BYOD : définition, avis de la Cnil et avantages
Qu'est-ce que le BYOD ?
Selon la CNIL, l'acronyme "BYOD" qui signifie "bring your own device" (apportez votre équipement personnel de communication) correspond à l'usage d'équipements informatiques personnels dans un contexte professionnel. Cela peut se traduire par exemple par l'utilisation par un salarié de son propre ordinateur pour se connecter au réseau de l'entreprise. Dans de nombreuses sociétés, cette pratique est très encouragée. Elle est aussi assez encadrée afin que chaque utilisateur puisse avoir accès aux réseaux dans les meilleures conditions, tout en garantissant la sécurité de ces réseaux. C'est donc une philosophie de management qui consiste à organiser l'utilisation des appareils électroniques privés pour des besoins de l'entreprise. Elle permet à l'employé d'avoir accès à un plus large choix d'outils et à l'entreprise d'identifier les besoins de chaque employé ayant accès au réseau.
Avec le développement de l'Internet des objets et la prolifération des objets connectés, le BYOD devient une pratique présentant un véritable risque de sécurité pour les réseaux de l'entreprise. Cette pratique est l'une des origines du shadow IT qui, aujourd'hui, peut être perçu comme une opportunité, mais également comme un véritable risque.
BYOD : que dit la CNIL ?
La CNIL formule des recommandations concernant le BYOD notamment pour la protection des données personnelles. L’employeur est responsable de la sécurité des données personnelles de son entreprise. Cette responsabilité joue également lorsque ces données sont stockées sur le matériel informatique personnel du salarié. L'employeur doit donc prendre les mesures nécessaires contre les risques relatifs à la confidentialité des données, aux intrusions, aux virus.
Pour réduire ces risques, la CNIL recommande de :
- identifier les risques ;
- estimer les risques en termes de gravité ;
- fixer les moyens à mettre en oeuvre pour prévenir ces risques et les exposer dans une politique de sécurité.
BYOD et RGPD
Avec la mise en place du RGPD, la pratique du BYOD est de plus en plus encadrée et implique chez l'employeur de revoir l'ensemble de sa politique organisationnelle. Choisir de pratiquer le BYOD nécessite de remplir un ensemble de bonnes pratiques pour respecter le nouveau règlement européen sur la protection des données personnelles.
Dans la charte utilisateur ou la politique de sécurité, l'employeur doit notamment préciser de nouveaux points, à savoir :
- quels sont les appareils éligibles au BYOD ;
- quelles sont les conditions d'utilisation de ces appareils ;
- quelles applications, quels logiciels peuvent être utilisés via un matériel personnel ;
- quels documents sont accessibles par le biais d'un appareil personnel.
En vertu du RGPD, l'employeur est également tenu de former ses salariés. Ces derniers doivent être en mesure de savoir utiliser des supports amovibles de stockage cryptés et sécurisés, d'installer un antivirus à jour ou encore de faire des mises à jour. La mise en place du RGPD est également l'occasion pour les employeurs de revoir leur charte utilisateur pour préciser notamment quel est le processus à mettre en place en cas de vol ou de perte d'un appareil privé ou encore quelles sont les procédures à accomplir lorsqu'un salarié quitte l'entreprise.
BYOD : avantages et inconvénients
Le principal avantage du BYOD est de permettre à l'employeur de réduire ses coûts de fonctionnement. En effet, en apportant son matériel personnel pour travailler, le salarié permet à l'employeur de ne pas avoir à acquérir des appareils pour équiper ses salariés. Le BYOD offre également la possibilité d'avoir une gestion plus simple du travail. Le salarié reste joignable, il peut travailler en dehors des heures d'ouverture, il peut travailler en télétravail. Enfin, le BYOD engendre une qualité de travail plus importante. En effet, les salariés ont la connaissance de l'appareil qu'ils utilisent. Il sera plus aisé de les former sur des nouveaux logiciels via un appareil qu'ils maîtrisent. En outre, l'utilisation du téléphone personnel pour le travail peut permettre à l'employeur de bénéficier d'allègement de charges.
A l'inverse, le BYOD présente un inconvénient majeur en matière de protection des données personnelles. En effet, en utilisant son propre appareil, le salarié stocke des données qui sont personnelles à l'entreprise. L'employeur doit donc mettre en Oeuvre des mesures destinées à protéger et à récupérer ces données notamment en cas de perte ou de vol du matériel ou en cas de départ du salarié.
Les risques du shadow IT
Le shadow IT a fait son apparition suite au boom du BYOD. Il est né du besoin des employés communiquant entre eux via leur propre appareil d'utiliser des systèmes d'information et des applications informatiques non homologués par leur DSI (Direction des systèmes d'information). Bien que ce développement de réseau informatique parallèle ait pour but d'optimiser la communication entre salariés dans un cadre professionnel, il fait courir à l'entreprise de grands risques. Avec la présence du cloud, les employés s'adonnent parfois à certains abus en se permettant de tout stocker. Le risque de sécurité dans ces conditions est très grand. Il peut en effet y avoir des fuites de données, l'utilisation non autorisée de certains documents pour frauder et la violation de certaines règles de conformité. On note par ailleurs un risque d'incidents de cybersécurité de plus en plus élevé. Une autre source de risque provient du fait que le shadow IT et le BYOD laissent les DSI dans l'incapacité d'évaluer le véritable risque de cyberattaque auquel elles sont exposées. La plupart des cyberattaques sont aujourd'hui liées aux actions d'un actuel ou ancien salarié de l'entreprise. Dans le shadow IT, la menace, c'est l'employé.
Le cas dans la santé
Dans le domaine de la santé, l'usage du cloud et les abus liés au shadow IT menacent la sécurité des données des patients, censées être confidentielles. Malgré la réglementation des services du cloud en lien avec les données de santé, de nombreux employés introduisent des applications en mode SaaS, sans l'autorisation des services informatiques. En effet, en France, plus de 90 % des services cloud dans le secteur de la santé relèvent du shadow IT. En conséquence, 53 % des services de santé ont connu un incident lié à la sécurité des données et ayant une source interne.