byod : apportez vos outils
Transcription
byod : apportez vos outils
BYOD : APPORTEZ VOS OUTILS ! Camille Larbanet Master 2 Droit-Sciences politiques spécialité Management du risque Université Paris Ouest Nanterre-La Défense mai 2013 BRING YOUR OWN DEVICE QUAND UNE ENTREPRISE PERMET À SES EMPLOYÉS D'UTILISER LEURS OUTILS PERSONNELS POUR ACCÉDER À L'INFORMATION DE L'ENTREPRISE DANS LE CADRE DU TRAVAIL DES EMPLOYÉS (BYOD), QUELS RISQUES FAITELLE PESER SUR SON INFORMATION ? Selon une étude du cabinet Markess International de 2011, 11 % de la population active française utilise un smartphone dans le cadre de son métier. Selon eux, ce chiffre est appelé à doubler cette année. Une personne sur 4 serait donc concernée. Afin de leur éviter de jongler entre deux smartphones, les salariés préfèrent généralement utiliser leur téléphone dans le cadre du travail, un appareil unique contenant leur agenda, contacts et mails. Ce phénomène, c’est le BYOD (Bring Your Own Device), en français « Apportez votre propre appareil ». Ce qui signifie que le salarié, dans le cadre professionnel va utiliser son matériel informatique personnel (smartphones, ordinateur portables, tablettes). Cependant, même si les smartphones et tablettes privés permettent de réduire les dépenses d’équipement pour les entreprises ces derniers posent problème quant à leur dispositif de sécurité. En effet, comme ils ne sont pratiquement jamais équipés de système de protection, ils peuvent être facilement piratés et permettent dès lors d’accéder aux données professionnelles. Les smartphones personnels utilisés dans le cadre professionnel peuvent contenir des données hautement stratégiques, sans toutefois que le salarié en ait conscience. Ils stockent des mails, agendas, contacts, documents, photos, coordonnées bancaires qui sont insuffisamment protégés. Ces appareils peuvent être volés ou bien oubliés. Frédéric Dubois, country manager France de Netgear, fabriquant de produits réseaux, explique que lorsque vous perdez votre téléphone, l’entreprise ne le sait pas. Et aurez-vous le réflexe de la prévenir dans les plus brefs délais ? L’employeur n’a plus le contrôle, il n’a pas la main sur ces appareils et ne peut donc pas réagir en cas de perte des données. Le code PIN et le code de verrouillage peuvent être facilement trouvés. En 2011, l’institut Fraunhofer démontre qu’un iPhone peut être débloqué en moins de six minutes, avec un équipement basique. De plus, ces données professionnelles contenues dans les smartphones peuvent être piratées à distance grâce notamment à des applications téléchargées, des serveurs mails ou des SMS envoyés ou reçus. Thierry Karsenti souligne le fait qu’ avant, les choses étaient claires, les données restaient dans le cadre de l’entreprise et c’est elle qui gérait les pare-feu, les antivirus… Avec le BYOD, tout se mélange, il y a une véritable confusion des genres. Désormais, les équipements ne sont plus maîtrisés par l’employeur. Le piratage de données pour l’entreprise peut engendrer des problèmes d’image, de réputation, et même faire perdre un avantage concurrentiel ou une avance technologique. Un livre blanc 1/4 Certaines personnes ne peuvent professionnel. ou ne souhaitent pas utiliser leur smartphone personnel à titre Le Centre d’analyse stratégique, qui dépend des services du Premier ministre, vient tirer la sonnette d’alarme. Les nouveaux usages d’Internet au sein de l’entreprise augmenteraient la charge de travail qui elle-même favoriserait la fatigue, le stress des employés. Ces derniers peuvent recevoir des mails envoyés à toute heure du jour et de la nuit en fonction des différents fuseaux horaires et se sentir obligés d’y répondre le plus rapidement possible. Thierry Karsenti, directeur technique Europe de Checkpoint Software Technologies affirme que c’est une tendance notable et en nette expansion. Avant, l’informatique professionnelle était en avance sur l’informatique personnelle, désormais c’est presque le contraire. Les gens disposent chez eux d’outils performants, qu’ils ne veulent pas abandonner au travail. En 2011, une étude faite aux Etats-Unis et dans plusieurs pays européens dont la France par Forrester Research indique que 45 % des smartphones utilisés dans le cadre professionnel appartiennent aux salariés, et 70 % pour les iPad. Gérôme Billois, directeur du département sécurité et gestion des risques de Solucom, cabinet de conseil en management des systèmes d’information ajoute que certains des moins de 35 ans, ceux qu’on appelle la « génération Y », n’ont pas de difficultés à ce que vie privée et vie professionnelle n’aient pas de frontières étanches. Le BYOD correspond bien aux nouvelles formes de mobilité et d’organisation du temps qu’ils affectionnent. Selon une infographie publiée par Orange Business Services, 60% des entreprises autorisent le BYOD. Plus de la moitié des vols d'ordinateurs portables entraine une violation des données. Cette étude estime entre 3010 et 179270 dollars le coût potentiel d'un accès non autorisé à des données obtenues sur des terminaux perdus ou volés. Le BYOD a un double avantage pour l’entreprise à la fois en terme de coûts puisqu’elle n’a pas à dépenser pour ces appareils mais également parce que ces salariés gagnent en connectivité. L’entreprise bénéficierait d’employés connectés en permanence. Ils sont ainsi plus facilement joignables notamment pendant les week-ends ou durant leurs vacances. Une enquête Ipass, menée auprès de 1100 travailleurs mobiles du monde entier démontre que ceux qui utilisent des terminaux mobiles pour leur travail et leurs usages personnels travaillent 240 heures de plus que les autres. C’est pourquoi certaines entreprises ferment les yeux sur le BYOD voire l’encouragent dans quelques cas. Se pose également la question du respect de la vie privée et des données personnelles du salarié. Notamment avec les systèmes de géolocalisation qui permettent de suivre le salarié à la trace. L’avocate Murielle Cahen, avocat précise que la protection de la vie privée est contrôlée par la CNIL, qui intervient dès qu’un employeur souhaite organiser une collecte de données informatiques contrôlant l’activité de ses salariés (vidéosurveillance, cyber-surveillance, applications biométriques…). Elle veille aux principes de finalité, de proportionnalité, de pertinence, de sécurité et de confidentialité des données, et à la durée limitée de conservation de ces informations. Tout cela peut s’appliquer de la même manière aux smartphones. Selon une enquête d’Opinion Way d’octobre 2010, 66 % des cadres estimaient qu’ils ne bénéficiaient pas d’un « droit à la déconnexion ». QUELLES CONTRE-MESURES PEUT-ELLE METTRE EN PLACE POUR DIMINUER CE RISQUE? Les silos sécurisés et l’incitation des salariés à la prudence sont des moyens de contrôle. Actuellement, nous sommes dans l’attente d’une nouvelle législation réglementant le droit d’ingérence de l’entreprise dans ces outils. Le smartphone est utilisé quotidiennement par presque tous les salariés dont leur fonction implique une mobilité. Tous les membres de l’entreprise doivent prendre conscience des menaces que le BYOD fait peser sur eux. De nombreuses entreprises vont choisir de sensibiliser leurs salariés. On leur rappelle qu’il faut éviter les mots de passe trop simples, ne pas prêter son smartphone, ne pas le laisser sans surveillance, éviter de télécharger des applications peu sûres, signaler immédiatement son vol ou sa perte. Murielle Cahen, avocate spécialiste du droit de l’informatique préconise d’imposer au salarié, via une charte informatique de l’entreprise, l’installation d’antivirus sur son matériel, et l’établissement d’une distinction claire entre ce qui relève de sa vie privée et de sa vie professionnelle. En fait, le BYOD et les bonnes pratiques concernant son utilisation reposent sur un accord tacite entre employeurs et salariés. Des chartes de bonnes pratiques peuvent être mises en place mais des questions demeurent : que risque un salarié s’il perd des données de l’entreprise stockées sur son smartphone ? Comment mettre en place une enquête suite à un hacking sur un terminal non contrôlé par l’employeur ? La jurisprudence dans ce domaine est quasi inexistante et ce sont les chartes, règlements intérieurs et contrats de travail qui vont ainsi être amenés à changer. Les smartphones posent problème en termes de sécurité. Selon Pierre Delort, président de l’ANDSI (Association nationale des directeurs des systèmes d’information) et DSI (Direction des systèmes d’information) de l’Inserm pour beaucoup de DSI, les risques liés aux smartphones sont pour le moment moins identifiés que ceux posés par les ordinateurs, alors que ces terminaux peuvent poser des problèmes de taille. Les grands groupes disposent de plus de moyens que les PME face à ces problèmes. Aujourd’hui il y a deux grandes approches. Pour Gérôme Billois, manager sécurité chez Solucom, la moitié des entreprises n’engage aucune réflexion sur le sujet et l’autre moitié commence à y réfléchir. Un livre blanc 2/4 Cependant, avec l’usage croissant des smartphones, et l’apparition du BYOD, les entreprises ne vont pas pouvoir éternellement fermer les yeux sur ce phénomène. Elles ont déjà probablement dû faire face à ce risque à la suite d’un vol, d’une attaque à distance, d’un virus, d’un malware ou d’un cheval de Troie. Certaines entreprises comme Ercom, Thales, Mc Afee, Look Out proposent des solutions. Par ailleurs il semble difficile d’interdire totalement à un salarié et d’autant plus à un dirigeant de transférer un mail ou contact sur son téléphone personnel. Toujours selon Gérôme Billois mieux vaut pour une entreprise assumer ce mélange des données personnelles et professionnelles, plutôt que de le nier. De toute façon, un BYOD qu’on pourrait qualifier de « sauvage » se mettra forcément en place. Il est possible de créer des applis, qui forment une sorte de container, de « silo »sécurisé à l’intérieur du smartphone. C’est une forme de bulle dédiée aux données professionnelles que l’on peut rendre plus ou moins étanche. L’utilisateur y accède avec un mot de passe. Grâce à ce type de solutions, le niveau de risques devient acceptable. Mais ces dispositifs ne limitent qu’en partie les tentatives de hacking car les cybercriminels découvrent constamment des manières de contourner ces systèmes de sécurité. Il semblerait donc que les systèmes d’exploitation, dont Android, seraient impossibles à sécuriser totalement. Fabien Malbranque, Responsable de la sécurité des systèmes d'information du Ministère du Travail, affirme « ne pas faire de BYOD » lors d'un atelier organisé par Mobiquant puisque les smartphones et tablettes utilisés au ministère sont la propriété de l’Etat, achetés avec les deniers du contribuable, dans le cadre d’un appel d’offres ou par un conseiller de cabinet avec la carte bleue du ministère. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), pendant la 12e édition des Assises de la Sécurité, d'octobre dernier à Monaco, s'est dit contre le BYOD, puisque selon lui, il n’existe pas sur le marché de solution satisfaisante pour accompagner cette tendance en toute sécurité. Monsieur Pailloux insiste sur le fait que l’exemple doit venir « du patron », alors que globalement pour certains responsables de la sécurité du système d’information « l’exemple de toutes les mauvaises postures vient d’en haut». Selon Jean-Michel Orozco, Directeur Général Ventes et Programmes Cyber Sécurité de Cassidian, il n’y a pas de solution totalement satisfaisante qui traite l’ensemble de la panoplie des problèmes engendré par le BYOD mais il souligne le fait que des solutions permettent de réduire le risque au minimum. GLOSSAIRE A.N.D.S.I Association nationale des directeurs des systèmes d’information A.N.S.S.I Agence nationale de la sécurité des systèmes d'information B.Y.O.D Bring your own device D.S.I Direction des systèmes d’information BIBLIOGRAPHIE <Réf. 1> Le « Bring your own device », Claire Ageneau, 12 avril 2012, le Nouvel Economiste.fr <Réf. 2> « Patrick Pailloux (Anssi) déclenche une polémique autour du BYOD », Valéry Marchive, 5 octobre 2012, www.lemagit.fr <Réf. 3> « DRH & collaborateurs face aux réseaux sociaux, applications mobiles et collaboratives... » Markess International, 22 mai 2012 <Réf. 4> « BYOD : menace ou opportunité pour la DSI » livre blanc publié par Osiatis, février 2013. <Réf. 5> « Infographie : le BYOD et l’entreprise selon Orange » (Orange Business Services), Christophe Lagane, 10 avril 2013. A PROPOS DE L’AUTEUR Titulaire d’une Licence de Droit et d’un Master 1 de Droit pénal et procédure pénale, Camille Larbanet poursuit son Master 2 en Droit et Sciences politiques de Management du risque à Paris Ouest Nanterre-La Défense. Elle a bénéficié de deux échanges universitaires d'une année, l'un à Valence en Espagne, l'autre à Buenos Aires en Argentine. Elle est trilingue: français, anglais et espagnol. Elle travaille actuellement pour le groupe Total à la Défense, dans les Hauts de Seine, au sein de la Direction des Systèmes d'Informations de la branche Marketing et Services. Un livre blanc 3/4 Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA. La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à la condition d'en citer la source comme suit : © Forum ATENA 2013 – BYOD : Apportez vos outils ! Licence Creative Commons - Paternité Pas d’utilisation commerciale Pas de modifications L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites sans la permission écrite de Forum ATENA. Un livre blanc 4/4