BYOD

De Wiki SIO EDM
Aller à : navigation, rechercher

Auteur.png Cet article ne respecte pas les règles d'usage en matière de droits des auteurs


Sources : En savoir plus sur http://www.lesechos.fr/idees-debats/cercle/cercle-89793-le-byod-et-la-securite-informatique-des-entreprises-1003449.php?5pxXewu80hGlx1xX.99


Le BYOD : Le système BYOD, Bring Your Own Device (apportez vos propres appareils), est le fait de travailler sur son propre matériel permet d’être plus à l’aise. L’un des atouts du BYOD réside dans la mobilité des terminaux, ce qui permettrait aux salariés de continuer à travailler et à s’avancer sur leur temps personnel et ainsi accroître leur productivité. Le BYOD favorise également l’utilisation de matériel plus récent et donc plus performant, source également d’une plus grande productivité pour les salariés. Mais la mise en place du Bring Your Own Device pose un problème majeur au niveau de la sécurité. Tous les types de terminaux apportés par les salariés ne sont pas toujours protégés ni contrôlés par l’entreprise alors que des données confidentielles y seront consultées et traitées…


Les enjeux pour les entreprises et les administrateurs systèmes & réseaux

Voici les liens utilisé pour tout informations concernant l'article:

http://www.lesechos.fr/idees-debats/cercle/cercle-140369-les-entreprises-sont-elles-pretes-a-securiser-leurs-objets-connectes-1160789.php?6y8DolkdORZ0jgA9.99

http://www.lesechos.fr/idees-debats/cercle/cercle-140369-les-entreprises-sont-elles-pretes-a-securiser-leurs-objets-connectes-1160789.php?6y8DolkdORZ0jgA9.99

https://blog.kaspersky.fr/byod-ce-quil-faut-savoir/1132/


Les entreprises sont-elles prêtes à sécuriser leurs objets connectés?

85% des entreprises accepteront un certain niveau de BYOD d'ici 2020. 60% des employés utilisent un appareil personnel pour effectuer des tâches professionnelles. 37% déclarent ainsi être susceptibles de partager un mot de passe avec leur famille. 48% des employés admettent qu'ils n'ont pas changé leur mot de passe au cours du mois précédant l'enquête...

Et pourtant, en cas de fuite de données, seul 1 employé sur 10 s'estimerait responsable, les collaborateurs préférant incriminer le service informatique, voire les cadres dirigeants!

Selon Michaël Bittan c'est un risque de s’exposer à des menaces de plus en plus nombreuses comme : -la perte de confidentialité des données -la fuite de donnée -sabotage et autres contrainte

Autrement dis le Système d’information est compromis.

La solution envisageable serait de Dépasser les seuls enjeux techniques

-Déployer des infrastructures réseau dédiées -ne pas les connecter sur le réseau existant assurer l’étanchéité des systèmes -Mettre en place des systèmes d’authentification -L’achat et le déploiement des objets connectés devront eux aussi être gérés dans la stratégie de l’entreprise

Quelques études réalisées ces dernières années tentent de répondre à ces questions.L’étude du constructeur américain indique ainsi que les gains de productivités sont de :

81 minutes aux USA 51 minutes au R-U 35 minutes en Inde 34 minutes au Brésil 17 minutes en Chine 4 minutes en Allemagne

Il faut toutefois tempérer toutes ces données. Si les gains en Allemagne sont plus faibles qu’ailleurs, c’est aussi parce que les salariés allemands avaient déjà une productivité supérieure aux autres pays. Le potentiel en terme de gain de productivité est donc moindre. Et il ne serait guère étonnant que la France soit exactement dans la même situation.

Clearswift a dirigé une étude qui adopte une vision globale des incidents liés à la sécurité de l’information et a révélé que 83% des organisations sondées ont déclaré avoir subi une violation de données ces 12 derniers mois. 58% des incidents proviennent de l’intérieur de l’organisation plutôt que de cybercriminels externes – les coupables étant les employés, les ex-employés et les partenaires de confiance : des gens comme vous et moi. L’étude a révélé que 72% des organisations éprouvent des difficultés à suivre les changements du paysage de la sécurité L’un des changements majeurs concernant aussi bien les pratiques des entreprises que les risques pour celles-ci est l’utilisation de plus en plus courante de la politique « Bring Your Own Device »

Les trois menaces BYOD les plus importantes sont :

1) L’utilisation d’appareils USB ou de stockage par les employés

2) Les erreurs humaines involontaires

3) Les employés qui envoient de e-mails professionnels via leurs messageries électroniques personnelles.

Cependant, il ne serait pas juste de rejeter uniquement le blâme sur les employés s’ils sont encouragés à adopter le BYOD. Environ un tiers (31%) des organisations gère le BYOD de manière proactive, alors que 11% le rejette complètement. Les entreprises qui rejettent l’utilisation du BYOD pourtant 53% ont déclaré que leurs employés utilisaient le BYOD sur les réseaux de l’entreprise que cela soit sanctionné ou non. La responsabilité revient donc à l’entreprise qui doit gérer l’utilisation de ses réseaux plutôt que de faire l’autruche et de faire comme si rien ne se produisait. ''Guy Bunker''

Avec le BYOD, on a la possibilité d’être le soir chez soi, de "liker" une photo d’un ami et en même temps de répondre à un client.

À côté de ses avantages -le BYOD génère inévitablement une certaine pression sur les administrateurs système -L’hétérogénéité du parc informatique et des applications utilisées requiert des spécialistes selon chaque type d’appareil -De même, la sécurité et la confidentialité des données et de leur échange feront l’objet d’une attention accrue du département informatique.

Le compromis idéal pour une PME sera alors une politique BYOD couplée à une solution cloud adaptée au métier de l’entreprise.

Le BYOD constitue-t-il une menace pour les réseaux d'entreprise ?

une simple vulnérabilité les concernant peut se transformer en quelque chose de bien plus préoccupant

•accéder à des fonctions de travail collaboratif entre employés (messagerie instantanée, partage de connaissances) ; •accéder à des fonctions d’authentification pour des accès physiques et logiques. donc •la perte d’un objet connecté ayant enregistré en mémoire des données sensibles ; •des malwares résidant sur les objets connectés, qui peuvent facilement siphonner des données et d’autres informations vers d’autres équipements •des attaques de « phishing » peuvent récupérer le code PIN d’un objet connecté, qui peut ensuite être utilisé pour accéder à des données sur d’autres équipements personnels ou d’entreprise.

Dès lors, pour réduire les risques associés aux objets connectés pour son entreprise:

•rédiger une politique de sécurité fixant les règles d’utilisation des objets connectés au sein de votre entreprise et la faire connaître en interne, afin que tous la comprennent et l’appliquent ; •imposer des mots de passe non triviaux (1234 ou 1111 par exemple) sur les objets connectés accédant aux données d’entreprise ; •s’assurer que les pertes ou vols d’objets connectés sont notifiés immédiatement ; •éduquer les utilisateurs à reconnaître et à signaler les attaques par harponnage ciblant les objets connectés.

Par Nil Sanyas pour Bring it on | Vendredi 15 Janvier 2016

Et si les applis de rencontre utilisées par vos collaborateurs mettaient en danger votre SI? Flexera Software a mené une étude sur ce sujet.

Retrouvez cet article sur : www.decision-achats.fr - "Saint-Valention: BYOD et applis de rencontre"

vos collaborateurs utilisent souvent leurs terminaux personnels pour des activités professionnels, ou inversement. Et, par la même occasion, mêlent, sans forcément en avoir conscience, les données de l'entreprise à leurs informations personnelles. L'éditeur de logiciels Flexera Software s'est penché sur le cas particulier des applis de rencontre. Grindr, Tinder, Blendr et autre OKCupid présentent-ils un risque pour votre SI lorsqu'ils sont installés sur des appareils mobiles à usage professionnel? Selon l'enquête de Flexera Software, les fonctionnalités et comportement de la plupart de ces applications pourraient aller à l'encontre des politiques BYOD des entreprises. Ainsi, 88% des 25 applis étudiées par l'éditeur peuvent accéder aux services de géolocalisation des appareils. Pire, 24% ont accès aux carnets de contact enregistrés sur le terminal. Aucune distinction n'est établi entre contact pro et perso: votre fournisseur sera sans doute ravi de savoir quels sont vos collaborateurs qui cherchent l'âme soeur!

Aspect juridique du BYOD

Source : http://www.zdnet.fr/actualites/byod-un-gros-risque-juridique-pour-l-entreprise-39785202.htm

Le risque du BYOD, au delà de l’aspect sécuritaire, est juridique. Un exemple, une société de logiciel vient d’entrer dans un « drame » juridique après avoir nettoyé le terminal personnel d’un de ces anciens collaborateurs. L’employé a transigé pour une grosse somme. Les tribunaux américain et australien sont en faveur des employés au détriment des entreprises. Encore plus « drôle », dans certains cas, les entreprises peuvent être forcé de donner des documents aux autorités dans le cadre de poursuite juridique. Si un appareil est nettoyé à distance … il n’y a plus de documents du tout. Ce défaut de présentation de documents représente un énorme risque. Au final Ce qui ne change malheureusement pas grand-chose à la problématique des données personnelles. Celle-ci est un risque majeur pour le BYOD en entreprise. Il n’y a malheureusement pas de bonne solution. Ne pas bouger est un risque. Bouger est un risque.

BYOD : un défi juridique à anticiper

A l’heure actuelle, aucun texte légal ou réglementaire n’encadre cette pratique la jurisprudence sur le BYOD n’est pas encore construite c'est un vide juridique ! Le BYOD soulève de nombreuses problématiques juridiques qu’il conviendra d’appréhender à la lumière du droit positif. Existe-t-il un moyen d’encadrer et de sécuriser la pratique du BYOD ? En anticipant les risques juridiques liés à cette pratique ; En encadrant les règles applicables au sein de l’entreprise. Le BYOD est au coeur : Propriété intellectuelle Droit du travail Atteintes à la vie privée Sécurité des systèmes / confidentialité

Apporter son propre matériel en entreprise comporte des risques en termes de respect des droits de propriété intellectuelle des tiers. Le BYOD entraîne aussi, et surtout, des risques en termes de : sécurité des SI ; atteintes à la confidentialité des données de l’entreprise. Risques pour l’entreprise : Risque de coupure des services SI implique une discontinuité du service  une baisse de productivité ; Atteinte aux données confidentielles de l’entreprise  éventuelle mise en jeu de la responsabilité civile de l’entreprise (par ex. si cette atteinte a causé un préjudice à un fournisseur). Utiliser son appareil personnel dans un cadre professionnel génère des problématiques relevant du droit du travail, et nécessite une réflexion sur la politique RH de l’entreprise. Une entreprise permet à certains salariés d’utiliser leur smartphone à des fins professionnelles (seniors, cadres, etc.), mais le refuse à d’autres…

Un salarié envoie régulièrement des emails professionnels et répond souvent à des clients sur son smartphone personnel en dehors de ses heures de travail… Art. L. 1121-1 du Code du travail « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » Restrictions aux libertés individuelles et collectives des salariés par l’employeur : Justifiées par la nature de sa mission ET Proportionnées au but recherché. Loi sur le télétravail (du 22 mars 2012) Art. L.1222-9 al. 1er du Code du travail : « le télétravail désigne toute forme d'organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l'employeur est effectué par un salarié hors de ces locaux de façon régulière et volontaire en utilisant les technologies de l'information et de la communication dans le cadre d'un contrat de travail ou d'un avenant à celui-ci ». Applicable au BYOD ? NON ! car le télétravail dépend UNIQUEMENT du LIEU D’USAGE des matériels mis à disposition du salarié (qu’ils lui appartiennent en propre ou qu’ils appartiennent à l’employeur…)

Le BYOD soulève enfin des problématiques en matière d’atteintes à la vie privée.

Confusion entre données privées, auxquelles l’employeur ne peut y avoir accès sans le consentement et hors de la présence du salarié, et données professionnelles contenues sur un outil personnel. Problématique CNIL sur la licéité de la géolocalisation Principe : droit au respect de la vie privée du salarié (art.9 du Code civil), même sur son lieu de travail ! Arrêt Nikon Fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition sont présumés professionnels : l’employeur peut y accéder librement. Anticiper les risques Élaborer une politique DSI et RH globale en la matière? actualiser la « Charte informatique » de l’entreprise en concertation avec la DSI s’agissant des solutions « techniques » du BYOD

Selon Thibaud LE CONTE DES FLORIS– Avocat LexCase


Propriété intellectuelle

                                              Révision de la politique de gestion des licences de logiciel ;
                                              Informer les salariés des terminaux/logiciels tolérés ;
                                              Interdiction d’utilisation de logiciels pour lesquels la société n’a pas acquis 
                                              de licence;
                                              Obligation générale de respecter la réglementation PI


Sécurité/confidentialité

                                              Mise en place de mesures de sécurité (par ex. capacité d’effacement des données 
                                              à distance, antivirus,
                                              MDM/MDS,…) ;
                                              Protection des logs in / mots de passe ;
                                              Mise en place de mesures en cas de perte/vol d’un matériel ;
                                              Obligation générale de confidentialité/vigilance des salariés.


Droit du travail

                                              Révision des contrats de travail (par ex. : droit d’utiliser un smartphone, 
                                              sous quelles conditions,etc.);
                                              Prévoir la procédure à appliquer en cas de départ/absence du salarié ;
                                              Opposabilité de la charte informatique aux salariés


Atteintes à la vie privée

                                              Mise en place de procédures pour la séparation des données 
                                              personnelles/professionnelles ; 
                                              Mise en place de la protection des données personnelles ;
                                              Mise en place d’une politique de surveillance des données ;
procédures pour l’accès aux terminaux