Bring your own device
Prenez vos appareils personnels
BYOD, abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels »[1] ou AVEC pour « apportez votre équipement personnel de communication »[2], est une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel.
Cette pratique pose des questions relatives à la sécurité de l'information et à la protection des données, ainsi que sociales et juridiques.
Origines du terme BYOD
L'origine de l'expression est une analogie avec l'expression anglaise BYOB (bring your own bottle) des années 1950.
- 2005 : le terme BYOD a été mentionné en 2005 dans un document rédigé par Ballagas et al., A UBICOMP 2005.
- 2009 : BYOD est définitivement inventé avec le support d’Intel qui a remarqué une tendance croissante chez les employés à apporter leur appareil personnel pour travailler et ainsi se connecter au réseau d’entreprise.
- 2009: Le premier brevet mentionnant le BYOD, destiné à assurer la gestion et la sécurisation de l'approche IT du BYOD est déposé par la société Mobiquant[3]
- 2011 : le terme prend de plus en plus d’importance lorsque les services informatiques Unisys et les éditeurs de logiciels systèmes VMware et Citrix reconnaissent l’émergence de ces dispositifs.
- 2012 : l’Equal Employment Opportunity Commission des États-Unis (organisme d’application de la loi fédérale qui applique les lois contre la discrimination en milieu de travail) a adopté la politique BYOD. Cependant, de nombreux employés ont continué à utiliser leur BlackBerry fournis par le gouvernement pour deux raisons : problème de facturation et manque de dispositifs alternatifs.
- 2014 : un tribunal en Californie a statué que les entreprises doivent dorénavant rembourser les appels de travail sur téléphone personnel d’un salarié dans l’État de Californie[4].
Sécurité
Perte de données
Selon Winn Schwartau, 25 % des salariés propriétaires de mobiles et pratiquant le BYOD perdent au moins une fois leur smartphone. Cela implique que des données professionnelles peuvent être perdues et en accès libre à celui qui trouvera cet appareil.
Problèmes liés au réseau
Les employés d’une entreprise ayant mis en place le BYOD, peuvent se connecter au réseau de celle-ci, cela inclut donc plusieurs connexions entrantes sans pour autant être contrôlées et donc de nombreux risques d’intrusions dans le réseau de la société. À noter aussi que les nombreuses connexions Wi-Fi des salariés avec leurs outils de travail peuvent entraîner une trop grosse demande en bande passante et par conséquent des latences sur les réseaux ou des déconnexions, cela entraînant parfois des pertes de données.
Sécurité des appareils
Ces appareils personnels sont par nature non prévus pour un usage professionnel mais un usage personnel. Il en résulte qu’ils n’ont pas toutes les sécurités nécessaires à l’usage professionnel puisque les systèmes d’exploitation ne sont pas prévus à cet effet. On remarque donc pour la plupart l’absence de pare-feu ou de chiffrement des données, le problème de pertes de données est en partie provoqué par cela. Selon Winn Schwartau : « Nobody controls his devices at 100% » (« personne ne contrôle ses appareils à 100 % »)[5].
Position de l’ANSSI
L’ANSSI publie une note en mai 2013 destinée aux DSI (direction des systèmes d’information) où elle met en évidence le fait qu’il est impossible d’avoir un haut niveau de sécurité avec un ordinateur ou une tablette ordinaire[6].
Alternatives
CYOD
Choose your own device[7] (en français, « sélectionnez votre appareil personnel » ou SAP)[8]. Cette optique propose aux salariés de choisir leurs propres appareils parmi un catalogue de terminaux approuvés par l’entreprise. Ainsi, ceux-ci sont paramétrés, approuvés et intégrés à la société qui s’évite donc tout problème lié à la législation et à la protection des données. Le matériel choisi reste par contre uniquement professionnel et propriété de l’entreprise. Si cette solution est de plus en plus envisagée, elle n’est pas aussi satisfaisante que le BYOD pour les salariés mais bien plus sécurisante pour les sociétés.
COPE
Corporate owned, personally enabled (en français, « voici votre appareil personnel » ou VAP)[9]. Le VAP prend le contrepied du PAP (en anglais BYOD) et garde le principe du matériel professionnel acheté par l’entreprise. Cela conserve les mêmes avantages vus pour le SAP (en anglais CYOD) mais avec un terminal qui peut aussi être utilisé personnellement par le salarié.
Virtualisation
Le principe : on désolidarise l’environnement de travail du poste de travail. Les données ne sont plus stockées au sein de l’entreprise mais sur un serveur accessible de partout aux salariés et de n’importe quelle sorte de terminal, le cloud. Cela permet une réduction des coûts mais aussi une sécurité importante, la DSI pouvant isoler le terminal d’accès du serveur.
Notes et références
- « Fiche terminologique - prenez vos appareils personnels », Office québécois de la langue française, Grand dictionnaire terminologique.
- [PDF] « Vocabulaire de l’informatique et des télécommunications - apportez votre équipement personnel de communication », Journal officiel du 24 mars 2013.
- (en) « 1. (WO2009101155) SYSTEM AND METHOD FOR SECURING THE OPERATION OF A MOBILE TERMINAL », sur patentscope.wipo.int (consulté le 18 novembre 2016).
- « Vous considérez le BYOD ? Pas si vite ! Voyons ce qu’en disent les tribunaux... », Caroline Lebrun, Cimpl.com, 25 septembre 2014 (consulté le 26 août 2016)
- « Hack in Paris pointe les dangers du Byod », sur 01net.com
- « L’ANSSI déconseille l’usage du BYOD », sur preventica.com
- « Le CYOD : le juste milieu entre BYOD et fourniture de l’appareil ? », sur zdnet.fr
- « Fiche terminologique - sélectionnez votre appareil personnel », Office québécois de la langue française, Grand dictionnaire terminologique (consulté le 26 août 2016).
- « Fiche terminologique - voici votre appareil personnel », Office québécois de la langue française, Grand dictionnaire terminologique (consulté le 26 août 2016)