Le Bring Your Own Device (BYOD) est-il un danger pour les entreprises ou une opportunité pour augmenter la productivité et le bien-être au travail ? Interview de Christophe Jourdet, de Absolute Software, spécialiste de la sécurisation des appareils mobiles.
Le Bring Your Own Device (BYOD), ou consumérisation de l’informatique, est une tendance de fond qui voit les employés apporter leurs appareils informatiques personnels dans l’entreprise. Ce changement semble presque inéluctable et même souhaitable, mais est une source importante de dangers informatiques.
Christophe Jourdet est le Responsable Régional France & Ibéria d’Absolute Software, éditeur canadien de solutions de sécurité mobile. Il a répondu à nos questions sur l’évolution du BYOD en France.
ChannelBiz : Pouvez-vous présenter Absolute Software ?
Christophe Jourdet : Absolute Software est une société canadienne créée en 1993, éditrice de logiciels. Nous avons au début créé des logiciels de sécurisation des ordinateurs portables, mais nous proposons désormais de protéger tous les appareils mobiles. Nous sommes côtés à la Bourse de Toronto depuis 2000. On est 350 dans le monde, dont 35 en Europe. Notre chiffre d’affaires tourne autour de 85 millions de dollars canadiens, soit 65 millions d’euros.
De puis quatre à cinq an nous sommes présents en Angleterre et en Europe. Nos clients sont très divers : nous protégeons des grosses sociétés comme des pétroliers, des banques, des établissements d’éducation ou des gouvernements. Mais notre cible principale est toute entreprise de plus de deux salariés utilisant des appareils mobiles. Notre produit phare s’appelle Computrace.
Quel est l’état du BYOD en France ?
Aujourd’hui, nous sommes dans la phase de réflexion, en recherche de solutions, encore loin de la maturité. Le phénomène plait ou pas, mais il est là et il faut y répondre !
En France on est très conscients du risque, parce que les salariés apportent avec eux des appareils personnels fonctionnant avec des OS très divers. Ces machines contiennent des données personnelles, mais une fois en entreprise elles récupèrent aussi des données professionnelles. La question qui se pose aujourd’hui est : une fois que ces matériels sont intégrés au réseau de l’entreprise, comment faire pour les sécuriser au maximum ?
Auparavant les personnes qui apportaient leurs appareils personnels à leur travail, en particulier leurs tablettes, étaient des « geeks » avec des postes peu stratégiques. Le directeur informatique les envoyaient gentiment « promener ». Mais ces derniers mois, de plus en plus de demandes proviennent des managers, qui exigent que les tablettes qu’ils viennent d’acheter ou de recevoir en cadeau soient intégrées au réseau informatique de l’entreprise.
Comment définir précisément le profil des salariés adeptes du BYOD ?
Les cadres amènent leurs tablettes parce qu’ils trouvent ça sympa pour les présentations, et qu’ils apparaissent comme de fins connaisseurs des nouvelles technologies. Mais les départements marketing sont aussi des adeptes du BYOD car ils trouvent ça pratique, ou encore les vendeurs qui adorent les smartphones pour un travail en mobilité… ça touche toutes les strates de l’entreprise.
Les compagnies n’imposent aucune obligation d’utiliser ces appareils, ce sont les salariés qui imposent leur matériel. L’entreprise est neutre, ceux qui ne veulent pas le faire ne le font pas.
Pour le cas où c’est l’entreprise qui fournit l’appareil, elle autorise un usage personnel, mais explique bien que le salariés ne sont pas obligés d’utiliser les applications professionnelles en dehors de leur temps de travail.
Quelle est l’évolution que vous anticipez pour le BYOD en France ?
D’abord , il y aura toujours des services au sein des sociétés qui resteront hermétiques, et refuseront d’ouvrir leur réseau informatique aux appareils personnels.
Ensuite, de même que les salariés apportent des matériels de type smartphones et tablettes dans les entreprises, les sociétés elles-mêmes vont proposer à leurs employés de leur fournir ces appareils, ce qui leur permet d’y inclure leurs propres contraintes, app et de les configurer pour une meilleure sécurité.
Au fur et à mesure, les appareils utilisés par les salariés seront plus familiers des services informatiques, et plus facilement autorisés. Mais en échange, les DSI seront capables de bloquer et enlever de ces appareils toutes les données professionnelles en cas de perte du matériel ou de départ de l’employé. Je pense que c’est ce dernier cas de figure qui est le plus probable.
De telles solutions existent-elles ?
Effectivement, par exemple nous avons Absolute Manage, qui permet de gérer un parc hétérogène depuis une seule interface, pour pousser et gérer des applications sur PC ou Mac. Absolute Manage MDM fait la même chose pour les appareils iOS, Android et Windows Phone, et permet de créer des profils personnalisés qui s’activent sous conditions. Par exemple un profil « pro » qui s’enclenche tous les jours à 8h. Le DSI peut aussi laisser l’employé libre de travailler où et quand il le veut, mais supprime à distance les données professionnelles en cas de vol de l’appareil.
On ne pourra pas avoir un système de gestion généralisé pour tous les OS mobiles, mais les entreprises vont probablement autoriser un ou deux grand système d’exploitation.
A noter, les DSI et les services juridiques deviennent de plus en plus responsables des appareils qui appartiennent pourtant à leurs salariés. D’ailleurs la Communauté Européenne essaie de mettre en place des contraintes obligeant les entreprises qui prêtent des appareils à leurs employés à protéger les données personnelles qui y sont stockées, sous peine d’amende.
Comment le BYOD peut-il augmenter la productivité ?
#ADV# En regardant l’organisation du travail, pour l’entreprise ce phénomène est vraiment intéressant. Le salarié arrive avec un matériel qu’il connait, maitrise et avec lequel il prend plaisir à travailler.
Il va l’utiliser au bureau, mais aussi en dehors des heures de travail. Il pourra s’en servir le matin au petit déjeuner ou dans le métro pour répondre à ses mails, et le soir il va se dire « j’ai oublié de faire ça », mais pas de problème, il va pouvoir le faire. Les heures de travail vont dépasser les 9h/18h, et l’entreprise y gagnera. Ce sera aussi intéressant pour le salarié qui aura déjà pu faire une partie de son travail et ne sera plus aussi pressé.
Par rapport aux jeunes recrues, le BYOD permet à l’entreprise d’apparaitre comme plus au fait des nouvelles technologies, et plus ouverte. Mais c’est avant tout du confort, je ne crois pas que ça deviendra un argument pour recruter ou retenir des salariés.
Pour l’entreprise, ces atouts ne sont valables que si les politiques de sécurité sont draconiennes : il faut être capable de protéger les données et d’agir à distance pour les effacer au cas où…
Avez-vous des exemples d’attaques informatiques contre des entreprises, ayant utilisé des appareils personnels d’employés ?
Non je n’ai pas connaissance de tels cas, car les entreprises ne communiquent pas dessus. Mais par exemple en discutant avec des DSI on a découvert que des collègues avaient, depuis leur iPhone, accès au réseau de l’entreprise et à toutes les données. Or un iPhone c’est bien beau, mais ce n’est pas spécialement sécurisé.
Mais je pense que des cas seront révélés bientôt. On arrive à pirater des appareils normalement sécurisés, comme les Mac, et ne vois pas pourquoi on ne pourrait pas pirater des appareils intrinsèquement ouverts. Les entreprises qui auront pris des précautions en avance auront plus de chances de passer au travers des mailles des attaques.
Quel est l’OS mobile considéré par les DSI comme le plus sûr, ou le plus simple à sécuriser ?
Le plus sécurisé aujourd’hui c’est BlackBerry, ça ne peut pas être contesté. RIM a sécurisé ses appareils dès le départ. Les moins sûrs sont l’iPhone et l’iPad, mais avec les outils qui ont été développés, iOS peut être sécurisé de façon beaucoup plus efficace qu’avant.
Android et Windows Phone arrivent également à être bien protégés. Il n’y a pas tellement d’OS sur le marché, donc on arrive à tous les sécuriser efficacement. Après, certains acteurs sécurisent mieux certains terminaux que d’autres. D’autres acteurs, comme nous, arrivent à sécuriser plusieurs systèmes. Mais aucun ne les protège tous.
De toute façon je pense que dans les 10 ans il y aura de moins en moins de systèmes. Il y aura certainement iOS, Windows et Android, les autres je ne sais pas.
Quel est le lien entre le BYOD et le télétravail ?
Il y a une bonne analogie entre les deux. Au lieu d’amener ses appareils personnels au travail, on amène le travail jusqu’à ses appareils personnels.
Mais le télétravail est différent du BYOD dans le sens ou votre bureau s’est déplacé chez vous, et l’entreprise vous rémunère en conséquence car vous devez avoir les appareils nécessaires, une connexion Internet, etc… Le BYOD est différent puisque l’entreprise ne vous dit pas de travailler chez vous, et ne paiera donc pas votre abonnement internet. Mais vous pouvez travailler de chez vous si vous voulez. Le résultat final est similaire, mais l’approche pour l’entreprise est très différente.
Mais à terme, peut-être que le BYOD va pousser certaines personnes à faire la transition vers le télétravail et favorisera le travail à domicile.
L’industrie de la sécurité IT va-t-elle connaitre des gros changements capitalistiques ?
Je sens qu’il va y avoir de gros acteurs, éditeurs d’OS mobiles, qui vont essayer de se positionner en leaders sur ce marché de la sécurisation en rachetant des éditeurs de solution de sécurité, mais chacun son métier, c’est très différent de créer un OS et d’entretenir des logiciels de sécurité.
Par contre il y aura certainement des concentrations au sein des éditeurs de sécurité. Il faut être extrêmement réactif et en avance de phase, mais nous sommes sur un petit marché. Il n’y a pas beaucoup d’acteurs, et il en restera rapidement encore moins. Ceux qui resteront seront ceux qui proposeront la meilleure valeur.