Que ce soit au sein de l’entreprise ou d’un autre type d’organisation, le « Bring Your Own Device » représente toujours un risque de sécurité qu’il ne faut pas sous-estimer. Pour comprendre à quel point la question de la protection des données est dans ce contexte sensible, imaginez simplement les scénarios suivants :
- Scénario 1 : les données sensibles des clients, des employés et de l’entreprise sont stockées et traitées sur un dispositif externe qui ne peut pas être contrôlé ou ne peut l‘être que partiellement. Puisqu’il s’agit de matériel et de logiciels utilisés principalement à des fins personnelles, le propriétaire peut avoir installé des mécanismes de sécurité plus faibles que ce qui serait courant dans un environnement informatique d’entreprise. Il peut aussi être moins vigilant avec les spams et les faux liens, ce qui peut augmenter le risque d’hameçonnage : le Phishing. Il est également concevable que l’appareil puisse être volé ou perdu, ce qui est évidemment une catastrophe pour la sécurité.
- Scénario 2 : d’autre part, un terminal privé représente aussi un risque de sécurité pour le réseau interne de l’entreprise. S’il se connecte via une connexion non chiffrée ou s’il est déjà contaminé par un logiciel malveillant, il peut perturber l’infrastructure informatique ou même (involontairement) espionner des bases de données secrètes.
La protection des données, en particuliers les données à caractère personnel et cela conformément au RGPD doit aussi être assurée sur les appareils privés. Et c’est l’entreprise, et non l’employé, qui en assume l’entière responsabilité. Cela pose des défis législatifs, techniques et administratifs majeurs tant pour la gestion que pour l’informatique, en particulier lorsqu’un grand nombre d’appareils différents avec des systèmes d’exploitation et des programmes différents doivent être intégrés au sein du même réseau.
Dans ces circonstances, il est légitime que le chef d’entreprise ait un certain pouvoir de contrôle sur l’équipement. Il s’agit notamment de contrôler la mise en œuvre des mesures de protection des données nécessaires, d’assurer une séparation stricte entre les données professionnelles et les données privées et, en cas de doute, d’effacer ou de restaurer les données à distance. Dans le même temps, ces efforts doivent cependant se concilier avec le droit de l’utilisateur à l’autodétermination informationnelle en vertu du RGPD, une question complexe et en même temps conflictuelle, où chaque petit détail doit être examiné.
Il est donc essentiel de répondre clairement à toutes les questions pertinentes, par exemple : « Est-ce qu’un membre de la famille de l’employé peut utiliser l’appareil ? » et « Qu’advient-il des données de l’entreprise si l’employé démissionne »? La levée de ces ambiguïtés initiales peut représenter pour l’entreprise un effort supplémentaire qu’il ne faut pas sous-estimer. La politique finale du BYOD doit ensuite être communiquée de manière ouverte et transparente au personnel afin de réduire le risque de fuites de données et d’infractions aux lois sur la protection des données. Cependant, il subsiste toujours un certain risque résiduel, car l’employeur renonce aussi à une partie de son contrôle en faisant confiance à ses employés.
Sur le plan technique, les services informatiques chargés de la mise en œuvre d’un concept BYOD utilisent des approchent différentes :
- Solutions de conteneurs : pour assurer la sécurité des données sensibles sur les terminaux privés, de nombreuses entreprises utilisent des « conteneurs » chiffrés. Ce sont des partitions isolées et restreintes sur l’espace du disque dur local où les données sont stockées et à partir duquel la connexion au réseau de l’entreprise est établie.
- Mobile Device Management :les logiciels MDM tels que AirWatch et MobileIron sont utilisés pour l’intégration et l’administration centrale des appareils privés dans les entreprises. Les interfaces utilisateur professionnelles sont utilisées pour gérer les données, installer les mises à jour et configurer les verrous pour les connexions WLAN non sécurisées et les applications de fournisseurs tiers inconnus. Cependant, comme les salariés doivent passer d’un poste de travail à l’autre pour un usage privé ou professionnel, la gestion des appareils mobiles se fait au détriment de l’expérience utilisateur. Le renforcement du contrôle exercé par l’employeur a également des répercussions négatives sur la protection de la vie privée.
- Solutions de Sandbox : une alternative fréquemment utilisée aux solutions mentionnées ci-dessus est le Virtual desktop infrastructure ainsi que les applications Web, qui permettent l’accès à distance de l’appareil privé à l’ordinateur de l’entreprise et ne stockent donc pas de données sensibles sur des appareils externes. Il s’agit notamment des services Cloud et des plateformes de collaboration en ligne comme Microsoft Exchange.