BYOD et gouvernance de l’information : que faire ?

To BYOD or not to BYOD - Gouvernance de l'information

Ceci est la suite du précédent article : BYOD et gouvernance de l’information : des dangers

3 – Alors To BYOD or not to BYOD ?

Le BYOD comporte donc des avantages, mais nécessite également plus d’efforts pour maîtriser la disponibilité, l’intégrité, la confidentialité et la traçabilité de l’information, en d’autres termes, pour une bonne gouvernance de l’information.

Gestion de l’information

Le tri de l’information selon sa sensibilité est la première clé de voute d’une approche BYOD afin de pouvoir appliquer l’organisation et les mécanismes techniques adéquats.
La recherche d’informations recouvre trois cercles concentriques, correspondant respectivement à l’information ouverte, dite « blanche », accessible à tous, l’information sensible, dite « grise » et l’information stratégique, c’est-à-dire confidentielle et partie du processus de décision. Il convient donc d’apporter une réponse technique (réseaux dédiés, marquage des données, logiciels sécurité…) et organisationnelle (gouvernance de l’information) permettant de maitriser la recherche ou le cloisonnement d’informations au sein de ces cercles.
Dans une approche BYOD, il parait logique, d’interdire strictement tout stockage ou accès à l’information « stratégique » via des équipements nomades, notamment compte tenu des risques et vulnérabilités exposés précédemment. Le stockage ou l’accès à l’information « blanche » ne pose en revanche pas de problème particulier du fait de son caractère public. Quant à l’information « sensible », toute décision de son accessibilité par les équipements BYOD relève d’une gestion de risques.

Gestion de risques

La deuxième clé de voute du BYOD est la gestion de risques. Il faut déterminer jusqu’à quel point il est acceptable pour l’entreprise de subir une fuite ou une altération de son flux Information. Avec le BYOD, on met fin aux ambiguïtés et on s’attend au pire. En effet, simplement par le fait que l’utilisateur détienne les droits d’administration de son équipement nomade, on comprend aisément que ce dernier ne soit pas maitrisé dans un contexte BYOD. Dans ces conditions, des comportements inadaptés de l’utilisateur peuvent entrainer les pires conséquences sur l’intégrité du dit équipement.
Plusieurs paramètres doivent être considérés dans la gestion de risques BYOD. En priorité, il faut s’intéresser au risque humain. Dans tout dispositif de sécurité, on dépasse largement le cadre de l’informatique et le centre de gravité est le facteur humain. Derrière un ordinateur, un smartphone ou une tablette numérique, il y a un utilisateur et le comportement individuel est le premier verrou de sécurité. Malheureusement, beaucoup n’en ont pas suffisamment conscience. Nous faisons donc face à un paradoxe : alors que la menace est de mieux en mieux perçue dans sa globalité, on constate un accroissement des vulnérabilités informatiques lié à des comportements individuels inadaptés. Une réponse possible est la prise en compte du degré de maturité SSI des collaborateurs de l’entreprise. En fonction de cette maturité (utilisateur et configuration de l’équipement), différents profils d’accès aux informations de l’entreprise peuvent être envisagés. Ceci concerne principalement l’information dite « grise » ou sensible. Une autre réponse est le cloisonnement physique des cercles d’information de l’entreprise. En fait, il n’existe ni réponse unique, ni de « bonne » ou de « mauvaise » réponse pour l’entreprise mais simplement une mise en balance de différents critères : Qu’est-ce que je gagne ? Que suis-je suis prêt à perdre ? Quelles ressources suis-je prêt à investir dans la sécurité ? Dans la gestion de configuration ?

Gestion de configuration

La gestion de configuration est la troisième et dernière clé de voute conditionnant la réussite d’une approche BYOD raisonnée. Il semble utopique de penser faire disparaitre toute gestion de configuration pour les équipements nomades, fussent-ils la propriété des collaborateurs de l’entreprise. L’entreprise doit faire un effort supplémentaire en matière de sécurité informatique nomade en raison de la brèche qu’elle ouvre un peu plus avec le BYOD. Elle doit donc bâtir une sécurité renforcée au niveau de ses interfaces avec le monde nomade et étendre cette sécurité sur les équipements de ses collaborateurs. Toutefois, cette gestion de configuration doit se faire « en douceur ». Il faut conserver l’équilibre gagnant/gagnant entre l’entreprise et ses collaborateurs. En effet, si l’entreprise veut leur imposer le financement d’un « outil de bureau », ils doivent aussi se sentir libre du choix de cet outil.
Une solution est de définir les briques sécuritaires qui bénéficieraient tant au collaborateur qu’à la protection de l’entreprise (antivirus, chiffrement…) et de les acquérir pour lui. Tout utilisateur serait comblé d’être doté gracieusement d’outils professionnels et évalués lui permettant de protéger son équipement et donc son environnement personnel (données bancaires…). En effet, ces outils ont un coût et l’on sait qu’un utilisateur lambda rechigne généralement à investir dans le domaine de la sécurité. Il y a tant de produits gratuits… et fiables ?
La diversité du parc BYOD de l’entreprise requiert de toute évidence une gestion de configuration renouvelée au regard du nomadisme standard. Il ne s’agit plus d’une recherche d’uniformité de la configuration logicielle pour un parc informatique donné et maitrisé mais d’une étude de compatibilité au cas par cas pour une fonctionnalité de sécurité donnée.

Conclusion

Le BYOD présente incontestablement certains avantages et notamment en termes de réduction de postes de dépense (frais de formation, factures téléphoniques, budget équipement). Il induit cependant également d’autres coûts cachés, notamment de par les vulnérabilités SSI qu’il génère et dont l’impact sur le flux Information de l’entreprise peut être important. Ces coûts supplémentaires sont notamment liés à la sécurité et à la gestion de configuration dont le métier évoluera alors probablement vers une veille technologique et une compétence multiplateformes.
Alors, BYOD ou pas BYOD ? En fait, la question n’est pas uniquement économique. Il est certes nécessaire de comparer les coûts engendrés par le nomadisme standard et ceux générés par le BYOD mais la réponse ne pourra raisonnablement être formulée qu’après une prise en compte de la gestion de risques et du flux Information de l’entreprise. Pour ces raisons, le BYOD doit être pris en compte comme une problématique à part entière de la gouvernance de l’information : quelle information, pour quel usage, avec quel risque et pour quel besoin ?
Enfin et au-delà du sujet traité dans cet article, le BYOD soulève une réflexion sur l’évolution des entreprises. En effet, son influence (budgets, temps de travail, gestion de l’information…) pourrait bien à terme modifier les modèles traditionnels que l’on connait aujourd’hui. Projetons ainsi notre réflexion dans le futur : que le BYOD soit un bien ou un mal en soi, son adoption ne forcera-t-il pas, de par les bouleversements qu’il apporte dans l’entreprise, l’émergence de nouvelles technologies ainsi qu’une évolution majeure culturelle et informationnelle ?

About Patrick Larcheveque

Comment marier gouvernance et technologie de l’information en toute raison (cloud, vous avez dit cloud ? et big data, et open data ? et quoi d’autre encore ?) avec pour dote, une société en pleine numérisation ? Le numérique s’invite aujourd’hui dans la plupart des échanges d’information entre êtres humains et il semble bien parti pour en devenir l’acteur incontournable. Un mal ? Un bien ? Nous avons tous notre avis sur la question. Cette réalité, j’ai pu la voir évoluer et l’accompagner avec le recul nécessaire que me procurent mon expertise du monde IT depuis 1986 et un certain tropisme relationnel. Patrick Larchevêque, cadre administratif œuvrant au cœur des problématiques d’échange d’information interministérielles et internationales.

Related posts:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *