Projets

Déployer le BYOD n'est pas un long fleuve tranquille

A chaque entreprise son BYOD. Deux responsables de la sécurité informatique de grandes entreprises ont témoigné des enjeux lors des Assises de la Sécurité, à Monaco, le 3 octobre 2012

PublicitéDans une entreprise sur deux, les DSI et RSSI sont persuadés que les salariés utilisent leurs propres outils personnels pour travailler et se connecter au système d'information. Cette démarche BYOD peut être illicite, tolérée ou encouragée. Elle peut être aussi un projet clairement assumé, comme à l'INA ou au sein d'Accor. Un atelier a permis d'aborder les bonnes pratiques en la matière lors des Assises de la Sécurité à Monaco le 3 octobre 2012.

L'Institut National de l'Audiovisuel (INA) a un rôle de conservation et d'exploitation des fonds nationaux d'archives audiovisuelles (un peu moins de 8 Po) ainsi que de formation. Le groupe Accor réunit, lui, 4400 hôtels avec 180 000 collaborateurs dans le monde (IBIS Budget à Sofitel) pour 6 milliards d'euros de chiffre d'affaires.

« Le projet BYOD a commencé par une pression ambiante croissante des utilisateurs finaux, notamment VIP » se souvient Philippe Chiu, réseau sécurité des infrastructures du groupe Accor. Un tel projet, selon lui, doit être co-porté par de nombreuses directions et ne pas être seulement informatique. Les besoins exprimés ont été avant tout de type PIM (personal information manager), c'est à dire messagerie/agenda/contacts.

La démarche BYOD peut aussi profiter aux clients de l'entreprise. C'est d'ailleurs de plus en plus le cas dans la grande distribution. Les clients sont utilisateurs de smartphones et peuvent bénéficier de nouveaux services qui sont actuellement en pleine ébullition. Pour Philippe Chiu, « une telle démarche révolutionne l'informatique tant côté front que côté back-office. »

Une difficulté particulière surgit quand on a 180 000 collaborateurs : les moyens humains pour gérer une telle flotte à usage interne ou vers les clients. Côté sécurité, le BYOD provoque un bouleversement philosophique. « Il faut intégrer les externes dans un espace bien plus large en termes de contenus » explique Philippe Chiu.

La démarche suivie est classique dans une situation d'innovation. Il s'agit de mener ainsi des tests et des pilotes. Cela permet de tenter de répondre à des questions qui n'ont pas toujours eu de réponses satisfaisantes ou complètes, notamment sur le plan juridique.

A l'INA, la DSI n'était pas favorable au BYOD pour des raisons de sécurité. Elle a opté pour une consumérisation de l'IT afin d'éviter une pénétration anarchique de terminaux personnels. La DSI met donc à disposition des tablettes professionnelles. « Nous évitons ainsi que des tablettes non-maîtrisées téléchargent des contenus que nous conservons de manière non-contrôlée » explique Ludovic Bey, RSSI de l'INA. L'INA analyse également l'intégrité de ses terminaux (jailbreak, etc.). L'INA fait d'ailleurs signer une charte d'usage à ses utilisateurs où les utilisateurs s'engagent à certaines bonnes pratiques (comme l'absence de jailbreak).

PublicitéMalgré tout, certains terminaux externes ne peuvent pas être évités à cause des activités mêmes de l'INA. Ainsi, stagiaires et producteurs exploitant les fonds accèdent aux contenus avec leurs propres matériels. Mais ceux-ci ont, du coup, un accès limité au système d'information.

Comme l'intégrateur Nomios qui a accompagné l'INA et Accor, l'a souligné, les questions juridiques sont loin d'être entièrement tranchées. Le flou sur, par exemple, la répartition de responsabilité civile entre les individus et l'entreprise est loin d'être éclairci.

Enfin, le BYOD n'est pas nécessairement une source d'économies : administrer ou exploiter un parc hétérogène peut être fort coûteux, exactement comme des développements pour permettre à des terminaux nouveaux d'accéder au système d'information.

Même si les utilisateurs finaux poussent tous, en général, dans le sens de l'adoption massive du BYOD.