Suite au rachat de WhatsApp par Facebook pour 16 milliards de dollars récemment, un certain nombre de spécialistes ont fait remarquer que Facebook ne déboursait pas une telle somme uniquement pour acquérir 450 millions de nouveaux utilisateurs, mais plutôt que le réseau social offrait 35 dollars pour récupérer le répertoire téléphonique de chacun de ces 450 millions d’individus. Évoluant dans le secteur de la mobilité professionnelle, je me suis immédiatement posé les questions suivantes : « Quels sont les noms et numéros qui figurent dans ces répertoires ? Quel PDG, haut responsable ou personnalité importante permet à Facebook de contrôler son répertoire de contacts ? »
L’ensemble des systèmes d’exploitation mobiles modernes et populaires ont été lancés après que Facebook et Twitter soient fondés. Ces systèmes d’exploitation, ainsi que toutes les applications qui fonctionnent dessus, ont été créés pour un monde au sein duquel les utilisateurs souhaitent partager une grande partie de leur activité avec un grand nombre de gens. WhatsApp n’utilise pas de subterfuge pour se procurer leurs carnets d’adresse ; ce sont les utilisateurs qui choisissent librement de livrer des données sensibles au service afin de profiter de capacités indéniablement utiles qui fonctionnent mieux lorsque l’application a accès à ces données. En donnant sciemment son consentement, l’utilisateur est en mesure de fournir toutes les informations qu’il détient, et les systèmes d’exploitation mobiles contemporains rendent cela facile.
Mais que se passe-t-il s’il utilise également son téléphone pour travailler ? Si certaines données stockées sur l’appareil ne lui appartiennent pas ? Si la décision de partager ces données ne lui appartient pas ?
Beaucoup d’entreprises sont confrontées aux problèmes posés par le contrôle de leurs données une fois qu’elles permettent à leurs utilisateurs d’accéder à ces données sur des appareils mobiles. Une approche possible pour résoudre ce problème est d’utiliser des outils et des protocoles de gestion des appareils mobiles (MDM) tels qu’Exchange ActiveSync afin de synchroniser les données professionnelles sur l’appareil.
En cas de perte du terminal, les données peuvent en être effacées, et si l’utilisateur quitte l’entreprise, il est possible d’effectuer une synchronisation spéciale provoquant la suppression des copies locales des données de l’entreprise présentes sur l’appareil (même si, bien entendu, l’utilisateur disposera probablement d’une sauvegarde sur son ordinateur personnel à la maison). La gestion des appareils peut être un processus utile pour garder le contrôler des terminaux, mais en pratique, ce n’est pas une solution optimale pour garder le contrôle des données. Ces outils permettent la gestion des appareils mobiles, et non pas des données mobiles.
Si une entreprise déploie un parc d’appareils mobiles gérés par elle-même (auprès de travailleurs sur le terrain ou sur des bornes interactives, par exemple) et qu’elle compte contrôler précisément les applications qui seront utilisées sur ces terminaux, alors les outils de gestion des appareils mobiles sont une excellente solution. Cependant, si les appareils seront utilisés par les employés pour leurs activités personnelles et professionnelles, alors il est nécessaire d’utiliser des outils permettant de gérer les données, et pas juste le terminal. Si les utilisateurs sont autorisés à installer WhatsApp ou autre application pouvant légitimement solliciter l’accès aux données présentes sur l’appareil, il est essentiel de maintenir une séparation entre données personnelles et données professionnelles.
Notez bien que je n’ai pas évoqué le « BYOD » jusqu’ici. En effet, le besoin de séparer les données professionnelles des données personnelles ne se limite pas au cas où les utilisateurs amènent leur propre appareil au travail. Le problème n’est pas de savoir qui est légalement en charge de la gestion de l’appareil, mais de déterminer si l’utilisateur pense que l’appareil en sa possession lui appartient. S’il l’amène avec lui en vacances, c’est qu’il considère que l’appareil (qui contient ses photos, sa musique, ses vidéos et surtout ses applications) est le sien. À moins que l’entreprise ait l’intention de restreindre complètement l’appareil quant aux applications pouvant être installées, il lui faudra alors préférer une approche consistant à verrouiller l’accès à ses données. En effet, bien qu’il soit tout à fait concevable de verrouiller un appareil destiné à être utiliser sur une borne, ou qui sera récupéré au début d’une journée de travail et rendu à la fin, en revanche, une telle protection peut être extrêmement mal perçue, voire absolument inacceptable pour l’utilisateur si ce dernier considère que l’appareil lui appartient.
Notons également que les outils de gestion des appareils mobiles restent utiles pour les entreprises ayant adopté le BYOD comme pour celles gérant les appareils confiés à leurs employés, mais leur valeur réside dans la gestion des terminaux, et non pas des données. Pouvoir s’assurer que les utilisateurs possèdent les identifiants pour se connecter au Wi-Fi d’entreprise, ont accès au portefeuille d’applications nécessaires pour travailler, et disposent de versions des applications et du système d’exploitation à jour est un avantage très précieux. Mais en pratique, pour déployer une stratégie de mobilité complète, toute entreprise a besoin d’un ensemble d’outils complet afin de gérer les données, les appareils, les applications et les configurations ; pour contrôler la qualité de service ; et pour effectuer des analyses afin de s’assurer que tout fonctionne correctement. Pour qu’une telle stratégie puisse être déployée, tous ces éléments doivent fonctionner de façon coordonnée plutôt que de façon isolée. Il faut donc une solution de mobilité complète et cohésive.
Par conséquent, avant de laisser vos données d’entreprise sur un appareil mobile, posez-vous la question de savoir quels types d’applications pourraient être exécutées dessus. Il ne s’agit pas simplement de faire attention aux logiciels malveillants ou à WhatsApp en particulier, mais de s’interroger plus généralement sur les applications pouvant être installées et sur leur utilisation potentielle de vos données. Dans certains cas, une fois ces applications installées sur votre appareil, vous disposerez de la réponse à ces questions, et la gestion des appareils sera peut-être appropriée. Mais si vous avez le moindre doute, il vous faudra mettre en place une solution de gestion des données.