Début 2015, la Commission nationale de l’informatique et des libertés (CNIL) a publié quelques conseils à suivre en matière de Bring Your Own Device (BYOD), rappelant à tous que l’usage des appareils personnels au bureau est encore loin d’être une évidence pour les entreprises et se rapprocherait même plutôt du casse-tête. Pour s’en rendre compte, il suffit de regarder ce qu’il se passe outre-Atlantique. Aux Etats-Unis, 95 % des entreprises américaines déclarent avoir amorcé ou finalisé une réflexion concernant l’exploitation des appareils personnels en interne, contre 59% en Europe*. Mais cette adoption massive ne s’accompagne pas de la maturité de gestion des usages à laquelle on pourrait s’attendre.

Cela signifie-t-il que le BYOD est une vague désastreuse qu’il faut tenter d’endiguer ? Pas forcément, car le tableau n’est pas si noir que nous voulons bien le croire… à condition de respecter quelques règles simples.

Le BYOD a été adopté par les utilisateurs qui y voient un formidable moyen de gagner en productivité de façon plus flexible, et ils ne comptent pas revenir en arrière. La majorité des DSI et des RSSI l’ont compris et cherchent avant tout à encadrer les nouveaux usages liés à la consumérisation de l’informatique, plutôt qu’à les brider. La problématique principale est maintenant de trouver des solutions sécuritaires facilement administrables et qui respectent le caractère privé d’une partie des informations contenues sur les smartphones et les tablettes. Selon une étude Kaspersky Lab réalisée avec OpinionWay en septembre 2014, 64% des français pensent que sur Internet, le risque est partout mais 68% des utilisateurs mobiles reconnaissent ne pas protéger leurs équipements. L’inconscience des utilisateurs quant aux dangers potentiels de ces nouveaux outils est réelle et c’est aux responsables informatiques d’y apporter des solutions s’ils veulent protéger le capital de l’entreprise.

Pour cela, il faut absolument créer et appliquer des politiques de sécurité dédiées à la mobilité et particulièrement aux appareils personnels. Le cloisonnement strict entre les données de la société et les données privées de l’utilisateur doit être respecté. En parallèle, il est essentiel de palier aux failles des appareils mobiles eux-mêmes, et ce quel que soit leur système d’exploitation car aucun n’est entièrement à l’abri des attaques. C’est vrai lorsqu’un appareil est entre les mains de son propriétaire et c’est encore plus vrai après une perte ou un vol. Ce sont des situations qui semblent inévitables lorsque l’on sait que plusieurs millions d’appareils sont perdus ou volés chaque année dans le monde.

Mais la technologie n’est pas seule en cause. Plus généralement, il faut mettre en place des cursus de formations afin de sensibiliser les utilisateurs et mettre fin au « tout répressif » qui n’a jamais fait ses preuves. Les DSI et RSSI auront absolument besoin de l’adhésion de tous les utilisateurs quant à l’application de la politique de sécurité. Sans la sensibilisation et la pleine compréhension des risques par les utilisateurs, la sécurisation des smartphones et tablettes sera vaine. »

 

__________
Tanguy de Coatpont est Directeur Général de Kaspersky Lab France et Afrique du Nord