Que signifie BYOD ?
L'acronyme BYOD (Bring Your Own Device) fait référence à une stratégie d'entreprise permettant aux collaborateurs d'utiliser leurs terminaux personnels dans le cadre professionnel. L'utilisation des appareils personnels au travail était déjà courante avant la pandémie de COVID ; elle s'est désormais généralisée, même dans les entreprises qui se méfiaient des risques de sécurité potentiels liés à cette pratique.
L'utilisation des appareils personnels en entreprise peut prendre différentes formes. Dans le cadre du BYOD, un collaborateur utilise son propre terminal à des fins professionnelles et personnelles. Dans le cadre du CYOD (Choose Your Own Device), l'entreprise propose à ses collaborateurs de choisir un terminal parmi une liste établie. Ces terminaux, qu'ils appartiennent à l'entreprise ou au collaborateur, doivent être personnalisés exclusivement par l'équipe informatique. Dans le cadre du COPE (Corporate-Owned, Personally-Enabled), un terminal appartenant à l'entreprise est remis au collaborateur qui est autorisé à l'utiliser également à des fins personnelles. Le COBO (Company-Issued, Business-Owned) est la pratique la plus restrictive : le terminal, qui appartient à l'entreprise, ne peut être utilisé par le collaborateur que dans le cadre professionnel.
Quels sont les avantages du BYOD ?
L'adoption de cette pratique permet d'améliorer l'expérience utilisateur et ainsi la productivité. Les collaborateurs utilisent les terminaux de leur choix, adaptés à leur mode d'utilisation des technologies et dont ils maîtrisent le fonctionnement. Ils n'ont besoin d'aucune formation et sont immédiatement opérationnels. Ils connaissent les fonctionnalités de leurs terminaux et savent les utiliser pour accomplir leurs tâches rapidement. Plus de frustrations liées à l'utilisation d'un terminal que l'on ne maîtrise ou que l'on n'apprécie pas : le moral des collaborateurs s'en trouve amélioré, de même que leurs performances.
La plupart des utilisateurs s'empressent d'installer les dernières versions sur leurs terminaux personnels afin de bénéficier de nouvelles fonctionnalités. Ils y ont déjà été encouragés par une avalanche de publicités télévisées présentant leurs atouts. En général, les utilisateurs intègrent ces avantages à leurs flux de travail sans aucun problème. Les innovations, parfois sources de frustrations dans le cadre professionnel, sont plus facilement adoptées sur les terminaux personnels, sans doute du fait que les utilisateurs sont déjà familiarisés avec les mises à jour sur leurs téléphones portables et tablettes, et que les concepteurs des expériences mobiles savent particulièrement bien rendre les nouvelles fonctionnalités intuitives. Ainsi, des technologies innovantes sont adoptées facilement par les collaborateurs sans intervention de l'employeur.
Le BYOD est souvent considéré comme une pratique très rentable. Les économies qu'elle permet de réaliser sont cependant très variables. Selon le magazine Wired, la plupart des entreprises font état d'économies d'environ 300 $ par utilisateur BYOD par an, ce qui est insignifiant pour une petite entreprise, mais significatif pour une entreprise de taille moyenne ou comptant des centaines voire des milliers de collaborateurs.
Quels sont les risques du BYOD ?
Tous les professionnels de la sécurité le savent, les utilisateurs constituent un risque majeur pour une entreprise. Autoriser les collaborateurs à se connecter au réseau de l'entreprise avec leurs terminaux personnels non managés et à mélanger ainsi données personnelles et données d'entreprise n'est pas sans risque. Il est par ailleurs impossible de contrôler le terminal d'un collaborateur en cas de perte ou de vol, ni de savoir si un utilisateur connecté est légitime ou s'il s'agit de l'un de ses amis ou proches.
La sécurité des applications devient problématique car l'équipe informatique ignore quelles sont les applications installées sur le terminal personnel utilisé en entreprise. Presque chaque application utilise un code source ouvert qui ne présente a priori pas de danger intrinsèque. En revanche, la situation devient dangereuse si le développeur de l'application ne prend pas en compte les nouvelles vulnérabilités identifiées dans le code source ouvert et n'applique pas les mesures nécessaires à la sécurisation de l'application. C'est pourtant généralement le cas. Les développeurs incorporent généralement le code source ouvert une fois et se consacrent ensuite exclusivement à l'ajout de nouvelles fonctionnalités.
Les applications installées sur les terminaux personnels utilisés en entreprise posent un autre problème, à savoir les autorisations mobiles excessives. De nombreuses applications ne cessent de demander des autorisations inutiles. Ceci peut être dû au fait que les développeurs anticipent les fonctionnalités à venir, qu'ils ne comprennent pas ce qu'ils demandent ou qu'ils ont des intentions malveillantes. Quoi qu'il en soit, le risque est identique : une compromission potentielle des données d'entreprise. Les utilisateurs doivent comprendre le niveau d'accès accordé aux applications qu'ils téléchargent. Ils doivent également s'assurer que toute personne empruntant leurs terminaux personnels le comprend. Si l'utilisateur prête son terminal à ses enfants, il est impossible de s'assurer que ces derniers refuseront les demandes d'autorisation inappropriées.
Les réseaux sur lesquels le terminal BYOD est utilisé peuvent également être source de risques. Les réseaux Wi-Fi domestiques ne disposent pas des mêmes contrôles de sécurité que les réseaux d'entreprise. Il en va de même pour les réseaux publics des cafés, magasins et autres lieux à partir desquels les télétravailleurs sont susceptibles d'accéder au réseau d'entreprise. Les entreprises doivent partir du principe que les collaborateurs accèderont à des données sensibles via des réseaux domestiques ou publics non sécurisés et prendre les mesures nécessaires pour lutter contre les intrusions depuis un nombre croissant de points d'entrée.
Lorsque la perte ou le vol d'un terminal d'entreprise est signalé, l'équipe informatique peut le rendre inutilisable en supprimant le logiciel (« bricking »). Ce n'est pas le cas s'il s'agit d'un terminal personnel. Même si l'équipe informatique peut bloquer l'accès au VPN ou aux applications d'entreprise, rien ne garantit qu'un cybercriminel ne sera pas en mesure d'exploiter d'autres vulnérabilités du terminal — une application non sécurisée, par exemple — pour collecter des informations qui lui permettront de compromettre le réseau d'entreprise.
Il n'est pas non plus possible de vérifier que chaque utilisateur installera toutes les mises à jour du système d'exploitation et ne stockera pas de fichiers d'entreprise sur son terminal. En cas de licenciement ou de démission d'un collaborateur, il est impossible de supprimer les données d'entreprise que ce dernier pourrait avoir téléchargées sur son terminal.
Si un terminal BYOD venait à être « débridé », l'utilisateur pourrait l'utiliser sans aucune restriction. Le débridage peut être assimilé à l'élévation des privilèges, qui permet à l'utilisateur de modifier le système d'exploitation et de supprimer les restrictions intégrées. Un utilisateur peut, par exemple, utiliser un téléphone débridé comme réseau Wi-Fi et permettre ainsi à d'autres terminaux d'y accéder. Un terminal débridé ne dispose plus des protections incorporées par le fabricant pour prévenir l'utilisation d'applications non approuvées et l'injection de logiciels malveillants. Si une entreprise peut interdire l'utilisation des terminaux débridés dans son programme BYOD, il est préférable d'éviter de recourir à cette mesure, et ce pour plusieurs raisons. Premièrement, les « débrideurs » sont généralement des utilisateurs avancés. Or, dans un marché du travail très concurrentiel, ce n'est sans doute pas une bonne idée d'exclure des personnes dont la passion de la technologie les amène à débrider leurs téléphones. Les utilisateurs ordinaires qui téléchargent des applications douteuses, utilisent des mots de passe faibles, réutilisent les mêmes mots de passe et prêtent leurs terminaux connectés à des proches ou à des amis font courir plus de risques à l'entreprise que ces quelques débrideurs.
Il convient également de prendre en compte la conformité. Les terminaux BYOD qui accèdent à des données réglementées relèvent de la responsabilité de l'entreprise, même s'il est impossible de s'assurer qu'un utilisateur BYOD ne partagera pas de données sensibles avec des personnes non autorisées.
En dépit des nombreux avantages liés à l'utilisation des appareils personnels en entreprise, il faut veiller à ce que cette pratique ne constitue pas un obstacle à l'innovation. Si une entreprise renonce à une technologie innovante car elle redoute de perdre des données ou d'altérer ses capacités d'interopérabilité en raison de la présence de terminaux BYOD dans son environnement, elle limite son évolution.
Quelles sont les règles à appliquer aux appareils personnels utilisés en entreprise ?
Il n'existe pas de règles universelles en matière d'utilisation des appareils personnels au travail. Chaque entreprise doit concevoir son propre système. Commencez par interroger différents services pour savoir comment les différents groupes d'utilisateurs travaillent sur leurs terminaux mobiles. Vous pourrez ensuite déterminer les domaines à régir par ces règles. Prévoyez une application progressive des règles et procédez à une amélioration continue en fonction du besoin de flexibilité, de sécurité et de soutien aux collaborateurs.
Les règles de sécurité à appliquer aux appareils personnels utilisés au travail doivent être indépendantes des endpoints afin de pouvoir s'adapter aux plateformes et terminaux nouveaux et émergents. Dans le cas contraire, l'équipe de sécurité devra modifier en permanence les règles, ce qui posera des problèmes d'application. En général, les règles à appliquer aux appareils personnels utilisés au travail doivent être différentes pour les collaborateurs à plein temps, les sous-traitants et les intérimaires.
Tous les terminaux ne peuvent être intégrés à un programme BYOD, notamment les terminaux obsolètes ou ceux utilisant des systèmes d'exploitation dépassés. Il convient de préciser ce qui est autorisé, ainsi que les opérations de maintenance à prendre en charge par l'entreprise et par l'utilisateur.
Encouragez vivement l'authentification multifacteur. Les smartphones modernes exigent cette fonctionnalité de sécurité par défaut. Néanmoins, en l'intégrant aux règles de sécurité, les utilisateurs qui ont désactivé leurs écrans de verrouillage ou pris d'autres mesures pour éviter l'authentification multifacteur sauront que cette fonctionnalité est indispensable à l'utilisation de leur terminal personnel sur leur lieu de travail.
Les règles doivent indiquer clairement à qui appartiennent les données stockées sur le terminal, ainsi que le numéro de téléphone auquel les données sont associées. Stipulez le devenir des données si l'utilisateur du terminal mobile quitte l'entreprise. Enfin, veillez à élaborer une politique de confidentialité approfondie qui protège non seulement l'entreprise, mais également les utilisateurs.