BYOD, entre phobie et pragmatisme

L’avènement du Bring Your Own Device pose la question, toute logique, de la sécurité des données. En cela c’est une bonne chose, mais vous remarquerez que ce qui cristallise l’attention n’est pas la donnée, mais l’appareil, l’outil numérique.

Chose assez aisée, j’observe dans la plupart des entreprises des montages sécuritaires assez impressionnants. Ils sont principalement de deux types :

  • Blocage logique total ou partiel de l’accès Internet
  • Blocage physique des ports USB et interdiction des appareils tiers (frustrant lorsque l’on est consultant …)

Mesures justifiables lorsque le domaine et/ou le métier du personnel le justifient, une chose est certaine le cas Snowden n’a pas empêché de voir des montagnes de données classées « secret défense » déferler sur la toile. Comme quoi, une carapace globale est difficilement tenable.

Néanmoins, la plupart du temps le BYOD est tout au mieux toléré, mais génère surtout une certaine crispation. On touche là à la passion qui caractèrise le phénomène, et on ressent une gêne qui de fil en aiguille ne permet que très rarement de se poser LA vraie question :

Quelles données dois-je absolument sécuriser ?

Le fond du problème est de mon point de vue, plus philosophique que technique. Et à cela j’y ajoute quelques remarques / anecdotes, histoire d’épicer un peu le débat 🙂

Interdire les appareils connectés ? vraiment ?!

Que feriez-vous si je m’amène avec une tablette ? pour en avoir fait l’expérience, n’hésitez pas à comprendre qu’interdire une tablette équivaut à interdire l’intégralité des smartphones de vos employés.

Vous vous sentez prêt à affronter une gronde générale ? le smartphone touche à l’affect. Une telle mesure est, sauf domaines qui le nécessitent, totalement intenable. Dilemme, dilemme ! bienvenue dans un monde totalement connecté.

Interdire le Web. Et l’email dans tout ça ?

Vous agitez la fuite d’informations comme une raison suffisante pour interdire / filtrer Internet et les appareils personnels ? J’ai même observé dans un grand laboratoire pharmaceutique une coupure totale avec le monde extérieur, ne permettant l’accès au Web que via des postes eux-mêmes sécurisés et dédiés (et pas accessibles en libre-service).

Mais vous êtes-vous posé réellement la question de ce que vos employés s’envoient via mail ? Des documents sensibles sortent tous les jours de votre entreprise sans que vous le sachiez. Vous avez des logs ? super ! les analysez-vous ne serait-ce qu’une fois l’an ?

Les VIP organisent volontairement les fuites : amen !

Brancher un disque dur externe ou une clé USB ne permettra que d’accélérer le processus de fuite d’informations. Leur blocage peut donc paraître logique, mais ne résout pas le problème de fond.

Anecdote intéressante, celle d’un dirigeant décédé d’une grande entreprise qui copiait toutes les données sensibles (et secrètes) de son entreprise sous des disques durs personnels cryptés. La chose était connue et toléré (c’est le chef hein !), imaginez-vous la tête de ses successeurs lorsqu’on leur annonce que non, on ne peut absolument rien récupérer ni sur ses ordinateurs, ni sur son téléphone.

Même sujet sur le SaaS et l’usage qu’en font certains responsables. J’ai observé un étrange manège dans une entreprise très soucieuse de ne pas utiliser le Cloud pour ses employés, pour des raisons que vous pouvez facilement vous imaginer. A côté de ça, tous les comités de direction s’organisaient et se géraient sur une solution Cloud grand public …. deux poids, deux mesures !

Réfléchissez donc, messieurs les dirigeants que si vous mettez en place des mesures sécuritaires techniques et légales, d’être les premiers à les respecter. Comme je le disais dans un billet précédent, le VIP est une menace qui participe activement à l’écroulement du SI.

Et le papier dans tout ça ?

Vous souhaitez interdire les appareils personnels dans le cadre du travail ? Peur de voir un employé partir avec une somme d’informations qui vous échappe ? OK.

Mais quelle est votre politique à propos du papier ? Avez-vous l’idée de ce que vos employés photocopient ? Avez-vous une politique concernant les calepins et carnets de note papier que vos employés utilisent ? J’ai vu un prestataire extrêmement méticuleux (il notait absolument tout, informations sensibles et mots de passe système inclus), qui en froid avec son client est volontairement parti avec ses données sous le bras et ne voir personne s’en offusquer.

Une hyperconnectivité normative ?

Lorsqu’on aborde la question de l’utilisation des terminaux mobiles personnels dans un contexte professionnel (Bring Your Own Device – BYOD), deux avis s’opposent.

D’un côté ceux qui, hyperconnectés, ne voient pas d’un mauvais œil de pouvoir utiliser leurs outils professionnels avec leurs propres appareils (ils l’appellent souvent de leurs vœux). Et de l’autre, ceux qui pointent du doigt la dangereuse évaporation d’une division vie privée / vie professionnelle, voir un moyen pour leur employeur de les espionner sans parler des soucis de sécurité que cela peut soulever.

Je n’entrerai pas les détails de ce débat. Chacun, de mon point de vue, doit pouvoir agir de la manière dont il le souhaite même si, en étant tout à fait honnête, un tel cadre me parait difficilement tenable du moment que l’entreprise le propose (nous verrons plus loin pourquoi).

Une caractéristique normative

Nous vivons dans un contexte où la mobilité fait d’ores et déjà partie de notre quotidien. Et si le débat du BYOD est plus que d’actualité, on peut nuancer le « cliché » en disant que l’opposition productivité / vie privée est plutôt saine et se résoudra dans un futur propre.

L’évolution du travailleur, couplé à l’émergence d’une génération entière de salariés hyperconnectés (la fameuse Génération Y), risque fortement d’impacter les caractéristiques des profils que pourront rechercher les entreprises.

Et à croire ce que l’on constate sur le terrain, le principe est même déjà d’actualité. Les recruteurs commencent à envahir les réseaux sociaux professionnels tels LinkedIn ou Viadeo. Certains métiers ont accès à des plateformes ayant la faveur des recruteurs comme GitHub pour les développeurs ou Dribbble pour les créatifs. Certaines applications Facebook sont destinées à chasser directement les talents sur une application initialement réservée à la sphère privée.

Dans un contexte de guerre des talents, l’hyperconnectivité va-t-elle devenir une norme, une caractéristique recherchée ?

Un refus intenable

L’hyperconnectivité est le reflet de l’accès aux nouvelles technologies émergentes par le grand public. Depuis quelques années, l’entreprise est à la traine sur les nouvelles technologies et pendant que les usages privés évoluent, le monde professionnel stagne. D’où une incompatibilité que le BYOD promet indirectement de combler en alliant mobilité, ubiquité et disponibilité. Le parfait écho du travailleur nomade : pouvoir utiliser n’importe quel mobile (et plus particulièrement le sien), n’importe où du moment que cela passe par Internet et n’importe quand.

L’envie est donc motrice dans ce sujet, une question d’offre et de demande. Et face à la cela, le bouclier de la vie privée est un garde-fou qu’il est impératif de prendre en compte. Bien évidemment, dans un tel contexte un refus total est quasi intenable. Peut-on se prévenir de l’utilisation d’outils mobiles dans une entreprise ? Cela parait être mission impossible, la position se voulant liée à la notion de liberté.

La nature a, dit-on, horreur du vide.

L’émergence du travailleur nomade

Mais mon analyse m’amène tout simplement à me poser la question de l’adaptation de ceux qui refusent toute évolution. Que vont devenir ces cadres et employés voulant absolument dissocier vie privée et vie professionnelle ? L’évolution de l’outil de travail, fondation de la relation employé / employeur, amène actuellement son lot de questions liées au juridique, aux ressources humaines, à l’informatique mais rarement celui du travail en lui-même et à la perception que nous pouvons tous avoir de celui-ci.

Car passé la phase du questionnement, les entreprises évolueront-elle si facilement vers un mode de travail plus nomade ? On peut se poser la question car là où le problème étant relativement localisé lorsqu’il ne s’agissait que de quelques cadres, il risque de devenir beaucoup complexe à gérer du moment où chaque employé se verra impliqué dans une telle démarche. Qui plus est si l’hyperconnectivité devient normative.