Le télétravail imposé par le confinement a remis au goût du jour les approches BYOD comme le dévoile une nouvelle étude Bitglass qui montre que les entreprises qui avaient préféré ces approches à celles plus traditionnelles du CYOD, COPE ou COBO se sont retrouvées mieux préparées pour affronter la crise.

Il y a quelques années, la tendance BYOD (Bring Your Own Device) a bouleversé les entreprises et secoué l’univers de la cybersécurité. Le BYOD consiste à laisser les utilisateurs utiliser leurs propres appareils pour travailler, aussi bien chez soi qu’au bureau. Le phénomène a pris de l’ampleur alors que les particuliers se retrouvaient souvent bien mieux équipés chez eux que sur leur lieu de travail. Bien évidemment, une telle approche demande de totalement repenser la sécurité du système d’information et d’abandonner l’idée du château fort et de ses défenses périmétriques.

Face au phénomène, certaines DSI qui voyaient d’un très mauvais œil une telle liberté de choix et de variété de matériels ont vite cherché à mettre un coup d’arrêt à la tendance en proposant à leurs employés des matériels plus sexy et plus modernes, mais aussi en inventant de nouvelles approches comme le CYOD (Choose Your Own Device, choisissez votre matériel parmi une sélection opérée et contrôlée par l’entreprise), le COPE (Corporate Owned Personally Enabled, le matériel est fourni et contrôlé par l’entreprise qui autorise cependant les usages personnels) ou encore le plus restrictif et traditionnel COBO (Corporate Owned, Business Only, l’entreprise fournit du matériel limité aux seuls usages professionnels et contrôlés par l’entreprise).

Mais ça, c’était avant… Avant la crise sanitaire, avant le confinement en urgence de tous les employés, et avant la mise en place en mode « improvisation » de pratiques de télétravail. Plusieurs études montrent que ce télétravail s’est, dans plus de 60% des entreprises, réalisé au travers des équipements personnels des employés! Autrement dit, les entreprises se sont retrouvées à pratiquer le BYOD sans en avoir l’air et surtout pour beaucoup sans y être préparées.

La nouvelle étude Bitglass autour des pratiques du BYOD en entreprise revient sur la façon dont les entreprises ont en 2020 permis l’utilisation d’appareils personnels, leurs préoccupations en matière de sécurité et les mesures qu’elles ont mises en place. Dans un contexte où la cybersécurité des grandes entreprises est de plus en plus mise en péril par leur supply chain et leurs PME partenaires et où le télétravail généralisé s’est souvent fait sans préparation préalable, l’étude mérite forcément que l’on s’y intéresse.

L’étude révèle ainsi que seulement 18% des entreprises sondées n’ont pas, en 2020, été obligées d’autoriser des pratiques BYOD. 69% l’ont autorisé pour leurs employés alors que 26% l’ont surtout autorisé pour leurs partenaires (21%) et leurs sous-traitants (28%).

Sur quels groupes d’utilisateurs autorisez-vous le BYOD?

L’étude montre que même si les pratiques BYOD ont désormais plus de 15 ans et même si les outils pour les gérer ont aujourd’hui acquis une grande maturité, les freins concernant la cybersécurité n’ont pour ainsi dire pas évolué d’un iota dans l’esprit des responsables d’entreprises et des DSI. On retrouve en tête la fuite d’informations, le téléchargement sauvage d’apps, et le vol des terminaux. Des problématiques qui, à bien y regarder, ne sont nullement liées aux pratiques BYOD à proprement parlé, mais plutôt à la mobilité des collaborateurs.

Principaux freins au BYOD

Plus étonnant : alors que les solutions de gestion du BYOD ont considérablement évolué vers des solutions UEM (Unified Enterprise Mobility) avec des portails de self-service et des mécanismes automatisés d’enrôlement des appareils personnels dans les stratégies de sécurité de l’entreprise, 59% des DSI affirment toujours avoir besoin d’accéder physiquement à l’appareil mobile pour provisionner un terminal ou l’intégrer dans les stratégies BYOD mises en place. Pire encore, 36% affirment utiliser un accès root pour intégrer l’appareil dans les mécanismes de sécurité. Et 52% réclament le code PIN à l’utilisateur ! Bitglass rappelle que « chacune de ces pratiques représente une violation de la vie privée des utilisateurs. Les utilisateurs sont réticents à ces pratiques ce qui exige une approche différente de la sécurité », approche désormais rendue possible par le cloud et tous les outils modernes de gestion des terminaux mobiles.

Pratiques nécessaires pour mettre en oeuvre le BYOD dans l’entreprise

Autre preuve du manque de maturité des entreprises et du manque de préparation aux pratiques BYOD, moins d’un responsable sur deux affirme avoir de la visibilité sur les partages de fichiers réalisés et moins d’un sur trois a de la visibilité sur les sauvegardes des mobiles et l’édition des documents sur les terminaux BYOD ! Seulement 74% des entreprises sondées ont une visibilité sur les emails échangés par les collaborateurs mobiles entraînant une surexposition aux risques BEC (Business Email Compromised) et aux risques de Phishing !

Visibilité des entreprises sur les usages des terminaux BYOD

L’étude cherche dès lors à comprendre pourquoi les entreprises sont encore si mal préparées face au BYOD et si mal équipées en matière de gestion de la sécurité des appareils et des applications. Un responsable sur 4 ne sait pas expliquer pourquoi ! 38% des responsables sondés se disent freinés par les problématiques de respect de la vie privée et les inquiétudes de leurs collaborateurs en la matière. Les autres s’avouent relativement impuissants à containeriser les applications professionnelles. Des résultats qui montrent que 15 ans après les premières initiatives BYOD, les entreprises n’ont finalement toujours pas acquis la maturité attendue.

Les défis rencontrés dans la mise en oeuvre d’outils MDM-MAM-EMM-UEM

Un manque de maturité que l’on retrouve d’ailleurs sur les basiques de la sécurité : 30% des entreprises sondées n’ont pas installé de protection antimalware sur les appareils BYOD amenés à se connecter d’une manière ou d’une autre au système d’information. Pas étonnant dès lors que 42% des responsables sondés s’avouent incapables de dire si leurs collaborateurs BYOD (ceux qui utilisent un terminal personnel pour travailler) ont téléchargé ou non un malware durant les 12 derniers mois !

Une gestion déficiente des malwares

Au final, l’étude Bitglass ne fait, une nouvelle fois, que confirmer le manque de maturité des entreprises face aux nouveaux usages. Nombre d’entre elles se sont pourtant retrouvées contraintes et forcées à laisser leurs collaborateurs confinés travailler et accéder au système d’information durant la crise sanitaire. Une situation BYOD qui s’est dès lors souvent concrétisée dans des conditions qui ne respectaient ni les niveaux de cybersécurité, ni les niveaux de conformité, habituels de ces entreprises. En agissant ainsi, elles ont mis en danger leurs utilisateurs, leurs systèmes d’information, mais également leurs partenaires et leurs clients. Alors que le télétravail va forcément continuer de se populariser (au moins partiellement), il est grand temps que les DSI admettent que le BYOD est une réalité incontournable et qu’il peut et doit être géré avec visibilité et pragmatisme. Les solutions existent, elles sont plurielles et matures.


Source : Bitglass – 2020 Personal Device Report