Avec l’arrivée en entreprise de plus en plus d’outils en SaaS, et en cloud en général, il y a de moins en moins de frontière entre les usages du monde privé et professionnel. Le BYOD prend donc maintenant tout son sens, mais il ne faut pas faire n’importe quoi. Une bonne politique et stratégie est nécessaire !
BYOD ? (Bring Your Own Device)
Cela signifie que l’employé emmène son matériel personnel au travail.
Cela peut être un téléphone, un ordinateur portable, une souris ergonomique, un siège gamer, etc.
Pourquoi mettre en place une politique BYOD ?
J’ai fait une vidéo sur 5 bonnes raisons de mettre en place le BYOD dans votre entreprise.
Que vous pouvez aller voir mais que je résume ici :
- Tout d’abord, le BYOD peut augmenter la productivité de vos employés. Lorsque les employés peuvent utiliser leurs propres appareils, ils sont souvent plus à l’aise et plus familiers avec eux, ce qui peut entraîner une meilleure efficacité de travail.
- Ensuite, le BYOD permet aux employés d’accéder aux ressources de travail de n’importe où, à tout moment, ce qui les rend plus flexibles et réactifs aux besoins de l’entreprise.
- Le BYOD peut également vous faire économiser de l’argent. En autorisant les employés à utiliser leurs propres appareils, vous n’avez pas à acheter et à maintenir des appareils de travail séparés pour chaque employé. Cela peut représenter des économies importantes, en particulier pour les petites entreprises.
- Le BYOD peut par ailleurs améliorer la satisfaction et la fidélisation de vos employés. De nombreux employés apprécient la possibilité d’utiliser leurs propres appareils pour le travail, car cela leur donne plus de contrôle sur leur environnement de travail et leur technologie. Cela peut entraîner des niveaux de satisfaction et de fidélisation plus élevés.
- Enfin, le BYOD peut renforcer la sécurité et la conformité de votre entreprise. En utilisant une plateforme centralisée et sécurisée pour gérer et sécuriser les appareils des employés, vous pouvez vous assurer que les données sensibles sont protégées et que tous les appareils sont conformes aux politiques de l’entreprise et aux réglementations de l’industrie. Vous aurez aussi moins d’appareils qui accèdent aux données et donc moins de failles potentielles.
Définir clairement la portée de la politique BYOD
Maintenant que vous savez pourquoi vous mettez en place le BYOD, il faut définir votre stratégie et votre politique de BYOD.
Appareils autorisés
Ce n’est pas parce que vous autorisez le BYOD que vous devez tout accepter.
Vous devez mettre en place une liste des appareils autorisés ou refusés selon l’approche que vous préférez.
Quels sont les équipements personnels que vous allez tolérer dans votre SI ?
Des chaises ? des souris ? des claviers ? des tablettes ? des téléphones ? des écrans ? des extensions de pavé numérique ? etc.
Si vous autorisés les orginateurs portables : des Mac ? des Chromebook ? Des Windows (si oui quelles versions ?) etc.
Vous allez devoir lister ce qui est du ressort de cette politique de BYOD.
Quels employés sont éligibles à la participation ?
En fonction de vos objectifs, vous allez peut-être vouloir segmenter vos employés.
Si la sécurité est un enjeu important, peut-être que les personnes gérant votre infrastructure devront utiliser uniquement les appareils de l’entreprise certifiés par le RSSI.
Si vous avez un objectif d’image et 4 personnes à l’accueil de votre structure, peut-être qu’elles devront toutes avoir le même matériel pour montrer l’unité et la cohérence de votre entreprise.
Si vous êtes revendeur officiel d’une marque, ne laissez pas les personnes visibles dans votre showroom choisir leurs appareils en dehors de cette marque ! etc.
Il vous faut donc définir les postes, rôles ou lieux géographiques qui donneront lieu au BYOD.
Attention cependant à ne pas faire du cas par cas individuel ! Ça pourrait être contreproductif et considéré comme de la discrimination par les employés !
Quelles activités de travail sont autorisées sur les appareils personnels ?
Tout comme des employés sont éligibles à des activités, peuvent être exclus.
Par exemple :
On peut autoriser les admins réseau à apporter leur matériel, sauf quand ils vont faire une certaine tache, où là, l’appareil de l’entreprise est obligatoire.
Il est possible d’autoriser les livreurs à utiliser leurs téléphones personnels pour le GPS, les appels, etc, mais pour la signature des clients, c’est obligatoirement la tablette/téléphone corporate !
Là aussi, il ne faut pas tomber dans les travers du cas par cas.
On ne fait pas une liste exhaustive de chacune des activités de chaque employé pour définir celles qui sont éligibles au BYOD. On range les activités en grandes familles.
On pourrait avoir l’activité : marketing, support client, interventions sur site, livraisons, etc.
Mais pas : création des design, publication sur les réseaux sociaux, réponse au téléphone, visualisation de la base de connaissance, utilisation de Jira, etc.
Car pensez bien que tout cela doit être maintenu à jour et vivre ! Si vous êtes trop précis (sur les activités, les noms des logiciels ou SaaS utilisés) vous allez souvent devoir mettre à jour cette politique !
Établir des règles claires pour l’utilisation des appareils personnels (sécurité, vie privée, conformité)
Dans votre politique, vous devrez ajouter aussi une partie sur le cadre d’utilisation.
Certe, vous autorisez les appareils personnels, mais dans quelle mesure, avec quelles contraintes ?
Il faut définir des règles de sécurité : obliger l’appareil à être verrouillé par un mot de passe, imposer le chiffrement, obliger les conteneurs pour séparer les contacts pro/perso, imposer des versions d’OS ou des antivirus, etc.
Votre rôle ici est de mettre le cadre en place pour que les données de votre société soient en sécurité, même sur les appareils personnels.
Utiliser une solution de gestion de dispositifs mobiles (MDM)
Pour piloter tout cela, vous aurez besoin d’un outil de MDM. C’est-à-dire de gestion de flotte mobile.
Les appareils comme les ordinateurs portables, tablettes ou téléphones mobiles peuvent être volés et contiennent souvent des mots de passe enregistrés, des données, et tout un tas de choses.
Il faut donc pouvoir gérer la partie professionnelle de ces appareils.
Pourquoi utiliser une MDM ?
La mise en place d’un système de gestion de la mobilité (MDM) est essentielle pour garantir la sécurité et la conformité de votre politique BYOD. Le MDM vous permet de gérer à distance les appareils des employés, de configurer des politiques de sécurité et de conformité, et de protéger les données sensibles de l’entreprise. Il vous permet également de localiser et de verrouiller les appareils perdus ou volés, et de supprimer les données de ces appareils si nécessaire, etc.
Il est important de sélectionner un système de MDM qui répond à vos besoins spécifiques et de le configurer correctement pour garantir une sécurité et une conformité maximales.
Comment choisir une solution MDM ?
Il existe de nombreuses solutions de MDM sur le marché, chacune avec ses propres fonctionnalités et ses avantages. Il est important de bien comprendre vos besoins en matière de sécurité et de conformité avant de choisir une solution de MDM. Voici quelques facteurs à prendre en compte lorsque vous choisissez une solution de MDM pour votre politique BYOD:
- Compatibilité des appareils : Assurez-vous que la solution de MDM prend en charge les types d’appareils que vous autorisez dans votre politique BYOD.
- Fonctionnalités de sécurité : Recherchez une solution qui offre des fonctionnalités de sécurité robustes, telles que la cryptographie des données, la détection d’intrusion et la géolocalisation des appareils.
- Conformité : Assurez-vous que la solution de MDM répond aux exigences de conformité de votre entreprise (associer le RSSI au projet).
- Facilité d’utilisation : Recherchez une solution qui est facile à utiliser pour vous et vos employés, avec une interface intuitive et des fonctionnalités de gestion à distance simples.
- Support et assistance : Assurez-vous que la solution de MDM offre un support et une assistance de qualité pour vous aider à résoudre tout problème technique.*
- Intéropérabilité : la solution doit être intégrée au reste de votre SI. Si vous avez Google Workspace, il faudrait que la solution inscrive automatiquement l’appareil dès la connexion d’un compte Google de l’entreprise par exemple.
- Coût : Prenez en compte le coût de la solution de MDM et de son abonnement, et assurez-vous qu’il s’inscrit dans votre budget.
Avant de procéder à l’acquisition d’une solution de MDM, il est crucial de la tester pour s’assurer qu’elle répond à tous vos besoins et qu’elle est simple à utiliser pour vos employés.
Il est important de mettre en place une procédure pour gérer les appareils qui ne sont plus utilisés ou qui ne sont plus conformes pour garantir la sécurité et la conformité de votre politique BYOD.
Comment utiliser une MDM pour gérer et sécuriser les appareils des employés ?
Pour utiliser efficacement la solution de MDM que vous aurez choisie, il est important de suivre quelques étapes clés :
- Configuration : Configurez les paramètres de sécurité et de conformité de votre solution de MDM en fonction de vos besoins spécifiques. Cela peut inclure la définition de politiques de mot de passe, de chiffrement des données et de restriction d’accès à certaines applications.
- Inscription des appareils : Inscrivez les appareils des employés dans votre système de MDM. Cela permet à vos employés de se connecter à leurs comptes professionnels et de configurer les paramètres de sécurité de leurs appareils. Faites en sorte que ça soit automatique à chaque connexion sur votre système.
- Suivi et gestion des appareils : Utilisez les fonctionnalités de suivi et de gestion des appareils de votre solution de MDM pour surveiller l’utilisation des appareils et gérer les problèmes de sécurité. Cela peut inclure la géolocalisation des appareils perdus ou volés, la suppression de données à distance et la mise à jour des paramètres de sécurité.
- Analyse et reporting : Utilisez les fonctionnalités d’analyse et de reporting de votre solution de MDM pour suivre les tendances d’utilisation des appareils et identifier les problèmes potentiels. Cela peut inclure des rapports sur les appareils perdus ou volés, les violations de sécurité et les tendances d’utilisation des applications.
- Procédure de gestion de l’appareil : Mettre en place une procédure pour gérer les appareils qui ne sont plus utilisés ou qui ne sont plus conformes pour garantir la sécurité et la conformité de votre politique BYOD.
En suivant ces étapes, vous pouvez utiliser efficacement une solution de MDM pour gérer et sécuriser les appareils des employés dans le cadre de votre politique BYOD.
Ce MDM ne sera pas juste un cout supplémentaire pour votre structure, mais bien un bénéfice pour la sécurité des données de votre structure.
Former et soutenir les employés
Il est important de former et de soutenir les employés pour qu’ils puissent utiliser efficacement leurs appareils personnels dans le cadre de la politique BYOD. Pour y arriver, voici quelques étapes clés :
- Sensibilisez vos employés aux politiques de sécurité et de conformité de votre entreprise en organisant des sessions de formation. Cela les aidera à comprendre comment respecter ces politiques en utilisant leurs appareils personnels.
- Offrez des formations sur l’utilisation des appareils et des logiciels autorisés dans le cadre de la politique BYOD. Cela inclura des informations sur la configuration des paramètres de sécurité, l’accès aux ressources de travail et la gestion des données professionnelles.
- Mettre en place une équipe de soutien technique pour aider les employés à résoudre les problèmes techniques liés à l’utilisation de leurs appareils personnels. Cela inclura une assistance pour la configuration des paramètres de sécurité, la résolution des problèmes de connexion et la résolution des erreurs logicielles.
- Communiquez régulièrement avec vos employés sur les politiques de sécurité et de conformité, les mises à jour des logiciels et les nouvelles fonctionnalités de la solution de MDM. Plus vos employés auront d’informations, plus ils comprendront les contraintes liées à l’utilisation de leurs appareils personnels.
En formant et en soutenant vos employés, vous les aiderez à utiliser efficacement leurs appareils personnels tout en garantissant la sécurité et la conformité de votre entreprise.
Fournir des instructions claires sur l’utilisation des appareils personnels pour le travail
Il est important de donner des consignes claires à vos employés sur l’utilisation de leurs appareils personnels pour le travail.
Pour garantir la sécurité et la conformité de votre politique BYOD, vous devriez avoir des politiques de sécurité facilement accessibles pour tous. Selon une étude de Forrester Research, les entreprises qui ont des politiques de sécurité BYOD claires et accessibles ont des taux de conformité plus élevés de 20%.
Vous devriez également avoir des guides d’utilisation détaillés pour aider les employés à configurer et à utiliser leurs appareils. Selon une étude de Cisco, les employés qui utilisent des guides d’utilisation sont 70% plus susceptibles de se conformer aux politiques de sécurité de l’entreprise.
Enfin, vous devriez mettre à disposition des employés des ressources en ligne, telles que des didacticiels vidéo et des FAQ, pour les aider à résoudre les problèmes courants liés à l’utilisation des appareils personnels pour le travail.
En fournissant des consignes claires et des ressources facilement accessibles, vous pouvez augmenter la conformité et la sécurité de votre politique BYOD.
Réviser et mettre à jour régulièrement la politique BYOD
Enfin, il est important de réviser et de mettre à jour régulièrement la politique BYOD pour s’assurer qu’elle répond aux besoins en constante évolution de votre entreprise en matière de sécurité et de conformité.
Par exemple, si de nouvelles technologies de chiffrement sont disponibles sur le marché, il est important de les inclure dans la politique BYOD pour protéger les données sensibles de l’entreprise. En effectuant des évaluations régulières et en impliquant les employés dans le processus de mise à jour, vous pouvez maintenir une politique BYOD efficace et adaptée aux besoins de votre entreprise.
Pourquoi est-il important de réviser et de mettre à jour la politique BYOD ?
Les technologies et les tendances évoluent constamment, il est donc nécessaire de s’assurer que la politique BYOD est à jour pour prendre en compte les nouvelles technologies et les nouveaux risques de sécurité. Selon une étude de Gartner, les entreprises qui ne prennent pas en compte les nouvelles menaces de sécurité dans leurs politiques BYOD courent un risque deux fois plus élevé de subir une violation de données. Il est donc crucial de réviser régulièrement la politique BYOD pour inclure les dernières technologies et normes de sécurité.
Les réglementations et les exigences de conformité peuvent également changer, il est donc important de s’assurer que la politique BYOD est conforme aux dernières réglementations. Par exemple, si de nouvelles lois sur la protection des données entrent en vigueur, il est important de s’assurer que la politique BYOD est conforme à ces lois pour éviter les pénalités et les poursuites.
Enfin, les besoins de l’entreprise peuvent aussi changer, il est donc important de s’assurer que la politique BYOD prend en compte les nouveaux besoins en matière de productivité et de flexibilité.
Comment réviser et mettre à jour la politique BYOD ?
Évaluer régulièrement les risques de sécurité et les exigences de conformité pour identifier les domaines qui nécessitent une mise à jour.
Consultez les employés pour recueillir leurs retours et leurs suggestions sur la politique BYOD en cours, pour identifier les domaines qui nécessitent une amélioration.
Mettre à jour les politiques de sécurité et de conformité en fonction des dernières technologies et tendances, ainsi que des réglementations et des exigences de conformité en vigueur.
Mettre à jour les guides d’utilisation et les ressources en ligne pour refléter les modifications apportées à la politique BYOD.
Communiquer clairement les modifications apportées à la politique BYOD aux employés pour les informer des changements et de la façon de s’y conformer.
Conclusion
En conclusion, le BYOD est un formidable levier de productivité, mais cela ne veut pas dire qu’il faut faire n’importe quoi n’importe comment.
La mise en place du BYOD est un projet qui se planifie et s’organise comme n’importe quel projet structurant.
Il implique la participation de tous, et l’implication forte de la direction et du RSSI.
Selon la taille de l’entreprise, les enjeux et difficultés ne seront pas tout à fait de la même ampleur, mais les risques sont les mêmes. Ils doivent être adressés avec des outils, des méthodes et des règles et tout cela doit régulièrement être révisé !