Mettre en place un programme BYOD permet d’optimiser sa performance, mais cela reste un projet qui comprend des risques.
Alors que de nombreuses entreprises et organisations publiques ont adopté le « bring your own device », d’autres restent hésitantes. C’est une approche qui peut potentiellement limiter le contrôle qu’un entreprise a sur les données corporate auxquelles on peut accéder via des appareils mobiles et donc accroit le risque de fuite de ces données.
La nature de l’activité d’une entreprise détermine son niveau de tolérance aux risques. Une entreprise internationale qui est souvent impliquée dans des litiges ou doit se conformer avec les lois de protection des données aura surement un profil plus risqué qu’une entreprise nationale employant un petit nombre de salariés. Par contre, si cette dernière permet à ses employés d’accéder à ses serveurs depuis leurs terminaux mobiles, et que l’entreprise internationale leur donne seulement accès aux emails, ce risque est inversé.
Eliminer totalement le risque dans le monde du BYOD est impossible, mais les entreprises peuvent les atténuer en mettant en place une politique qui comprend tout ou partie de mesures de protection techniques, administratives et légales ci-dessous :
– Limiter les types d’appareils autorisés uniquement à ceux qui permettent de se connecter depuis un lieu distant et sur lesquels le département informatique pourra supprimer les données. La majorité des marques ont cette fonctionnalité ou supportent des applications qui la fournissent.
– Limiter l’accès aux informations corporate en fonction du type d’appareil et des besoins des employés. Par exemple, on peut autoriser les employés à accéder uniquement à leurs emails sur leurs mobiles. Si certains employés demandent un accès distant au serveur, il faut autoriser cet accès uniquement via une connexion VPN sécurisée.
– Si les employés ont le droit d’acceder à la base de données de l’entreprise, il faut faire en sorte que les dossiers corporate ne soient sauvés que sur le serveur de l’entreprise, et pas téléchargés sur le mobile distant qui a accédé à ces fichiers.
– Exiger deux types d’identification pour accéder au serveur de l’entreprise. Cela peut etre un code PIN et un code de sécurité.
– Exiger que chaque employé qui participe à un programme BYOD signe un contrat utilisateur qui identifie clairement ses obligations, et donne un certain droit à l’entreprise sur les mobiles afin que les données puissent être supprimées si nécessaire, et précise la manière dont les données perdues doivent être traitées.
Chaque entreprise se réserve la possibilité d’adopter le BYOD, et pour celles qui l’envisagent, une politique BYOD complète et précise peut limiter de manière très significative le nombre des risques afférents.