Le BYOD ("Bring Your Own Device" ou "Apportez votre propre matériel") est de plus en plus courant en milieu professionnel. Bien que celui-ci est très prisé par les salariés, il faut mesurer son impact sur la sécurité des données de l’employé ainsi qu’à celles de l’entreprise.

Avec la progression de l’utilisation d’appareils mobiles personnels au travail, la frontière entre vie professionnelle et personnelle s’efface.

De quoi parle-t ’on ?

Les appareils personnels, ce sont d’abord les smartphones. Il est délicat de demander aux salariés de les déconnecter d’internet en arrivant à leur poste. Ils sont habitués à l’avoir près d’eux et à recevoir des notifications.

Les utilisateurs de Mac qui ne souhaitent pas passer sur le système PC en vigueur dans leur entreprise (par confort ou pour l’utilisation de certains logiciels spécifiques) sont également autorisés au cas par cas à amener leur appareil sur leur lieu de travail.

Quels sont les risques lorsque vous amener vos appareils personnels à votre travail ?

En introduisant des appareils personnels, vous prenez le risque, souvent sans en avoir conscience, de mettre en danger la sécurité des données de l’entreprise. Ceci est particulièrement vrai si vous travaillez dans un domaine stratégique.

Il est beaucoup plus facile en effet pour un individu mal intentionné de pénétrer le système d'information de votre entreprise en passant par votre appareil - qui n’a pas de protections particulières - que de pirater le système de sécurité complexe de votre organisation.

Certaines entreprises prennent des décisions drastiques dans certains cas pour protéger ses données, comme l’a fait IBM en mai 2012. Le géant américain de l’informatique a interdit l'utilisation de deux applications populaires à ses 400 000 employés. Il s’agissait de Dropbox (service de stockage dans le Cloud) et de Siri (assistant personnel pour iPhone). Comme Siri enregistre les requêtes vocales et les envoie aux serveurs Apple pour les déchiffrer, le groupe IBM n’a pas souhaité prendre le risque que des données stratégiques puissent être accaparées par la concurrence.

Quels sont les recours pour l’entreprise ?

Il n’est pas possible de prévoir des mesures de sécurité qui entraveraient l’utilisation d’un smartphone dans un cadre privé, au motif que cet équipement peut être utilisé pour accéder aux ressources de l’entreprise (interdire la navigation sur Internet, le téléchargement d’applications mobiles).

De telles restrictions pourraient facilement être considérées comme une atteinte à la liberté et à la vie privée du collaborateur.

Un risque de flou entre vie professionnelle et privée

Si les risques du BYOD concernent principalement les données de l’entreprise, il ne faut pas négliger le flou juridique qui peut survenir dans l’usage de ces appareils pour le salarié.

Le salarié peut parfois avoir du mal à se déconnecter le soir ou le weekend si ses notifications sont toujours actives. Il pourra ressentir alors une pression (ou un besoin) de regarder ou répondre aux messages professionnels.
Un autre risque est que l’employeur ait la possibilité technique d’accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (historique des sites internet consultés, photos, films, contacts, etc.). En effet, l’employeur doit pouvoir accéder au contenu professionnel stocké dans les appareils mobiles personnels. Comment s’assurer dans ces cas que la vie privée est respectée ? Heureusement ces situations sont peu fréquentes, et finissent rarement devant les tribunaux.
Pour finir, qu’en est-il du vol ou de la casse dudit matériel sur le lieu de travail, qui est tenu de prendre en charge les réparations ?

La prévention comme arme pour l’entreprise et les salariés

Pour contrer les attaques à la sécurité de l’entreprise des règles strictes et claires peuvent être mises en place :

- Rendre obligatoire l’installation d’un antivirus
- Interdire les clés USB qui peuvent infecter le système
- Obliger le changement régulier de mots de passe sur tous les périphériques