Quatre facteurs qui devraient façonner une politique de BYOD

Considérations réglementaires

Avant de mettre en œuvre une politique BYOD, il est nécessaire de connaître les règlements qui s’appliquent. Il est de la responsabilité de l’organisation de les respecter. Et cela peut valoir pour les lois Sarbanes-Oxley et HIPAA, sur les dossiers médicaux, par exemple, outre-Atlantique. Elles imposent de s’assurer que les informations professionnelles ne résident pas localement sur des terminaux mobiles qui pourraient être perdus ou effacés. Chaque secteur d’activité étant soumis à de nombreuses réglementations, il est nécessaire de prendre en compte celles qui sont susceptibles de s’appliquer.

Sécurité et BYOD

Au minimum, les organisations doivent appliquer le chiffrement aux terminaux BYOD – et bonne nouvelle, la plupart le font désormais nativement. Avec les appareils appartenant à l’entreprise, il est pratique et sûr de pouvoir verrouiller et effacer à distance les terminaux, mais ce n’est pas toujours possible ou une bonne idée dans le cadre du BYOD : avec les appareils appartenant aux utilisateurs, il est en fait important d’empêcher les administrateurs de les effacer par inadvertance. Il est plus important, encore, de s’assurer de la dissociation des données d’entreprise et privées.

Il est également nécessaire de considérer la surface d’attaque additionnelle que représentent les terminaux mobiles. D’où l’importance de chercher à contrôler le trafic réseau, de désactiver les applications tierces et de restreindre l’accès aux sites indésirables, mais également de contrôler les points de sortie de données comme les cartes SD.

Vie privée des utilisateurs

La vie privée des utilisateurs est un sujet de discussion constant pour l’informatique d’entreprise, et à juste titre. L’approche de l’IT devrait varier, suivant la culture de l’entreprise et la nature des informations auxquelles les utilisateurs peuvent accéder et sont susceptibles de stocker sur leurs terminaux mobiles.

De nombreuses organisations utilisent des conteneurs sécurisés afin de pouvoir contrôler les informations de l’entreprise tout en préservant la vie privée des utilisateurs. Cette approche du BYOD garantit que les organisations ne peuvent pas accéder aux applications pouvant être liées à la santé, aux communications personnelles ou à d’autres aspects de la vie privée des utilisateurs.

Gestion des applications personnelles

Enfin, il convient d’établir une politique de BYOD en s’assurant de la capacité de l’organisation à supprimer les applications métier et les données associées – même s’il n’est pas question d’effacer à distance les terminaux. Le service informatique devrait également pouvoir déployer, sur les terminaux, des instances d’entreprise d’applications dont l’utilisateur souhaite en outre disposer d’une instance personnelle.

Sur les appareils iOS, il convient par exemple de vérifier s’il est possible de convertir des applications non administrées en applications administrées si l’utilisateur les a déjà installées. Les outils d’administration des applications mobiles (MAM) peuvent empêcher que des données ne s’ouvrent par inadvertance dans des applications personnelles.

Communiquer la politique mobile de BYOD

Quelle que soit la politique de BYOD établie, il est nécessaire de la communiquer aux collaborateurs avant sa mise en application. La plupart des problèmes surviennent lorsque les utilisateurs ne comprennent pas pleinement ce que les administrateurs peuvent faire sur leurs appareils. Si tout le monde comprend à l’avance son rôle et ses responsabilités, il est moins probable qu’il y ait des frictions. Les réactions des utilisateurs dès les premières étapes peuvent aider les administrateurs à s’assurer que leur politique de BYOD mobile ne pénalise pas la productivité des collaborateurs.