BYOD : que faire pour répondre aux préoccupations en matière de confidentialité

Les défis liés à la confidentialité et au BYOD

Les préoccupations en matière de confidentialité liées au BYOD se résument généralement à quelques compromis récurrents entre la sécurité, le contrôle et l'autonomie des employés, notamment les suivants :

• Sécurité des données de l'entreprise face à la confidentialité des appareils et des informations des employés.
• Accès des employés aux données professionnelles vs équilibre entre vie professionnelle et vie privée.
• Liberté de choix des appareils ou imposition de mesures de conformité en matière de sécurité, telles que les mises à jour du système d'exploitation.
• Économies réalisées par l'employeur par rapport à la rémunération versée aux employés pour l'utilisation de forfaits mobiles personnels afin d'accéder aux ressources de l'entreprise.

Les questions de sécurité et de confidentialité entrent en ligne de compte dans chaque décision prise par une entreprise, en particulier lorsqu'il s'agit de prendre en considération les risques spécifiques liés au BYOD. Par exemple, autoriser l'utilisation de la messagerie électronique sur un appareil personnel semble être une décision simple. Cependant, il peut s'avérer difficile de mettre en place des contrôles de sécurité adéquats, tels que la prévention des pertes de données et les restrictions relatives au partage de données entre les applications professionnelles et personnelles. Alors que les entreprises doivent prendre des mesures pour sécuriser les données professionnelles, les employés s'inquiètent souvent de la quantité de données personnelles que leur entreprise peut consulter et contrôler sur leurs appareils.

Les administrateurs informatiques ont souvent recours à des outils de gestion des appareils mobiles (MDM), de gestion unifiée des terminaux (UEM) ou de gestion des applications mobiles (MAM) pour déployer des applications, appliquer des politiques et protéger les données de l'entreprise sur les appareils personnels. Le problème en matière de confidentialité ne réside pas seulement dans l'existence même de ces outils, mais dans la question de savoir si les employés comprennent ce que l'entreprise peut réellement voir et contrôler.

Cette visibilité varie désormais considérablement selon la plateforme et le mode d'inscription. Dans les modèles BYOD respectueux de la vie privée, les entreprises peuvent généralement consulter et gérer les paramètres professionnels, les applications administrées, l'état de conformité des appareils ainsi que certaines informations de base sur ces derniers. Elles peuvent également supprimer les applications et les données d'entreprise grâce à un effacement sélectif.

Ce que les entreprises ne peuvent généralement pas voir dans ces modèles est tout aussi important. Avec Apple User Enrollment, le service informatique gère uniquement les comptes, les paramètres et les informations provisionnées de l'entreprise, et non le compte personnel de l'utilisateur. Sur les profils professionnels Android, l'entreprise peut gérer le profil professionnel, mais les applications, les données et les détails d'utilisation personnels restent privés. De même, Microsoft précise aux utilisateurs que l'inscription via Intune ne divulgue pas d'informations personnelles, bien que les administrateurs puissent toujours consulter certaines informations d'inventaire limitées sur les appareils, telles que le modèle et le numéro de série.

C'est pourquoi la politique de confidentialité relative au BYOD ne doit pas se contenter d'indiquer qu'un système de gestion des appareils mobiles (MDM) est en place. Elle doit expliquer la procédure d'inscription, les données auxquelles le service informatique a accès, les mesures qu'il peut prendre, ainsi que les cas dans lesquels un effacement sélectif ou d'autres contrôles s'appliquent.

Mesures que les organisations peuvent prendre

Les entreprises peuvent atténuer les préoccupations liées à la confidentialité dans le cadre du BYOD en précisant clairement trois points : ce qu'exige la politique, quel modèle de gestion l'entreprise va adopter et ce que le service informatique peut ou ne peut pas voir sur un appareil personnel.

Ces décisions vont de pair. Une politique BYOD écrite définit les règles en matière de confidentialité et de sécurité, le modèle d'inscription ou de protection des applications détermine le niveau de contrôle exercé par le service informatique, et une communication transparente aide les employés à comprendre comment les données professionnelles seront séparées, protégées et supprimées si nécessaire.

Élaborer une politique BYOD

La première chose qu'une entreprise doit faire après avoir décidé d'autoriser l'utilisation professionnelle des appareils personnels de ses employés est d'élaborer une politique BYOD. Cette politique doit définir les exigences en matière de sécurité mobile, les limites relatives à la confidentialité, les conditions d'enregistrement, les responsabilités en matière d'assistance et les droits de l'entreprise à supprimer les données professionnelles.

Les équipes informatiques doivent également mettre en place des procédures d'inscription claires et une documentation destinée aux utilisateurs. Les employés doivent savoir comment fonctionne l'inscription, quelles données le service informatique peut consulter, ce qui se passe en cas de perte d'un appareil ou de départ d'un employé, et si l'entreprise prévoit un accès en dehors des heures de travail ou propose un remboursement pour l'utilisation d'appareils personnels.

Les considérations stratégiques peuvent notamment inclure les éléments suivants :

• Types d'appareils pris en charge et configuration minimale requise pour le système d'exploitation.
• Modèles approuvés d'inscription ou de protection des applications.
• Limites de la vie privée et visibilité au sein de l'entreprise.
• Appareils perdus, volés ou endommagés.
• Procédures de nettoyage sélectif et de départ des employés.
• Indemnités, remboursements et attentes en dehors des heures de travail.

N'oubliez pas que « BYOD » ne signifie pas « Apportez tout ce que vous voulez ».

Si l'utilisation de smartphones personnels au travail (BYOD) est une solution pertinente pour de nombreuses entreprises, cela ne signifie pas pour autant que les employés doivent pouvoir utiliser n'importe quel appareil obsolète, compte ou service de leur choix. Les appareils non pris en charge présentent à la fois des risques pour la sécurité et des problèmes liés à la confidentialité, car le service informatique pourrait être amené à mettre en place des contrôles plus stricts lorsque la prise en charge est insuffisante.

Les entreprises doivent définir les versions minimales du système d'exploitation, les méthodes d'inscription supportées et les critères d'éligibilité pour les appareils qui accèdent aux données de l'entreprise. Une liste d'appareils recommandés peut certes être utile, mais la question la plus importante est de savoir si le terminal est capable de prendre en charge le modèle BYOD choisi par l'entreprise, qui garantit la protection de la vie privée.

Pour Android, le programme « Android Enterprise Recommended » reste un bon point de départ, car Google vérifie que les appareils répondent aux exigences des entreprises. Les exigences actuelles prévoient la mise à disposition de mises à jour de sécurité dans un délai de 90 jours, ainsi qu'une disponibilité de ces mises à jour pendant cinq ans à compter de la date de livraison initiale.

Mettre en place une gestion ciblée, pas un contrôle généralisé

De nombreuses entreprises ont encore besoin d'une solution MDM ou UEM pour garantir la conformité des appareils, distribuer des certificats, appliquer des restrictions et prendre en charge l'effacement sélectif. Cependant, l'enregistrement complet des appareils n'est plus la seule option possible dans le cadre du BYOD.

Dans de nombreux cas, les entreprises peuvent atténuer les préoccupations en matière de confidentialité en associant la protection des applications à des contrôles d'accès basés sur l'identité et à des modèles d'inscription préservant la confidentialité, tels que l'inscription des utilisateurs Apple ou les profils professionnels Android. Cela permet au service informatique de protéger les données de l'entreprise sans appliquer le même niveau de contrôle que celui qu'il appliquerait à un terminal appartenant à l'entreprise.

Lorsque le service informatique procède à l'enregistrement d'un appareil personnel, il doit déterminer avec soin quelles mesures de contrôle sont justifiées. L'effacement sélectif, la gestion des applications et les exigences minimales de conformité constituent généralement des mesures pertinentes. Les mesures plus intrusives, telles que les restrictions strictes ou les actions affectant l'ensemble de l'appareil, nécessitent une justification plus claire et une communication plus approfondie avec les utilisateurs.

Michael Goad est un rédacteur indépendant et un architecte de solutions qui possède une expérience dans la gestion de la mobilité en milieu d'entreprise.