BYOD, les bonnes mesures à prendre
BYOD oblige, la prise en compte des smartphones personnels dans le SI est devenu indispensable. Pour aider les responsables informatiques à réussir ce challenge, IBM décline une approche globale en plusieurs recommandations
Selon un sondage effectué par Gartner auprès de directeurs informatiques, 80% des employés utiliseront leurs terminaux personnels pour se connecter au système d’information de leur organisation en 2016. Ce qui est déjà le cas pour plus d’un tiers d’entre eux, et ce, sans autorisation préalable. Plus de doute, le BYOD* est une tendance de fond qui touche l’ensemble des organisations. Un véritable challenge pour les dsi. Il s’agit de maintenir le niveau de sécurité requis tout en prenant en compte ces terminaux et sans baisser la productivité. Ces contraintes passent par la mise en place de mesures spécifiques. Pour les aider, IBM-Maas360 a défini un ensemble de bonnes pratiques.
Démarrer par une approche globale
Constat préalable, la prise en compte du BYOD dépasse de beaucoup les seuls aspects technologiques, comme le choix d’un outil de MDM -Mobile Device Management-. Il s’agit d’abord de définir une politique globale prenant en compte les impacts en termes financier, juridique et sur les ressources humaines. Par exemple, il faut définir si les utilisateurs devront choisir un modèle dans une liste prédéfinie ou non. Un choix qui doit se faire en tenant compte des besoins de collaborateurs et qui doit, entre autres, préciser si l’entreprise participe ou non au paiement des terminaux. Selon Forrester, 70% des utilisateurs amènent leurs propres appareils. Quid de la prise en charge des forfaits « données ». Plus globalement, une comparaison entre le coût du BYOD, une solution plus classique et toutes les possibilités mixtes permettra de mesurer le meilleur retour sur investissement. Sur le plan juridique, des réglementations différentes s’appliquent selon les types de données notamment pour la santé. Ce qui peut impacter sur les modèles de smartphones acceptés par exemple sur leur capacité de cryptage Et, question plus générale, l’utilisation des données d’entreprise devra-t-elle faire l’objet d’un contrat. Dans le registre de la sécurité, la politique devra notamment préciser le périmètre des informations professionnelles téléchargeables.
Systématiser les accès à distance
Une fois ce cadre global posé, un ensemble de bonnes pratiques doit être formalisé pour faciliter la prise en compte de ces appareils et leur gestion ultérieure. En premier lieu, il importe de prévoir l’identification des terminaux par groupe spécialement pour repérer les modèles non prévus et pouvoir facilement les prévenir des règles de sécurité en vigueur. Toujours à ce stade, l’inscription des nouveaux utilisateurs d’un smartphone personnel devra rester simple, par exemple, par simple clic sur un lien. L’objectif est de faciliter l’inscription comme l’authentification des utilisateurs sur l’annuaire de l’entreprise et dans l’outil de MDM. C’est aussi à ce stade que l’utilisation d’un équipement personnel dans le système d’information peut faire l’objet d’un contrat entre l’entreprise et l’utilisateur. Une fois cette étape passée, une série de mesures doivent être mises en place pour limiter le recours aux services techniques par les utilisateurs du BYOD. Il s’agit d’abord de pouvoir configurer ces terminaux, applications et données incluses, à distance. Des services de libre-service pour les mots de passe perdus, de géolocalisation pour les appareils perdus et de nettoyage des données de l’entreprise, toujours à distance, compléteront cette série de mesures. Dans un registre plus quotidien, il importe aussi d’automatiser la gestion par exemple avec des outils pour identifier les appareils débridés, devenant des portes ouvertes sur le SI en termes de sécurité, pour les désinscrire du MDM. Autre illustration d’automatisation, le repérage d’applications interdites par le contrat d’utilisation, un jeu comme Angry Birds, peut faire l’objet d’emails demandant à l’utilisateur de nettoyer son appareil avant son effacement à distance. Toujours dans le but de faciliter le quotidien, le MDM peut générer des alertes destinées à prévenir l’utilisateur sur l’utilisation de son forfait.
Séparer les données personnelles et celles de l’entreprise
Spécificité du BYOD, les données personnelles présentes sur ces appareils devront également être gérées par l’outil de MDM. Pour assurer à l’utilisateur que ses données ou ses applications personnelles restent confidentielles, l’outil de MDM ne collectera pas ces dernières. Il peut également être indispensable de désactiver des fonctions par exemple de géolocalisation en fonction de l’utilisation. Il s’agit également de séparer les données de l’entreprise des personnelles. Un impératif pour automatiser et s’assurer de la destruction complète des informations de l’entreprise quand un employé quitte l’entreprise. Au final, le respect de ces bonnes pratiques garantit le succès de l’intégration du BYOD dans le SI.
*BYOD Bring Your Own Device