DOSSIERS

Mobiles et PC perso au bureau : compliqué, mais inéluctable !

Par La rédaction, publié le 23 août 2013

Le BYOD (Bring Your Own Device) s’invite en entreprise à l’initiative des plus jeunes salariés. Bien réels, les problèmes de sécurité ne sont pas insurmontables.

“ Les besoins de nos étudiants sont ceux de la société future ”, résume Xavier Palou, directeur de l’école de management EMD à Marseille. Le numérique et la mobilité font partie de leurs habitudes. Le planning des cours, les messages laissés par un professeur ou leurs fiches de synthèse, ils n’imaginent pas les consulter autrement qu’avec leur smartphone ou leur PC portable personnels. Et il serait tout bonnement impensable de leur demander à tous d’utiliser le même matériel. “ Nous nous sommes donc conformés à leurs habitudes et avons entièrement adapté notre structure informatique et télécoms à leurs besoins. ”

Dans très peu de temps, ces étudiants seront des salariés. Et… voudront continuer de travailler de la même façon chez leur employeur, avec le même ordinateur que celui qu’ils utilisent à la maison. Le changement est en marche. Selon une étude menée par l’éditeur Checkpoint Software, 96 % des entreprises déclarent que le nombre d’appareils personnels se connectant à leur réseau est en augmentation. Une sur deux en recense cinq fois plus qu’il y a seulement deux ans. Ce phénomène grandissant porte un nom : le BYOD, pour Bring Your Own Device (apportez vos propres appareils).

Une tendance que les entreprises pourraient considérer avec le sourire : après tout, c’est autant de terminaux informatiques en moins à acheter. Mais qui présente tout de même des inconvénients, dont le premier est le manque de sécurité. Les coûts des incidents (pertes ou vols des appareils et des données qu’ils contiennent) ne sont pas négligeables : ils peuvent atteindre 85 000 euros pour une PME et 400 000 euros pour une grande entreprise, selon Checkpoint Software. Protéger les données d’une entreprise n’est jamais simple. C’est encore plus difficile lorsqu’elles se trouvent stockées dans l’iPhone personnel du directeur financier, ou dans la tablette dernier cri que vient de s’offrir le directeur commercial.

BYOD sauvage. Alors comment assurer malgré tout leur intégrité ? Interdire purement et simplement le BYOD n’est pas une option. “ Si on ne fournit pas aux utilisateurs les appareils mobiles qu’ils réclament, nombre d’entre eux prennent l’initiative et provoquent ce changement sans rien demander à personne ”, a constaté Hervé Uzan, directeur général France de VMware, société informatique américaine. Deux tiers des employés se disent soucieux de la sécurité de leurs données professionnelles, indique le cabinet Vanson Bourne. Mais un tiers d’entre eux sont prêts à contourner les règles de l’organisation si on leur interdit d’utiliser leur propre matériel !

Pire, un collaborateur sur trois se dit décidé à quitter sa boîte s’il ne peut se servir de ses appareils pour travailler. Les entreprises n’ont donc pas le choix : elles doivent parvenir à concilier flexibilité et sécurité. C’est ce que tente de faire la société de conseil en ingénierie Altran. “ Bon nombre de nos collaborateurs travaillent hors de nos murs. Il fallait leur offrir la possibilité d’accéder à notre système d’information, explique François Charpe, responsable des technologies de communication du groupe Altran. ” Le moyen le plus simple ? En autoriser l’accès depuis leurs terminaux personnels. “ Aujourd’hui, les 20 000 personnes de notre effectif possèdent un smartphone ou une tablette, voire les deux, poursuit le responsable. Nous les informons régulièrement afin qu’ils évitent les comportements pouvant mettre la sécurité du groupe en jeu. ”

La sensibilisation des employés est la pierre angulaire de toute politique BYOD. Et pour la mener, il faut une charte. “ Au début, le BYOD était interdit chez nous. Nous étions 100 % Blackberry, et connaissions pas mal de restrictions, explique Jean-François Garcia, directeur Europe, Moyen-Orient et Afrique de Trellebory Marine Systems (fournitures et équipements industriels). Puis la formule s’est imposée petit à petit, poussée par de jeunes collaborateurs. ” Mais elle est encadrée par la charte informatique que signe chaque nouvel arrivant. Toutes les organisations ne sont cependant pas logées à telle enseigne. Selon Ping Identity, qui a réalisé une étude auprès de 3 000 professionnels, dont 1 000 Français, 45 % des sondés reconnaissent qu’il n’existe aucune politique d’utilisation des terminaux mobiles dans leur organisation ou bien que, si elle existe, elle n’est pas vraiment appliquée.

C’est pourtant un point primordial en termes de sécurité. “ Une charte rend opposables un certain nombre de règles communes ”, précise Thierry Sar, directeur administratif et financier du groupe DFI (conseil en infrastructure). “ Elle décrit la règle de gestion des sauvegardes et les mesures de sécurité minimales. Elle prévoit aussi les situations de crise, comme le vol de l’équipement. L’employé doit y reconnaître qu’il a fait le choix de recourir au BYOD, s’engager à déclarer tout changement ou abandon du terminal et la signer. ”

Mais attention, les solutions de MDM, récentes, ne sont pas encore parfaitement au point selon l’Anssi (Agence nationale de la sécurité des systèmes d’information). Et le remède peut se révéler pire que le mal ! Une société américaine a utilisé cette technologie, supprimant à distance toutes les données, professionnelles comme personnelles, du mobile d’un collaborateur sur le départ. Y compris les photos d’un membre défunt de sa famille. Elle a été condamnée à réparer le préjudice moral.

C’est que le BYOD peut finir par revenir cher à une entreprise, et pas seulement en frais d’avocat. Il existe d’abord des coûts bien visibles : l’investissement dans des infrastructures réseaux adaptées, des solutions de sécurité, des applications… Mais également des coûts masqués. “ Quand on passe d’un Blackberry à un iPhone, on découvre que de nombreuses applications se connectent toutes seules à Internet. On se retrouve alors avec des factures de téléphones aberrantes ”, se souvient Jean-François Garcia, de Trellebory Marine Systems.

La connexion de données en itinérance peut, elle aussi, coûter très cher, surtout à l’étranger. Idem pour les connexions Wi-Fi dans la société. Pour bien comprendre, il faut regarder la consommation moyenne de données d’un possesseur d’iPhone, calculée par la société Blue Coat (surveillance des réseaux). Entre les mises à jour des applications et du système, le téléchargement d’applications, le partage avec les collègues de photos de 1 à 3 mégaoctets (Mo) chacune ou de vidéos de 25 à 320 Mo pour une minute et leur mise en ligne, l’occupation réseau d’un seul collaborateur est loin d’être négligeable. Et peut représenter pour une entreprise entre 4 et 200 gigaoctets d’occupation supplémentaire de la bande passante, tous les mois. L’investissement dans des équipements réseaux supplémentaires (bornes Wi-Fi par exemple) est alors nécessaire.

Et si la solution était d’inverser le problème ? Les sociétés peuvent aussi choisir de fournir leur matériel aux salariés, mais de les laisser l’utiliser librement pour leur vie personnelle. On parle alors de COPE, pour Corporate Owned, Personally Enabled. Cette stratégie est déjà appliquée par la SNCF qui a équipé ses 10 000 contrôleurs de smartphones Samsung Galaxy S2, ou par La Poste, avec le déploiement actuel du projet Facteo et la dotation en smartphones de ses 100 000 facteurs. Mais s’il est plus facile de gérer un parc “ choisi ” et que le contrôle est meilleur, cela n’élimine pas tous les risques pour autant, notamment ceux liés à la perte de l’appareil et de son précieux contenu.

Au final, il semble que malgré les difficultés engendrées par le BYOD, le jeu en vaille tout de même la chandelle. “ Il s’agit d’un élément déterminant dans la performance de notre activité, déclare ainsi Vincent Saada, ancien contrôleur de gestion et fondateur du réseau Access Crédit Pro (financement des entrepreneurs). Parfois, avec un client, ça se joue à une heure près. Et en utilisant leurs propres outils, les membres du réseau sont plus réactifs. Difficile de quantifier l’apport du BYOD, mais si nous sommes deux à trois fois plus performants que la concurrence, il y a forcément un rapport ! ” Et dans un tel cas de figure, les questions de sécurité passent au second plan.

Les chiffres du BYOD

30 % des employés consultent, stockent, transmettent ou modifient des documents professionnels sur leur mobile ou leur tablette personnels
Source : Vanson Bourne
32 % des salariés sont prêts à contourner la DSI pour utiliser leur mobile ou leur tablette personnels
Source : Vanson Bourne
30 % des sondés se disent décidés à quitter leur société s’ils ne peuvent utiliser leur mobile ou leur tablette pour travailler
Source : Vanson Bourne
79 % des sociétés déclarent avoir rencontré au moins un incident lié à la sécurité des mobiles (depuis 2012)
Source : Checkpoint Software

Comment bien encadrer le BYOD

Voici ce que vous devez savoir sur le plan juridique avant de songer à laisser vos collaborateurs utiliser leur ordinateur et smartphone personnels au bureau. Des conseils de Garance Mathias (photo), avocate à la cour.

Réglement intérieur et charte informatique. Avant l’application du BYOD, il faut instaurer une procédure écrite tant de manière individuelle – pour informer chaque salarié – que collective – délégués du personnel et/ou comité d’entreprise et CHSCT (comité d’hygiène, de sécurité et des conditions de travail). de plus, un règlement intérieur doit être mis en place en accord avec les institutions représentatives du personnel. Ce document sera envoyé au secrétariat greffe des prud’hommes, et un affichage sera effectué sur les lieux de travail. il faudra aussi adapter la charte informatique. la société est responsable des dommages commis par son employé dans le cadre de sa mission, sauf à démontrer la faute de celui-ci. le non-respect de la charte pourra, le cas échéant, permettre de sanctionner un comportement inadapté.

Usages personnels et professionnels. Pour ce qui est de l’usage du matériel à des fins personnelles dans l’entreprise, il y a généralement une tolérance de la part de l’employeur (lecture des courriels pendant la pause déjeuner, gestion d’un problème personnel urgent…). Mais des complications peuvent se poser en cas d’excès. des jurisprudences existent sur la consultation excessive de sites non professionnels pendant les heures de bureau, le non-respect du droit d’auteur (films piratés), etc. il s’agit le plus souvent de mesures disciplinaires, mais qui peuvent conduire à un licenciement.

Compensations financières. Dans le cadre du BYOD, une compensation financière peut être envisagée, mais c’est un point à bien évaluer. Si l’on compare avec le cas des véhicules personnels, la société peut choisir de rembourser leur utilisation à travers le système des frais professionnels, en se basant sur un barème fiscal. Pour une tablette ou un ordinateur portable, attention aux conséquences pour le salarié : il s’agit d’un avantage en nature, donc un complément de salaire qui sera chargé. Enfin, dans le cas où l’employé casse son matériel personnel pendant son activité professionnelle, sur son lieu de travail ou chez un client, les règles à appliquer sont indiquées dans la charte de l’organisation. il peut y avoir une présomption de responsabilité de celle-ci. Mais si la charte n’indique pas clairement que le BYOD est autorisé, le collaborateur n’aura aucun recours.

Dans l'actualité