Depuis quelques années, les salariés sont de plus en plus nombreux à souhaiter travailler avec leur PC portable ou smartphone et, plus récemment, avec leurs logiciels. Cette évolution des mentalités s’explique par l’apparition d’appareils performants et conviviaux, mais aussi de services répondant à ces besoins comme le Cloud Computing. Mais ces tendances fortes soulèvent des problématiques auxquelles les entreprises ont encore du mal à répondre.
Les entreprises font face à un paradoxe. Différentes études révèlent que les employés souhaitent une intégration croissante des sphères personnelles et professionnelles tout en conservant une étanchéité de ces environnements. Une enquête réalisée, en 2011, par Orange Business Services, BearingPoint & TNS Sofres indique notamment un pourcentage très élevé (79 %) de salariés affirmant rester en contact, occasionnellement ou en permanence, avec leur travail en dehors des heures ouvrées et que 84 % déclarent utiliser des éléments personnels (PC, téléphone, email) à des fins professionnelles.
Cette ambivalence a favorisé, en partie, l’émergence du « Bring your own device » – BYOD – ou « Apporte ton propre appareil mobile ») : les salariés travaillent au bureau avec leur ordinateur potable et/ou leur smartphone. Le BYOD ne peut plus être considéré comme un phénomène passager. Alors que plus d’un tiers des entreprises l’interdisent, il touche déjà deux employés français sur trois. Et ce n’est que le début d’une profonde mutation, car après le BYOD se profile le… BYOA (« Bring your own application ») : les collaborateurs manifestant l’envie de travailler avec leurs propres applications.
Ces évolutions impliquent la mise en place de nouveaux outils et comportements de la part des DSI, des responsables des ressources humaines, mais aussi des utilisateurs.
Les DSI : un contrôle de plus en plus délicat
De nombreuses directions informatiques sont totalement dépassées par ce mouvement de consumérisation. Une maitrise de la configuration des terminaux BYOD est pourtant nécessaire afin de protéger l’entreprise contre le risque de fuite de données et d’infiltration virale.
Les obligations de l’employeur
À cause de différents textes de loi précisant les obligations de l’employeur en matière de sécurité informatique (dont l’article 34 de la loi du 6 janvier 1978), ce dernier « peut et doit imposer des outils de protection », précise François Coupez, avocat associé chez Caprioli & Associés.
Mais il a aussi le devoir d’expliquer aux utilisateurs comment sauvegarder leur contenu personnel, au cas où il faudrait l’effacer à distance. Par contre, il ne peut pas auditer des fichiers privés sauf s’il démontre, par exemple, la présence d’un code malveillant dans ces répertoires personnels.
Des accès sécurisés et identifiés à l’Intranet
La multiplication des terminaux mobiles oblige les entreprises à mettre en place des solutions permettant d’identifier précisément les connexions. L’une des options consiste à recourir au VPN (« Virtual Private Network » ou réseau virtuel) avec une double authentification.
Des applications mobiles dans des bulles
L’utilisation d’un VPN et du chiffrement de partitions ou de répertoires n’étant pas toujours évidente pour les entreprises de taille moyenne, l’autre méthode consiste à installer sur le téléphone portable ou la tablette une sorte « de conteneur sécurisé » séparant les données professionnelles et personnelles des applications mobiles. Ces solutions de collaboration sécurisées répondent à différents besoins : messagerie électronique, gestionnaire d’informations personnelles (PIM), calendrier, contacts, navigateur, gestion des documents et fichiers…
Le COPE, l’anti BYOD
Face aux contraintes du BYOD, la meilleure réponse est le COPE (Corporate Owned Personaly Enabled). Il s’agit d’un appareil acheté par l’entreprise. Elle assure sa pré-configuration (le salarié peut choisir différents modèles de terminaux et de logiciels dans un catalogue) et son administration (maintenance, licence d’utilisation…). À l’inverse du BYOD, c’est donc l’employeur qui fournit à ses collaborateurs des appareils mobiles pour des usages professionnels et personnels. Le COPE permet aux entreprises d’attribuer des fonctions et des permissions sur une base ad hoc, permettant ainsi un meilleur contrôle de l’utilisation du smartphone. Outre une sécurité renforcée, le COPE permet également aux entreprises et aux salariés de réaliser des économies. Ces derniers sont souvent indemnisés pour ces appareils à usage réduit et les entreprises obtiennent de meilleurs prix grâce à des achats groupés.
Les DRH : de nombreuses questions
Les responsables des ressources humaines sont également concernés par le BYOD. Ils se demandent en effet s’il faut payer en partie le logiciel installé (mais aussi le PC portable) par les utilisateurs. Dans ce cas, s’agit-il d’avantages en nature ou de remboursements de frais ? Selon des avocats et des fiscalistes, le COPE entrerait dans la première catégorie et le BYOD dans la seconde. Autres problématiques : à qui incombent la maintenance et le dépannage du matériel personnel utilisé au travail ? Faut-il une assurance spécifique ?
Les salariés
Pour les employés, les principales préoccupations doivent répondre à un paradoxe. Premièrement, pouvoir accéder à leurs données (professionnelles et personnelles) quels que soient le lieu et le terminal. Deuxièmement, dissocier le travail et les usages plus ludiques et personnels.
– La synchronisation : une solution indispensable
C’est le seul moyen pour disposer de la dernière version d’un document et de sa liste de contacts à jour. Les webmails (Outlook.com, Gmail, Yahoo !… ) permettent de bénéficier d’une application complète (emails, agenda…) parfaitement actualisée et consultable depuis n’importe quel terminal mobile ou poste virtualisé.
Concernant les fichiers et documents bureautiques, la principale solution consiste à utiliser des disques durs virtuels ou Cloud Computing. Il existe des applications compatibles avec les différents OS mobiles et les systèmes d’exploitation pour PC de bureau : Skydrive, Dropbox,Hubic…
À noter que Windows 8 facilite la synchronisation. Un des avantages de la connexion à un PC avec un compte Microsoft est le fait que vous pouvez synchroniser les informations entre tous les ordinateurs que vous utilisez et qui exécutent également Windows 8 ou Windows RT. Cela signifie que la plupart des paramètres et préférences personnels sont stockés sur des serveurs Microsoft en ligne, et qu’ils sont synchronisés avec n’importe quel ordinateur auquel vous vous connectez. L’historique d’Internet Explorer et les paramètres des applications du Windows Store sont synchronisés.
Des terminaux avec deux cartes SIM
Certains opérateurs télécoms proposent des offres permettant de disposer de deux cartes SIM, l’une est gérée par l’entreprise et l’autre par le salarié. Quelques smartphones intègrent deux ports de carte SIM, ce qui facilite leur contrôle.
Les obligations du salarié
Les pertes de données personnelles doivent être notifiées auprès de la CNIL. Cette obligation est spécifiée par le « Paquet télécom », qui ne concerne pour l’instant que les opérateurs. Mais il est conseillé d’anticiper l’extension prochaine de cette disposition à toutes les entreprises. « Dans cette optique, la charte informatique doit prévoir qu’en cas de vol, l’utilisateur devra prévenir l’entreprise, avant même l’assurance et la police », précise François Coupez.