations professionnelles exigent plus de sécurité: celles-ci sont souvent confidentielles et soumises à certaines conditions légales. Cela nécessite généralement le stockage de données en Suisse - et non le dépôt sur Dropbox ou une autre solution cloud avec des serveurs localisés en dehors de la Suisse.
Pour cette séparation, il existe deux approches différentes. Les périphériques sont gérés via une solution Mobile Device Management (MDM) ou Enterprise Mobility Management (EMM). Une zone strictement distincte pour une utilisation professionnelle est configurée sur l’appareil. L’échange de données entre la zone privée et la zone professionnelle est interdit. Mais même si MDM et EMM offrent une sécurité suffisante: des données d’entreprise se trouvent sur l’appareil, qui peut être potentiellement piraté.
La deuxième approche implique un processus d’intégration sophistiqué pour les nouveaux appareils. Les utilisateurs sont pris en charge par un assistant numérique qui garantit la conformité avec les règles de mot de passe et les autres règles de gouvernance et la configuration de l’appareil. La séparation entre usage privé et professionnel est assurée par un poste de travail virtuel: les applications professionnelles et les données professionnelles sont accessibles uniquement via une authentification forte pour sécuriser l’accès à ce bureau virtuel. Toutes les données sont conservées dans le cloud et sont disponibles à tout moment et en tout lieu. Si possible, aucune donnée professionnelle n’est stockée localement sur l’appareil.
La sécurité a deux significations principales en ce qui concerne BYOD: premièrement, un accès sécurisé et crypté des appareils personnels au réseau d’entreprise, soutenu par une authentification forte et une stratégie de sécurité TIC adaptée.
Deuxièmement, la sécurité des données: seuls ceux qui sont autorisés ont un accès. Pour cela, l’entreprise doit d’abord savoir quelles données sont disponibles. Sur cette base, les données peuvent être classées en fonction de leur confidentialité. Selon la classification, les employés ont besoin de différents niveaux d’authentification - pour les informations générales non confidentielles, par exemple, l’ID utilisateur et le mot de passe suffisent, tandis que les documents comportant des données client doivent être sécurisés avec au moins un facteur d’authentification supplémentaire.
En même temps, il est essentiel de tenir les employés au courant grâce à des formations et des tests sur les questions de sécurité - en plus des aspects techniques, cela concerne les endroits où le travail avec des informations confidentielles est autorisé et où il ne l’est pas.
La sécurité globale est essentielle pour des raisons légales, entre autres. Selon l’article 7 de la loi suisse sur la protection des données (LPD), l’employeur doit garantir la sécurité des données par des mesures techniques et organisationnelles adaptées.
D’abord, réfléchissez bien à la valeur que les différentes données représentent pour l’entreprise. Mettez en place un concept pour la classification des informations et documents.
Etablissez une charte BYOD écrite très claire à l’attention des collaborateurs.
C’est seulement une fois que les règles de BYOD ont été clairement définies pour votre entreprise que vous pouvez mettre en place les conditions techniques préalables.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème