Rarement une thématique aura donné aux entreprises une telle occasion de se faire des cheveux blancs. Le BYOD pour Bring Your Own Device (littéralement « apporte ton appareil personnel ») constitue un profond changement de paradigme pour les entreprises. Hier, habituées à fournir des équipements à leurs salariés, les entreprises voient désormais leurs salariés apporter sur le lieu de travail leurs équipements personnels.
Résultat direct de la « consumérisation » de l'informatique et de l'intérêt grandissant du grand public pour les nouvelles technologies, le BYOD place les entreprises dans une posture inédite : prescriptrices hier, elles doivent dorénavant réagir face à l'arrivée de nouveaux appareils et à l'effacement progressif de la limitation entre sphères professionnelle et personnelle. Interrogés sur l'origine du phénomène, les directeurs de service informatique (DSI) et les éditeurs présentent souvent deux populations comme point de départ.
La première, la génération Y, composée de gens nés entre 1980 et 2000, qui ne souhaite pas utiliser les terminaux mis à disposition par leur structure. Souvent détenteurs de smartphone, ils désirent l'utiliser dans le cadre de leur travail. Les cadres d'une entreprise, la deuxième population en question, réclament quant à eux la possibilité de pouvoir se servir de la tablette offerte, par exemple, à Noël pour consulter des e-mails ou avoir accès à leur agenda professionnel. C'est souvent avec ces deux populations que la direction du service informatique doit composer.
Sur le terrain, les entreprises vivent un bouleversement complet de l'ordre établi. L'utilisation des terminaux Blackberry n'avait pas entraîné une telle révolution. Le système canadien, verrouillé, offrait aux entreprises suffisamment de gages sécuritaires pour qu'elles n'éprouvent aucune crainte quant aux sûretés de leur système d'information. L'arrivée en 2007 de l'iPhone puis, par la suite, la multiplication des téléphones intelligents a amené les éditeurs comme les entreprises à faire un autre constat : le futur multi-OS de l'entreprise. Et en l'occurrence, l'obligation d'apprendre à vivre avec de nouveaux environnement parmi lesquels deux incontournables : iOS, le système d'Apple et Android, le concurrent signé Google.
Toutes les entreprises sont concernées
Le BYOD n'est pas uniquement une question que se posent les grands groupes. Toutes les entreprises se la posent. « Ce sont surtout les grosses structures qui mettent en place une politique de BYOD », explique Michel Lanaspèze, directeur marketing de Sophos. « Quand on descend vers les entreprises de petite taille, on constate qu'elles s'interrogent davantage sur l'aspect opportunité, sur la manière dont elles peuvent tirer avantage de la mise en place d'une solution de gestion du BYOD. D'autres entreprises encore souhaitent tirer parti de la mise en place d'une solution de ce type pour rationaliser leur manière de travailler ».De fait, quasiment toutes les entreprises sont confrontées à l'arrivée de deux systèmes, un premier, iOS, installé sur les smartphones et les tablettes du fabricant Apple et un deuxième, Android, porté par le moteur de recherche Google. « Aujourd'hui, nous observons que tous les trimestres, les projets liés aux tablettes concernent à 95% des terminaux sous iOS », explique Florian Bienvenu, vice-président pour l'Europe centrale et du Sud chez Good Technology. « Sur les smartphones, à la fin de l'année 2011, nous avons pu observer que les smarpthones sous Android étaient cependant en nette progression ».
Les DSI n'ont pas vraiment l'embarras du choix. Selon une étude réalisée par l'Ifop et commanditée par Good Technology, plus de 70% des directeurs de service informatique interrogés placent le BYOD dans le « top 3 » de leur priorité. Au CHU de Nancy, le BYOD est très loin d'être un sujet secondaire. « Nous réfléchissons à la manière d'utiliser ces équipements », explique Eric Guefney, responsable réseau et télécoms au CHU de Nancy.
« Il y a une flotte d'iPhones et d'iPad à l'hôpital. Certains veulent faire du pushmail, avoir accès à leurs agendas et à leurs contacts. (...) Nous ne sommes pas contre l'intégration d'une solution de BYOD. Ce que nous souhaitons surtout, c'est être en mesure de retirer les données professionnelles d'un terminal en cas de perte », ajoute-t-il. Au CHU, comme ailleurs, les besoins métiers, forts, poussent les DSI à proposer une solution. « Nous voulons que la solution, lorsqu'elle sera disponible, soit ouverte aux praticiens, à l'ingénierie médicale, au partage de fichiers et à la publication de comptes rendus. (...) Ce qui est certain, c'est que nous allons mettre une plate-forme de BYOD en place dans un futur proche. On ne naviguera pas à contre-courant ».
Seules deux options se présentent aux entreprises : elles peuvent choisir de saisir à bras le corps cette problématique... ou pas. Le DSI peut choisir de bloquer tout accès au service d'information (SI) par des appareils non identifiés. Ce choix peut cependant entraîner un autre type de réaction. « Les geeks s'amusent et trouvent des moyens de contournement », note Michel Lanaspèze. Cette possibilité n'est pas sans risques. « Le premier danger, c'est l'entrée dans le SI sans contrôle, sans information sur la personne qui se connecte ».
Entre l'échange d'e-mails internes et de documents confidentiels, le vol ou la perte d'un smartphone ou d'une tablette peuvent s'avérer désastreux pour une entreprise. « Dans les entreprises de moyenne taille, 2/3 de la propriété intellectuelle se trouve stockée dans les messages », poursuit le responsable.
Dans le deuxième cas de figure, les DSI choisissent de gérer le BYOD en offrant aux salariés la possibilité de consulter une partie de leurs données professionnelles depuis leur terminal personnel. En la matière, Loïc Dayot, DSI de la mairie de Joinville-le-Pont (Val de Marne) a opté pour une approche un peu plus « artisanale ».
« Nous ne gérons pas les appareils apportés par les utilisateurs. Cependant nous leur fournissons les informations nécessaires pour qu'ils puissent faire la configuration eux-mêmes. (...) Pour qu'ils puissent se connecter sur le SI de la mairie, les appareils doivent passer le réseau WiFi public. (...) Avec leurs smartphones et leurs tablettes, ils ont accès à la messagerie et à l'agenda », indique-t-il. Le choix du DSI de cette municipalité n'est cependant pas majoritaire. Les entreprises sont aujourd'hui nombreuses à penser à l'intégration d'un outil de gestion du BYOD « pur et dur ».
Quelle solution adopter ?
Le phénomène est connu aujourd'hui. Les entreprises, loin d'être laissées à leur sort, disposent aujourd'hui d'une batterie de solutions adaptées à leurs besoins. Une bonne partie des outils proposés se concentrent désormais bien plus sur les données que sur le terminal et son écosystème.La solution RES Hyperdrive de RES Software « propose le même usage sur tous les appareils » assure Marc-Olivier Couderchet, directeur des ventes partenaires chez RES Software. La solution de l'éditeur offre aux différents terminaux un accès direct aux données de l'entreprise. « C'est une sorte de cloud privé », résume-t-il, « un cloud qui a ses avantages. Les utilisateurs peuvent avoir le terminal qu'ils souhaitent. Ce que nous proposons c'est uniquement un accès aux données professionnelles. (...) Si un utilisateur quitte l'entreprise, les données restent, tout est maîtrisé ».
Des acteurs comme AT&T et RIM (Blackberry) proposent quant à eux une approche assez semblable. Dans un cas comme dans l'autre l'utilisateur conserve son terminal. L'opérateur américain dispose dans son catalogue d'une solution appelée « Toogle ». Cet outil permet de scinder virtuellement le téléphone en deux parties, une pro et une perso. Complètement étanches, les données d'un environnement ne peuvent migrer vers l'autre.
Le constructeur canadien dispose d'un outil identique, « Balance », uniquement destiné aux terminaux Blackberry. Le dispositif est identique à celui présenté précédemment. « Cette solution cloisonne les deux univers dans un seul et même combiné. Les gens qui possèdent des devices personnels veulent y ouvrir leurs e-mails professionnels. Des gens qui ont un device professionnel souhaitent installer les applications pages jaunes et voyages sncf.fr. C'est précisément à ces personnes que nous voulons nous adresser. Avec Blackberry Balance, on peut interdire l'envoi d'un SMS pro vers un e-mail perso », explique Médéric Leborgne, directeur technique chez RIM.
Blackberry Balance a, au cours de ces derniers mois, été intégrée à la plus récente solution du canadien : Blackberry Mobile Fusion. Cette solution, plus ouverte que Blackberry Balance, offre au DSI la possibilité de gérer les terminaux sous différents environnements (Blackberry, iOS et Android) depuis une seule et même plate-forme.
Davantage connu pour ses solutions de sécurisation du réseau, le spécialiste de la sécurité propose lui aussi aux entreprises une solution de gestion du BYOD. « Nous sécurisons autant le smartphone et la tablette que le réseau, les sites web et les passerelles de messagerie. Nous travaillons avec une partie logicielle et matérielle, le tout piloté de manière centralisée. (...) La sécurité est à tous les niveaux », détaille Yann Pradelle, vice-président régional Europe du Sud et Afrique chez Fortinet.
Les directions informatiques peuvent également, si elles le souhaitent, sécuriser les applications métiers utilisées par les utilisateurs et de cette manière, limiter les risques de pertes de données ou d'intrusion. C'est ce type de dispositif qu'offre l'éditeur Good Technology. « Good Dynamics a été étudié pour développer les applications et les protéger. Pas moins de 70% des DSI veulent sécuriser leurs données », plaide Florian Bienvenu.
Sophos s'appuie quant à lui sur l'existant. « Notre postulat de base, c'est d'utiliser ce qui est disponible nativement pour les administrer d'une manière centrale », précise Michèle Lanaspèze. La solution Sophos Mobile Control 2.5 embarque une console d'administration en ligne. Parmi d'autres options, la plate-forme permet notamment de déconnecter un terminal lorsque le propriétaire quitte l'entreprise. « Nous fournissons aux DSI les moyens d'imposer simplement une politique sécuritaire et de la mettre en place ».
Les entreprises peuvent également choisir de « verrouiller » leurs applications métiers en proposant le téléchargement depuis un kiosque d'application interne. « Les entreprises peuvent gérer les applications et les modifier à leur guise, on est dans une bulle », assure Marc-Olivier Couderchet. Hewlett-Packard propose une solution identique. Lancée au mois de mai dernier, la solution HP Enterprise Mobile App Store permet aux entreprises d'installer dans un kiosque d'application privé ses propres applications métiers, ces dernières étant développées par la structure elle-même à l'aide des kits de développement fournis par les éditeurs. Ce dispositif offre à l'entreprise la possibilité de maîtriser de bout en bout le cycle de vie d'une application.
Quand RH et DAF entrent dans la danse
Les DSI ne sont plus les seuls à être concernés par le BYOD. Au sein des entreprises, d'autres services observent ce phénomène avec attention : les ressources humaines (RH) et les directions des affaires financières (DAF). L'implication des RH découle d'un phénomène logique : disposer d'un outil de gestion du BYOD dans une entreprise peut être utile pour la gestion du personnel. « Chez les grands comptes, les services RH sont dans la boucle », confirme Médéric Leborgne. « On a connu ça dans les débuts du smartphone dans les entreprises. Pour le BYOD, c'est un phénomène bien réel ».
Le BYOD joue également un rôle dans les recrutements. « Sur les grandes entreprises du CAC 40, ça permet de retenir les talents et d'en attirer d'autres. (...) Environ 50% des cadres voient les tablettes comme un moyen de se valoriser », analyse Florian Bienvenu. De fait, le BYOD n'est plus seulement vécu par les entreprises comme un défi technique mais comme un moyen de donner de son entreprise l'image d'une structure en prise directe avec son époque et en mesure de respecter les aspirations de ses salariés.
La problématique posée par le BYOD est quasiment identique à celle posée il y a quelques années par les réseaux sociaux et leur utilisation en entreprise. Commentant l'impact des réseaux sociaux sur l'entreprise, le responsable d'une entreprise spécialisée en logiciel de sécurité indiquait qu'un jeune diplômé américain pouvait claquer la porte d'une entreprise si cette dernière lui interdisait de se connecter sur son réseau social préféré.
Les directions financières observent également le BYOD par la lorgnette qui est la leur : les dépenses. « Pour les directions financières, BYOD signifie Buy Your Own Device (achète ton propre appareil, Ndr.) », précise, non sans malice, Florian Bienvenu. Cette posture présente deux avantages. Premièrement, les entreprises ne dépenseraient plus d'argent pour équiper leurs salariés. Face aux dépenses consenties hier pour constituer des flottes, les structures voient aujourd'hui arriver un nombre grandissant de salariés avec leurs propres terminaux.
Deuxièmement, les entreprises ne paieraient plus de forfaits pour leurs salariés. La multiplication des forfaits à destination du grand public avec d'importants volumes de données pourraient pousser certaines entreprises à ne plus proposer d'abonnements mobile à leurs salariés. La réflexion est encore plus poussée au sein de certaines entreprises. « Un client nous a demandé de lui indiquer le taux d'utilisation électrique d'un appareil pour ne pas à avoir à payer plus qu'il ne doit », glisse Médéric Leborgne.
Dans une période au cours de laquelle PME ou grands comptes sont très attentifs à leurs dépenses, la question financière séduit. D'autant plus qu'elle taraude également les DSI. Une anecdote du responsable de RIM illustre cette interrogation : « J'ai récemment discuté avec un DSI qui me disait qu'intégrer une solution de BYOD n'était pas rentable », preuve que la question de la rentabilité n'est pas uniquement abordée par une seule division au sein de l'entreprise.
Certains acteurs mettent cependant en garde les entreprises tentées par cette approche. « Les entreprises ne paieraient pas d'abonnement, certes, mais nous ne le recommandons pas, même s'il y a des gains financiers évidents. La dépense ne doit pas être le seul moteur pour les entreprises », avertit Florian Bienvenu. Rien pour le moment ne permet d'affirmer que le BYOD est plus économique. Entreprises et éditeurs cherchent davantage à établir des modèles qui permettront de calculer l'économie réalisée à la suite de l'intégration d'une solution de gestion des terminaux personnels.
Des avantages et des inconvénients, conclusion
A défaut d'antériorité sur le phénomène, les différents acteurs du marché tentent de mettre en lumière les avantages et les inconvénients du BYOD. L'aspect économique - auquel les directions financières attachent une grande importance - figure bien évidemment au sommet des thématiques observées par les entreprises. Cependant, ce n'est pas le seul.La question de la productivité entre également en ligne de compte. L'utilisation d'un terminal personnel pousse, inconsciemment ou pas, à travailler davantage. « L'étude que nous avons menée souligne que les cadres travaillent dix à douze heures de plus », détaille Florian Bienvenu. « En fait, entre les salariés et les entreprises se noue un nouveau contrat tacite. Le salarié peut avoir ses activités personnelles : il peut aller à la banque ou voyager comme il le souhaite. En contrepartie, on lui demande de regarder ses e-mails professionnels ».
Le BYOD permet également à l'entreprise d'envoyer à ses clients une image d'entreprise plus moderne, notamment à travers l'usage que font des tablettes certains employés. « Les entreprises veulent utiliser des applications (...) métier pour permettre de gérer leur relation avec le client final et donner une image innovante. En clair, cela permet de numériser la relation avec le client », poursuit-il.
Le BYOD n'a cependant pas que des aspects positifs. La plus grande difficulté est sans aucun doute légale. La grande majorité des solutions présentes sur le marché permettent d'effacer à distance les données présentes sur un terminal si celui-ci vient à être perdu ou volé. Cependant, qu'en est-il au regard de la loi ? « Aujourd'hui, il est difficile à un DSI de prendre le contrôle sur le terminal d'un salarié », note Marc-Olivier Couderchet. Un avis partagé par Florian Bienvenu : « Ce sujet soulève des problèmes légaux. En la matière, on doit respecter les données privées ».
Loin d'être réglée, la question de la mise en place d'un cadre légal, complexe, suscite également des interrogations chez un autre acteur : la Commission Nationale de l'Informatique et des Libertés. « En France, c'est la CNIL qui gère la question des données privée », acquiesce Médéric Leborgne. « En fait, toute la complexité, c'est de gérer le pro et le perso sur un même appareil ». Cette difficulté laisse certaines entreprises sur la défensive. « Elles ne veulent pas se retrouver au tribunal si elles effacent les données d'un salariés (...) En tant qu'entreprise, a-t-on le droit d'effacer des données personnelles sur un appareil que vous n'avez pas fourni ? » La question reste, pour Médéric Leborgne, entière.
La France n'est pas le seul pays concerné par cette problématique. Aux Etats-Unis, vingt-neuf entreprises ont été mises en garde par le Congrès car elles ne respectaient pas la loi sur la protection des données des salariés. Malgré tout, selon Médéric Leborgne, « les choses sont plus souples en Amérique du Nord ». Au contraire, en Allemagne, pays où la loi est plus stricte qu'en France, la mise en place d'un aménagement légal permettant aux entreprises d'avoir accès aux données des salariés n'est pas à l'ordre du jour.
La casse ou la panne de l'appareil pose également un autre problème, au moins aussi épineux. Le terminal, acheté par un salarié peut être cassé, notamment dans le cadre de son activité professionnelle. Difficile de dire qui doit payer dans ce cas. « Qui est responsable ? Quelle est la procédure ? », s'interroge Marc-Olivier Couderchet. Est-ce à l'entreprise de payer la réparation, voire le rachat du terminal ? « La question reste ouverte. Il faut établir clairement à quel moment s'arrête la responsabilité de l'utilisateur et où débute celle du DSI. Dans ce type de cas de figure, il faudra s'assurer que quelqu'un s'en occupe ».
Les entreprises françaises disposent donc d'une marge de manuvre suffisante et propre à faciliter l'émergence de « bonnes pratiques » au sein des entreprises. Les entreprises travaillent d'ores et déjà sur des « chartes mobile ». « Le problème est bien réel. Il va falloir mettre en place des solutions normées pour y répondre. (...) A l'avenir, le salarié va signer une charte de bonne conduite », prévoit Cédric Dervaux, responsable de la division mobilité et interactivité chez SCC. « Une personne qui utilisera son propre terminal en entreprise devra éviter de consulter des contenus pornographiques ou de se rendre sur des sites faisant la promotion du terrorisme. (...) Les entreprises cherchent à contrôler les usages pour éviter les abus. Quand Internet s'est développé, les entreprises ont ajouté des avenants aux contrats de travail. Avec le BYOD, le même phénomène se produit. Les structures veulent que ce type d'usage soit cadré ».
Conclusion
Le BYOD n'est pas un feu de paille. Le phénomène, qui tire sa force d'une consumérisation des nouvelles technologies grandissante, va s'amplifier dans les prochaines années. Editeurs et équipementiers, n'ont pas chômé, au contraire. Il existe pléthore de solutions sur le marché. Conscientes de l'importance de l'enjeu, de nombreuses entreprises hésitent encore à sauter le pas.
Les directions informatiques, par ailleurs, ne sont plus seules à se soucier de l'impact de cette puissante lame de fond. Les RH et les directions des affaires financières s'intéressent elles aussi au phénomène pour de toutes autres raisons, certes. Cependant, ni l'aspect sécuritaire, ni l'aspect financier ou d'image ne permettent aujourd'hui de répondre à une question de plus en plus fréquente : qui est responsable en cas de perte, de vol ou de casse ?
Personne n'est pour le moment capable de fournir une réponse claire. Les entreprises et les collectivités travaillent par ailleurs sur des chartes pour éviter les « abus ». Délimiter clairement le périmètre des responsabilités de l'entreprises ou du salarié reste, à n'en pas douter, l'un des chantiers auquel les structures devront s'atteler.