Oui au BYOD mais avec ROB ! Les règles de conduites des terminaux personnels.

Le phénomène BYOD (Bring Your Onw Device) en pleine expansion dans nos entreprises pose un problème majeur de sécurité des systèmes d’informations. Selon l'enquête de MARKESS International, 71% des collaborateurs interrogés évoquent utiliser à titre professionnel des solutions non mises à disposition par leur entreprise. Et le CLUSIF (Club de la Sécurité de l'Information Français) se demande comment [les DSI peuvent] exercer un contrôle sur ces appareils personnels puisqu’elles restent responsables de la sécurité du réseau de leur entreprise.

Il existe de nombreux moyens techniques pour sécuriser ces appareils : le déport d’écran et les applications webisés pour éviter le stockage des données sur le terminal, le container réservé aux applications de l’entreprise, les outils de gestion de flotte  (MDM : Mobile Device Management) … 

Mais ces solutions techniques ne peuvent protéger l’entreprise de son risque principal. De fait, toutes les recherches sur la sécurité informatiques ont montré que le point le plus vulnérable des systèmes d'information est …. VOUS (et moi aussi) Bref : l'utilisateur.

Ici encore, le gouvernement américain peut nous servir d’exemple. Dans le cadre de sa stratégie digitale, la Maison Blanche vient de publier un toolkit pour aider les agences fédérales à mettre en œuvre un programme BYOD. Ces directives, basées sur des retours expériences vécues et décrites dans le document sont, bien sûr, destinées à l’administration américaine. Mais elles peuvent également inspirer les entreprises commerciales (même en France) dans leur mise en place de leur politique BYOD.

En particulier, le toolkit donne des exemples de directives publiées par les agences pour informer et éduquer leurs collaborateurs. A la manière des règles de conduites pour utiliser les réseaux sociaux, les ROB (Rules of Behaviour) expliquent les droits et obligations des employés pour accéder aux ressources informatiques de l’agence avec leur smartphone ou PC personnels. En particulier sont évoqués les règles de protection du terminal, le niveau des données qui peuvent être stockés, l’accès aux e-mails, les sauvegardes, l’installation et la mise à jour d’applications tierces…

Voilà un bon point de départ pour mettre en place une stratégie d’accompagnement de ce phénomène incontournable.