Introduction
Le BYOD (Bring Your Own Device) consiste à apporter et à utiliser ses appareils personnels (smartphone, tablette et ordinateur portable) sur le lieu de travail. Phénomène un peu oublié par rapport à la révolution Cloud, le BYOD présente pourtant un défi de taille pour la direction informatique notamment au niveau de la question de la sécurité. Cette évolution marque l’apparition de changements comportementaux profonds d’un point de vue sociologique et apporte de nouveaux risques à gérer par l’organisation.
Des risques situés à plusieurs niveaux
Un risque d’entreprise
Un risque d’entreprise avec la fuite possible de données en dehors de l’entreprise liée à un vol de l’appareil, à une atteinte volontaire de la part du collaborateur ou à un virus. Cela pose la question de savoir si les données considérées comme sensibles (applications métiers par exemple) doivent être consultables depuis les appareils BYOD. Il est primordial d’identifier l’utilisateur qui va accéder aux données sur l’appareil BYOD via une authentification forte et le chiffrement des données.
Un risque juridique
L’utilisation des ressources depuis les infrastructures engage nécessairement la responsabilité de l’organisation et du collaborateur. Le partage des responsabilités doit être clairement établi dans une charte informatique. Par exemple, qui est responsable de la mise à jour des appareils ? A noter que l’organisation est considérée comme responsable en cas de défaillance ou d’oubli du collaborateur. Par ailleurs, qui est responsable de la sauvegarde des données ? en cas de vol ou casse de l’appareil ?.
Un risque informatique
Les risques techniques notamment de sécurité sont prépondérants dans le cas où le système d’information est mal maitrisé. Une des réponses est de maintenir un parc informatique à jour et appliquer les patchs et mises-à-jour sur les appareils BYOD (mise à jour à charge de l’organisation ou du collaborateur ?).
Par ailleurs, les appareils mobiles utilisent certains types de connexion (Wifi, 3G, 4G, …) rendant complexe le contrôle du réseau. A noter que la sensibilisation des utilisateurs à ces risques est primordiale car il est difficile voire impossible de maitriser totalement son système d’information et le réseau associé . La sécurisation des données critiques (considérées comme des biens sensibles de l’entreprise) est un axe majeur à intégrer dans la mise en place du BYOD dans l’organisation. Cela nécessite de cartographier les données sensibles et de sécuriser l’architecture informatique (pare-feu, zones démilitarisées DMZ, accès VPN, …) via une une « démarche de défense en profondeur » car le BYOD multiple les zones potentielles d’attaque. Un volet organisationnel est à considérer car la sécurité est affaire de tous les acteurs de l’entreprise.