byod : apportez vos outils

BYOD : APPORTEZ VOS OUTILS !
Camille Larbanet
Master 2 Droit-Sciences politiques spécialité Management du risque
Université Paris Ouest Nanterre-La Défense
mai 2013
BRING YOUR OWN DEVICE
QUAND UNE ENTREPRISE PERMET À SES EMPLOYÉS D'UTILISER LEURS
OUTILS PERSONNELS POUR ACCÉDER À L'INFORMATION DE L'ENTREPRISE
DANS LE CADRE DU TRAVAIL DES EMPLOYÉS (BYOD), QUELS RISQUES FAITELLE PESER SUR SON INFORMATION ?
Selon une étude du cabinet Markess International de 2011, 11 % de la population active française
utilise un smartphone dans le cadre de son métier. Selon eux, ce chiffre est appelé à doubler cette année.
Une personne sur 4 serait donc concernée.
Afin de leur éviter de jongler entre deux smartphones, les salariés préfèrent généralement utiliser leur
téléphone dans le cadre du travail, un appareil unique contenant leur agenda, contacts et mails. Ce
phénomène, c’est le BYOD (Bring Your Own Device), en français « Apportez votre propre appareil ». Ce
qui signifie que le salarié, dans le cadre professionnel va utiliser son matériel informatique personnel
(smartphones, ordinateur portables, tablettes).
Cependant, même si les smartphones et tablettes privés permettent de réduire les dépenses
d’équipement pour les entreprises ces derniers posent problème quant à leur dispositif de sécurité. En
effet, comme ils ne sont pratiquement jamais équipés de système de protection, ils peuvent être
facilement piratés et permettent dès lors d’accéder aux données professionnelles. Les smartphones
personnels utilisés dans le cadre professionnel peuvent contenir des données hautement stratégiques,
sans toutefois que le salarié en ait conscience. Ils stockent des mails, agendas, contacts, documents,
photos, coordonnées bancaires qui sont insuffisamment protégés.
Ces appareils peuvent être volés ou bien oubliés. Frédéric Dubois, country manager France de Netgear,
fabriquant de produits réseaux, explique que lorsque vous perdez votre téléphone, l’entreprise ne le sait
pas. Et aurez-vous le réflexe de la prévenir dans les plus brefs délais ? L’employeur n’a plus le contrôle, il
n’a pas la main sur ces appareils et ne peut donc pas réagir en cas de perte des données.
Le code PIN et le code de verrouillage peuvent être facilement trouvés. En 2011, l’institut Fraunhofer
démontre qu’un iPhone peut être débloqué en moins de six minutes, avec un équipement basique.
De plus, ces données professionnelles contenues dans les smartphones peuvent être piratées à
distance grâce notamment à des applications téléchargées, des serveurs mails ou des SMS envoyés ou
reçus.
Thierry Karsenti souligne le fait qu’ avant, les choses étaient claires, les données restaient dans le
cadre de l’entreprise et c’est elle qui gérait les pare-feu, les antivirus… Avec le BYOD, tout se mélange, il y
a une véritable confusion des genres. Désormais, les équipements ne sont plus maîtrisés par l’employeur.
Le piratage de données pour l’entreprise peut engendrer des problèmes d’image, de réputation, et
même faire perdre un avantage concurrentiel ou une avance technologique.
Un livre blanc
1/4
Certaines personnes ne peuvent
professionnel.
ou ne souhaitent pas utiliser leur smartphone personnel à titre
Le Centre d’analyse stratégique, qui dépend des services du Premier ministre, vient tirer la sonnette
d’alarme. Les nouveaux usages d’Internet au sein de l’entreprise augmenteraient la charge de travail qui
elle-même favoriserait la fatigue, le stress des employés. Ces derniers peuvent recevoir des mails envoyés
à toute heure du jour et de la nuit en fonction des différents fuseaux horaires et se sentir obligés d’y
répondre le plus rapidement possible.
Thierry Karsenti, directeur technique Europe de Checkpoint Software Technologies affirme que c’est
une tendance notable et en nette expansion. Avant, l’informatique professionnelle était en avance sur
l’informatique personnelle, désormais c’est presque le contraire. Les gens disposent chez eux d’outils
performants, qu’ils ne veulent pas abandonner au travail. En 2011, une étude faite aux Etats-Unis et dans
plusieurs pays européens dont la France par Forrester Research indique que 45 % des smartphones
utilisés dans le cadre professionnel appartiennent aux salariés, et 70 % pour les iPad. Gérôme Billois,
directeur du département sécurité et gestion des risques de Solucom, cabinet de conseil en management
des systèmes d’information ajoute que certains des moins de 35 ans, ceux qu’on appelle la « génération
Y », n’ont pas de difficultés à ce que vie privée et vie professionnelle n’aient pas de frontières étanches. Le
BYOD correspond bien aux nouvelles formes de mobilité et d’organisation du temps qu’ils affectionnent.
Selon une infographie publiée par Orange Business Services, 60% des entreprises autorisent le BYOD. Plus
de la moitié des vols d'ordinateurs portables entraine une violation des données. Cette étude estime entre
3010 et 179270 dollars le coût potentiel d'un accès non autorisé à des données obtenues sur des
terminaux perdus ou volés.
Le BYOD a un double avantage pour l’entreprise à la fois en terme de coûts puisqu’elle n’a pas à
dépenser pour ces appareils mais également parce que ces salariés gagnent en connectivité. L’entreprise
bénéficierait d’employés connectés en permanence.
Ils sont ainsi plus facilement joignables notamment pendant les week-ends ou durant leurs vacances.
Une enquête Ipass, menée auprès de 1100 travailleurs mobiles du monde entier démontre que ceux qui
utilisent des terminaux mobiles pour leur travail et leurs usages personnels travaillent 240 heures de plus
que les autres. C’est pourquoi certaines entreprises ferment les yeux sur le BYOD voire l’encouragent dans
quelques cas. Se pose également la question du respect de la vie privée et des données personnelles du
salarié. Notamment avec les systèmes de géolocalisation qui permettent de suivre le salarié à la trace.
L’avocate Murielle Cahen, avocat précise que la protection de la vie privée est contrôlée par la CNIL, qui
intervient dès qu’un employeur souhaite organiser une collecte de données informatiques contrôlant
l’activité de ses salariés (vidéosurveillance, cyber-surveillance, applications biométriques…). Elle veille aux
principes de finalité, de proportionnalité, de pertinence, de sécurité et de confidentialité des données, et à
la durée limitée de conservation de ces informations. Tout cela peut s’appliquer de la même manière aux
smartphones.
Selon une enquête d’Opinion Way d’octobre 2010, 66 % des cadres estimaient qu’ils ne bénéficiaient
pas d’un « droit à la déconnexion ».
QUELLES CONTRE-MESURES PEUT-ELLE METTRE EN PLACE POUR DIMINUER
CE RISQUE?
Les silos sécurisés et l’incitation des salariés à la prudence sont des moyens de contrôle. Actuellement,
nous sommes dans l’attente d’une nouvelle législation réglementant le droit d’ingérence de l’entreprise
dans ces outils. Le smartphone est utilisé quotidiennement par presque tous les salariés dont leur fonction
implique une mobilité. Tous les membres de l’entreprise doivent prendre conscience des menaces que le
BYOD fait peser sur eux. De nombreuses entreprises vont choisir de sensibiliser leurs salariés. On leur
rappelle qu’il faut éviter les mots de passe trop simples, ne pas prêter son smartphone, ne pas le laisser
sans surveillance, éviter de télécharger des applications peu sûres, signaler immédiatement son vol ou sa
perte. Murielle Cahen, avocate spécialiste du droit de l’informatique préconise d’imposer au salarié, via
une charte informatique de l’entreprise, l’installation d’antivirus sur son matériel, et l’établissement d’une
distinction claire entre ce qui relève de sa vie privée et de sa vie professionnelle.
En fait, le BYOD et les bonnes pratiques concernant son utilisation reposent sur un accord tacite entre
employeurs et salariés. Des chartes de bonnes pratiques peuvent être mises en place mais des questions
demeurent : que risque un salarié s’il perd des données de l’entreprise stockées sur son smartphone ?
Comment mettre en place une enquête suite à un hacking sur un terminal non contrôlé par l’employeur ?
La jurisprudence dans ce domaine est quasi inexistante et ce sont les chartes, règlements intérieurs et
contrats de travail qui vont ainsi être amenés à changer.
Les smartphones posent problème en termes de sécurité. Selon Pierre Delort, président de l’ANDSI
(Association nationale des directeurs des systèmes d’information) et DSI (Direction des systèmes
d’information) de l’Inserm pour beaucoup de DSI, les risques liés aux smartphones sont pour le moment
moins identifiés que ceux posés par les ordinateurs, alors que ces terminaux peuvent poser des problèmes
de taille. Les grands groupes disposent de plus de moyens que les PME face à ces problèmes. Aujourd’hui
il y a deux grandes approches. Pour Gérôme Billois, manager sécurité chez Solucom, la moitié des
entreprises n’engage aucune réflexion sur le sujet et l’autre moitié commence à y réfléchir.
Un livre blanc
2/4
Cependant, avec l’usage croissant des smartphones, et l’apparition du BYOD, les entreprises ne vont
pas pouvoir éternellement fermer les yeux sur ce phénomène. Elles ont déjà probablement dû faire face à
ce risque à la suite d’un vol, d’une attaque à distance, d’un virus, d’un malware ou d’un cheval de Troie.
Certaines entreprises comme Ercom, Thales, Mc Afee, Look Out proposent des solutions.
Par ailleurs il semble difficile d’interdire totalement à un salarié et d’autant plus à un dirigeant de
transférer un mail ou contact sur son téléphone personnel. Toujours selon Gérôme Billois mieux vaut pour
une entreprise assumer ce mélange des données personnelles et professionnelles, plutôt que de le nier.
De toute façon, un BYOD qu’on pourrait qualifier de « sauvage » se mettra forcément en place. Il est
possible de créer des applis, qui forment une sorte de container, de « silo »sécurisé à l’intérieur du
smartphone. C’est une forme de bulle dédiée aux données professionnelles que l’on peut rendre plus ou
moins étanche. L’utilisateur y accède avec un mot de passe. Grâce à ce type de solutions, le niveau de
risques devient acceptable. Mais ces dispositifs ne limitent qu’en partie les tentatives de hacking car les
cybercriminels découvrent constamment des manières de contourner ces systèmes de sécurité.
Il semblerait donc que les systèmes d’exploitation, dont Android, seraient impossibles à sécuriser
totalement.
Fabien Malbranque, Responsable de la sécurité des systèmes d'information du Ministère du Travail,
affirme « ne pas faire de BYOD » lors d'un atelier organisé par Mobiquant puisque les smartphones et
tablettes utilisés au ministère sont la propriété de l’Etat, achetés avec les deniers du contribuable, dans le
cadre d’un appel d’offres ou par un conseiller de cabinet avec la carte bleue du ministère.
Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information
(ANSSI), pendant la 12e édition des Assises de la Sécurité, d'octobre dernier à Monaco, s'est dit contre le
BYOD, puisque selon lui, il n’existe pas sur le marché de solution satisfaisante pour accompagner cette
tendance en toute sécurité. Monsieur Pailloux insiste sur le fait que l’exemple doit venir « du patron »,
alors que globalement pour certains responsables de la sécurité du système d’information « l’exemple de
toutes les mauvaises postures vient d’en haut».
Selon Jean-Michel Orozco, Directeur Général Ventes et Programmes Cyber Sécurité de Cassidian, il n’y
a pas de solution totalement satisfaisante qui traite l’ensemble de la panoplie des problèmes engendré par
le BYOD mais il souligne le fait que des solutions permettent de réduire le risque au minimum.
GLOSSAIRE
A.N.D.S.I
Association nationale des directeurs des systèmes d’information
A.N.S.S.I
Agence nationale de la sécurité des systèmes d'information
B.Y.O.D
Bring your own device
D.S.I
Direction des systèmes d’information
BIBLIOGRAPHIE
<Réf. 1>
Le « Bring your own device », Claire Ageneau, 12 avril 2012, le Nouvel Economiste.fr
<Réf. 2>
« Patrick Pailloux (Anssi) déclenche une polémique autour du BYOD », Valéry Marchive, 5
octobre 2012, www.lemagit.fr
<Réf. 3>
« DRH & collaborateurs face aux réseaux sociaux, applications mobiles et collaboratives... »
Markess International, 22 mai 2012
<Réf. 4>
« BYOD : menace ou opportunité pour la DSI » livre blanc publié par Osiatis, février 2013.
<Réf. 5>
« Infographie : le BYOD et l’entreprise selon Orange » (Orange Business Services),
Christophe Lagane, 10 avril 2013.
A PROPOS DE L’AUTEUR
Titulaire d’une Licence de Droit et d’un Master 1 de Droit pénal et procédure pénale, Camille Larbanet
poursuit son Master 2 en Droit et Sciences politiques de Management du risque à Paris Ouest Nanterre-La
Défense. Elle a bénéficié de deux échanges universitaires d'une année, l'un à Valence en Espagne, l'autre
à Buenos Aires en Argentine. Elle est trilingue: français, anglais et espagnol. Elle travaille actuellement
pour le groupe Total à la Défense, dans les Hauts de Seine, au sein de la Direction des Systèmes
d'Informations de la branche Marketing et Services.
Un livre blanc
3/4
Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA.
La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à
la condition d'en citer la source comme suit :
© Forum ATENA 2013 – BYOD : Apportez vos outils !
Licence Creative Commons
-
Paternité
Pas d’utilisation commerciale
Pas de modifications
L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites
sans la permission écrite de Forum ATENA.
Un livre blanc
4/4