À l’heure de l’hyperconnectivité où les français passent en moyenne 32 heures sur leurs smartphones par semaine, les entreprises y voient une opportunité d’accroître la productivité de leurs employés. En effet, à travers la politique du BYOD (« Bring Your Own Device ») ou AVEC en français (« Amenez Votre Équipement personnel de Communication »), les entreprises cherchent à tirer profit de cette utilisation accrue des outils personnels. Toutefois, il y a lieu de s’interroger sur les bienfaits du BYOD, notamment d’un point de vue de sécurité des systèmes d’information.
- Le BYOD, une nouvelle manière de travailler
L’idée du BYOD est de permettre à l’employé d’utiliser son appareil personnel (smartphone, tablette, ordinateur, etc.) dans un contexte professionnel. Cela implique donc de laisser l’employé se connecter au réseau local de l’entreprise, d’accéder au système d’information ainsi qu’aux données professionnelles. Par ailleurs, cela signifie aussi que l’employé a la possibilité d’emporter toutes ces données chez lui.
Concrètement, le BYOD signifie pour l’employé qu’il pourra, sur son appareil personnel :
- Ouvrir des mails professionnels ainsi que son agenda
- Travailler à domicile via le serveur ou l’intranet de l’entreprise
- Répondre à des appels d’ordre professionnel
- Télécharger des applications à destination professionnelle ou développées par l’entreprise
En tant que responsable, l’employeur doit, selon l’article R4321-1 du Code du Travail, mettre en place les moyens nécessaires à l’exécution des tâches professionnelles incombant à ses employés. En ce sens, il appartiendra à l’employeur d’autoriser ou non le BYOD puisque rien ne l’interdit.
Par conséquent, force est de constater que le BYOD peut présenter de nombreux avantages, notamment à l’aune de la démocratisation du télétravail.
- Les avantages liés au BYOD
Le BYOD séduit les entreprises pour l’augmentation de la productivité qui y est directement liée. En effet, selon Salesforce, la productivité d’un « employé BYOD » serait de plus de 240 heures supplémentaires par an. De plus, selon Cisco, ce sont quasiment 350$ (320€) par an et par employé qui peuvent être économisés lorsque les employés rapportent leurs propres appareils au lieu d’utiliser ceux mis à disposition par l’entreprise.
Les entreprises ayant recours au BYOD affichent aussi une image innovante. Toujours selon Cisco, près de 70% des experts en informatique estiment que le BYOD est une bonne chose.
Les avantages pour les employés sont aussi intéressants. Précisément, le BYOD contribue à une hausse du moral de l’employé, à une réduction du nombre d’appareils à manipuler ainsi qu’à plus d’autonomie. Certaines entreprises proposent même des compensations financières pour l’utilisation du BYOD.
Toutefois, l’utilisation du BYOD n’est pas dénuée de risques pour l’entreprise.
- Des risques inhérents au BYOD
Au regard de l’utilisation croisée des appareils électroniques, de nombreuses atteintes peuvent être faites :
- Atteinte à la disponibilité, c’est-à-dire la perte d’accès à une application, un système, une donnée. Cela peut arriver suite à des rançongiciels, des cyberattaques bloquant l’accès à des données en attendant le paiement d’une rançon.
- Atteinte à l’intégrité, signifiant que les données ont pu subir des modifications non autorisées. Les données ne sont plus fiables, plus complètes, voire plus correctes.
- Atteinte à la confidentialité, résultant en des attaques cherchant à intercepter des communications ou des informations confidentielles. Le risque du BYOD est donc qu’un employé peu attentif laisse son appareil personnel se faire contaminer par un virus.
- Compromission générale du système d’information avec des cyberattaques généralisées.
L’employeur est responsable de la sécurité de toutes les données personnelles de l’entreprise selon l’article 32 du RGPD. Cela vaut même pour les données qui sont stockées sur des appareils dont il n’a pas la maîtrise juridique ou physique, mais en a autorisé l’utilisation.
Généralement, les entreprises mettent en place une politique de sécurisation afin de réduire les risques liés à cette pratique. Cependant, selon Trustlook, elles ne sont que 39% à disposer d’une telle politique.
Dès lors, la CNIL a formulé des recommandations pour réduire les risques en proposant aux entreprises souhaitant implanter le BYOD d’identifier les risques en amont et de formaliser les mesures de sécurité. En ce sens, il est proposé de :
- Créer une bulle de sécurité en délimitant les contenus professionnels autorisés
- Contrôler l’accès avec une authentification forte
- Chiffrer les flux d’informations à l’aide de VPN (Virtual Private Network)
- Mettre en place une procédure en cas de panne ou perte de l’appareil (effacement des données à distance)
- Exiger des mesures de sécurité de base (mot de passe robuste, antivirus, etc.)
- Sensibiliser les employés grâce à des formations
- Développer un plan de départ BYOD des employés
De plus, il s’agit de concilier le BYOD avec le respect de la vie privée de l’employé. Il est donc interdit de bloquer ou restreindre l’utilisation de l’appareil dans un cadre privé (article L.1121-1 Code du travail). L’employeur ne peut pas non plus accéder au contenu privé de l’appareil (article L.1222-4 Code du travail).
Aux États-Unis, le non-respect des règles de sécurité a contraint une société à payer une amende d’1,5 million de $ (1,37 million d’euros) suite à la perte d’un ordinateur par un de ses docteurs contenant toutes les données personnelles des patients.
De ce fait, certaines entreprises ont plutôt recours au CYOD (« Choose ») où l’employé peut choisir son appareil sur un catalogue approuvé par l’entreprise. D’autres préfèrent le COPE (« Corporate owned, personnaly enabled ») où l’appareil appartient à l’entreprise mais peut être utilisé pour un usage personnel.
Le BYOD a vocation à devenir de plus en plus présent puisqu’il concilie productivité et économies. Cependant, il faudra s’assurer du respect de nombreuses règles de sécurité afin de permettre à l’employé et à l’entreprise d’évoluer sereinement avec le BYOD.
Léonard Simoens
M2 Cyberjustice – Promotion 2023/2024
Sources :
- https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques#:~:text=L’acronyme%20%C2%AB%20BYOD%20%C2%BB%20est,personnels%20dans%20un%20contexte%20professionnel.
- https://www.vmware.com/fr/topics/glossary/content/bring-your-own-device-byod.html
- https://techjury.net/blog/byod-stats/
- https://www.digiforma.com/definition/byod/
- https://fr.wikipedia.org/wiki/Bring_your_own_device