Articles IT et Télécoms

BYOD, COPE, CYOD ou comment satisfaire les demandes des utilisateurs en minimisant les risques pour l’entreprise

Si le BYOD a fait beaucoup couler d’encre ces derniers mois, force est de constater que la réalité de son usage est bien en deçà de ce que pourrait laisser supposer sa couverture médiatique. En fait, la majorité des entreprises exerce une résistance plus ou moins importante à l’utilisation par leurs employés de leurs propres terminaux pour des raisons qui tiennent aux coûts engendrés sans oublier les questions de sécurité et de responsabilité juridique. Face à ces freins, une alternative dénommée COPE ou CYOD semble s’imposer comme une voie de compromis permettant de concilier les exigences légitimes des entreprises avec les aspirations des utilisateurs.

Il est indéniable que le BYOD a fait le « buzz » dans les médias ces derniers temps, ce phénomène étant présenté comme une prise de pouvoir des utilisateurs revendiquant la liberté de travailler avec leur propre terminal contre les diktats de la DSI. La réalité est comme souvent plus prosaïque. Selon différentes études publiées sur les pratiques des entreprises européennes en matière de BYOD, il apparait que l’ampleur du phénomène se réduit souvent à autoriser quelques dirigeants influents de grandes entreprises ou du secteur de la finance à utiliser leur iPad ; leur ou leur Galaxy pour se connecter au système d’information. Ces mêmes études montrent clairement qu’une grande majorité d’entreprises mettent un veto pur et simple à ces pratiques renforcées en cela par les déclarations l’année dernière du directeur de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui se prononçait « Contre le BYOD, sans ambiguïté ! ».

Définitions préalables :

  • BYOD « Bring Your Own Device » ou apporter votre propre outil, l’acronyme le plus usité dont la signification consiste à permettre l’utilisation de tout terminal personnel au sein de l’entreprise.
  • COPE « Corporate Owned, personnaly enabled » que l’on peut traduire par appartenant à l’entreprise et utilisable personnellement, une approche consistant à fournir au collaborateur un terminal que l’utilisateur pourra utiliser à des fins personnelles.
  • CYOD «Choose Your Own Device », un concept similaire au précèdent donnant au collaborateur le choix entre plusieurs terminaux validés par l’entreprise.

Les limites du BYOD

Sur le papier, le BYOD présente de nombreux atouts : ses avantages tiennent notamment à ce que le collaborateur effectue l’achat du terminal sur ses fonds propres, qu’il n’a pas besoin de formation et qu’il peut l’utiliser en toutes circonstances (au bureau comme dans sa vie privée). Les gains de productivité sont souvent mis en exergue pour pousser à son adoption.

A contrario, ses inconvénients sont encore plus nombreux : problèmes de sécurité, support de terminaux hétérogènes dans l’accès aux applications métiers, considérations juridiques complexes, impact sur la vie privée de l’employé sont autant de questions difficiles et particulièrement coûteuses à adresser.

Pour toutes ces raisons et en dépit de la publicité qui l’entoure, on constate en Europe de l’Ouest que la plupart des entreprises sont fermées au BYOD. Dans une majorité d’entreprises, cette pratique est tout simplement interdite !

Les risques liés à la sécurité

Concernant plus spécifiquement la sécurité, le BYOD implique de se reposer sur l’utilisateur pour la sécurisation de son terminal et les différentes études menées dans ce domaine montrent qu’environ un tiers des terminaux ne sont pas mis à jour par leurs propriétaires et se prêtent ainsi à des risques de compromission.

Une solution consisterait à faire en sorte que l’entreprise fournisse les outils de sécurité adaptés à ses employés mais cela nécessiterait de mettre à disposition autant d’outils que de types de terminaux utilisés et de variante de système d’exploitation (particulièrement pour les terminaux sous Android), sans garantie pour autant que chacun les utilise effectivement.

Ce problème est d’autant plus important que certains employés amènent sur leur lieu de travail non pas un mais souvent deux terminaux (smartphone et tablettes notamment).

L’autre problème consiste à donner accès, en situation de mobilité, aux applications métiers de l’entreprise pour une multitude de terminaux hétérogènes tout en respectant des standards de sécurité draconiens. Cela revient à revoir en profondeur l’architecture de sécurité du système d’information pour en élargir considérablement les moyens d’accès.

La question de la responsabilité juridique

Les risques juridiques représentant souvent des considérations plus importantes que celles liées à la sécurité pour de nombreuses entreprises.

Quid de l’effacement des données personnelles sur un terminal géré par l’entreprise ?

Un employé recevant des emails sur son terminal personnel ne pourrait-il pas demander la requalification de son temps passé hors de l’entreprise en temps de travail considérant la réception d’emails urgents à toute heure ?

Quid de la propriété des travaux réalisés par un employé sur son temps personnel et sur son propre matériel ?

Quid de la responsabilité de l’entreprise en cas d’utilisation d’un terminal personnel utilisant le réseau de l’entreprise pour se livrer à des malversations ?

Quid de la réparation du terminal chez un prestataire et de la protection des données de l’entreprise ?

Quid de l’utilisation de logiciels sans licence ?

Quid du prêt du terminal à des amis, membres de la famille ?

Le CYOD ou COPE comme solution de compromis

CYOD et COPE sont de fait très similaires.

Le principe consiste pour l’entreprise à définir une liste finie de terminaux agréés permettant l’utilisation des outils de MDM (Mobile Device Management) pour le déploiement d’applications autorisées, la spécification de paramètres de sécurité, voire la géolocalisation de l’appareil et son contrôle à distance.

Les appareils homologués sont gérés et sécurisés par l’entreprise tout en étant dotés des applications nécessaires à l’accomplissement des missions du collaborateur. On revient ici à un schéma classique dans lequel l’entreprise fournit à son employé le terminal dont il a besoin pour exercer ses fonctions. Cela permet également d’inclure les employés qui ne sont pas équipés d’un terminal personnel.

Le CYOD / COPE peut être perçu comme un avantage en nature à contrario du BYOD dans lequel certains utilisateurs voient d’un mauvais œil le fait d’avoir à utiliser leur terminal propre pour travailler. Cette pratique permet surtout de traiter les problèmes cités plus haut liés à la sécurité et la responsabilité juridique de l’entreprise.

On peut enfin considérer ces pratiques comme un premier pas en attendant une ouverture progressive tendant vers le BYOD.

Publicités

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :