Bring your own device

BYOD est une nouvelle tendance qui consiste à utiliser son propre matériel informatique à la place de celui que pourrait fournir l’entreprise. Cela comporte principalement deux intérêts. Le premier est tout d’abord pour le salarié, qui va pouvoir utiliser son propre matériel, ce qui a plusieurs avantages pour lui. Ainsi, il sera mieux adapté à son propre matériel qu’il connaît et maîtrise mieux, donc plus efficace. Par ailleurs, de plus en plus de salariés possèdent plusieurs terminaux informatiques, à savoir un ordinateur, un smartphone, voire une tablette en plus. Cela va permettre à l’employé de pouvoir travailler sur son outil informatique à chaque instant s’il le souhaite et ce même en dehors des locaux de l’entreprise[6].

Le deuxième intérêt est pour l’entreprise qui emploie. En effet, ce phénomène permet à celle-ci d’une part de diminuer ses coûts de structure en informatique et même en locaux, puisque certains salariés pourront travailler directement de leur domicile sans la nécessité d’avoir un bureau personnel au sein de la société. D’autre part, BYOD peut amener à un gain important en productivité pour l’entreprise, puisque les salariés travailleront plus efficacement avec leur propre matériel et le fait de confondre leur outil professionnel et privé leur octroie une plus grande réactivité, puisqu’aujourd’hui la très grande majorité des salariés a constamment au moins un terminal informatique immédiatement disponible. En outre, cela améliore la communication dans les entreprises entre les salariés, notamment à travers la mise en place de réseaux sociaux d’entreprise. Enfin, le gain de productivité peut être obtenu aussi par le consumérisme des employés, puisque beaucoup aiment avoir les derniers modèles qui sont bien souvent les plus performants et donc plus performants que ceux qu’auraient pu leur proposer leurs entreprises qui renouvellent moins leurs appareils électroniques.

Pour ce faire, les entreprises doivent adapter leurs infrastructures à ce nouveau phénomène d’autant plus qu’il doit être très encadré en raison des problèmes de sécurité qui peuvent apparaître. En effet, si BYOD amène à des gains et à des réductions de coûts importantes pour l’entreprise, il peut également se produire l’effet inverse s’il est mal géré. Ainsi, certaines sociétés vont être obligées de mettre en place des réseaux sans fil au sein de leurs infrastructures pour celles qui n’en possédaient pas, car certains terminaux aujourd’hui, à l’image des tablettes ne peuvent se connecter que par ce biais. Il est également indispensable pour limiter les risques (pertes de données, conflits juridiques…) de mettre en place un système de gestion de droit numérique et d’adapter l’infrastructure de l’entreprise à supporter des flux supplémentaires qui représentent aussi un coût. Ces systèmes peuvent se traduire notamment par l’embauche d’un ou de plusieurs informaticiens selon la taille de l’entreprise dédiée aux interventions (que ce soit pour des réparations, des contrôles ou encore des aides) sur les périphériques personnels des salariés. Cela est très important  du fait que les employés doivent absolument être sensibilisés aux enjeux de BYOD (la négligence des salariés étant la principale crainte des employeurs utilisant BYOD)[7].

Pour ce qui est des applications du système d’information de l’entreprise devant être mis sur les terminaux des salariés, certaines sont directement disponibles au moyen d’un simple navigateur, mais d’autres plus lourdes ne le sont pas et nécessitent une plus grande vigilance. Pour celles-ci, la virtualisation du poste de travail semble être la solution la plus efficace. Cela consiste à remplacer le poste de travail par des services informatiques gérés de façon centralisée[7].

Par ailleurs, en raison de l’ampleur qu’a pu prendre BYOD, de nombreuses entreprises (Microsoft, Samsung, Good technology, Appaloosa…), se sont intéressées à la partie liée à la sécurité qui soulève beaucoup de questions et ont décidé de lancer des logiciels (Good work, My Knox…) pour tenter de régler ces problèmes. Ces logiciels visent à scinder en deux parties son smartphone (une partie privée et une professionnelle) afin de sécuriser ce dernier[7].

Les avantages de BYOD se traduisent économiquement, puisque plus de 70 % des entreprises qui l’ont mis en place ont déclaré avoir obtenu des gains de productivité liés à leurs salariés et une économie de coûts liée à l’absence d’achats de nouveaux terminaux informatiques.

Par ailleurs, une étude menée par Landesk software a démontré que le BYOD permettrait aux entreprises d’économiser 180 000 € sur cinq ans. Celle-ci se base sur le fait que 81 % des sociétés autorisent le BYOD et que 39 % des salariés achètent leurs propres terminaux informatiques. Mais ces chiffres ne tiennent compte que de la baisse des charges pour l’entreprise, cela ne prend pas en compte les gains de productivité, ni les charges qu’elle pourrait être amenée à supporter pour mettre en place la stratégie BYOD, celles-ci étant plus difficilement mesurables[6].

BYOD peut donc avoir des impacts négatifs sur les entreprises, et une enquête réalisée par Check Point est venue chiffrer ce phénomène. Ainsi, sur 700 professionnels interrogés un peu partout dans le monde (Amérique du Nord, Europe, Australie), 95 % se sentent menacés par des problèmes de sécurité et 42 % indiquent que ceux-ci auraient entraîné un coût financier supérieur à 250 000 $[8].

BYOD peut donc avoir un réel impact économiquement parlant pour les entreprises, mais pour que cet impact soit positif, il faut que la stratégie soit très encadrée pour ne pas avoir de mauvaises surprises, notamment en matière de sécurité. BYOD peut donc devenir un véritable enjeu stratégique pour les entreprises.

L'usage de smartphones et tablettes en classe ou sur le lieu de travail présente des avantages évidents, comme la prise en main (appareil à priori bien connu de son utilisateur) mais aussi et surtout du point de vue de la mobilité. Grâce à l'usage d'applications de partage instantané, le transfert de données est aujourd'hui simplifié comparé aux usuels disques durs ou encore le traditionnel envoi de pièces jointes par e-mail. De plus, elles permettent de créer rapidement des "réseaux miniatures" interconnectés en permanence, facilitant ainsi les échanges entre les utilisateurs, qu'ils soient sur leur lieu de travail ou chez eux.

Des tests et des sondages peuvent être réalisés directement dans le fil du cours.

Le fait que les données puissent être actualisées en temps réel améliore l'accès et la visibilité des informations partagées. Cette disponibilité constante favorise également la fréquence des consultations et échanges entre les usagers et entraîne donc une hausse de productivité non négligeable. 

En France, les écoliers doivent sortir du système scolaire avec le B2i (brevet informatique et internet). Ceci est une obligation, peu importent les moyens de l'école qui les accueille. C'est pourquoi le BYOD constitue une alternative intéressante. Les étudiants ont la possibilité de travailler sur des outils numériques même si l'établissement n'en possède pas. 

Une simple MoodleBox[12] (voir chapitre suivant) dans une classe, permet d'ouvrir la formation en local, sur un outil habituellement uniquement accessible en ligne.

Le BYOD en classe pourrait causer des problèmes d'inégalités entre les élèves car toute famille ne pourrait pas offrir un smartphone. Avec l'utilisation du BYOD en classe, la question d'équité peut se poser. Donc un problème lié au matériel s'installerait au sein de la classe. Pour pallier ce manque, les établissements se verraient dans l'obligation de financer l'achat du matériel. Tous les établissements n'ont pas le même financement, l'utilisation d'outils numériques a une répercussion sur le budget de l'établissement.

De plus, l'utilisation du BYOD en classe n'est pas à la portée de tous les enseignants. Il faudrait notamment mettre en place des formations pour permettre aux enseignants de maîtriser les logiciels utilisés par les élèves. Ces formations devraient aussi permettre à l'enseignant de maîtriser une grande diversité d'outils, de marques et de gammes différentes, pour s'adapter aux divers appareils de leurs élèves.

Composants essentiels du BYOD.

Une autre contrainte à l'utilisation d'appareils numériques personnels en cours réside dans la logistique matérielle : chargeurs, connexion internet, installation des logiciels sur tous les appareils (problèmes de licences sur les logiciels et applications payantes)...

Enfin, un problème de filtrage des contenus se pose quand on envisage le BYOD en classe. Il est évident qu'il n'est pas aisé de maîtriser les activités et les contenus utilisés simultanément par tous les élèves d'une classe, sur des appareils différents. Pourtant, les Chartes numériques et Règlements intérieurs des établissements contraignent l'utilisation de ces appareils dans l'enceinte du bâtiment.

La pratique du BYOD pose donc des questions relatives à la sécurité de l'information, à la protection des données et génère des interrogations sociales et pénales. L'enseignant devra donc prendre en compte toutes ces données.

Face à des élèves de plus en plus experts dans l'usage de ces outils, l'enseignant ne peut s'assurer que les élèves n'utilisent pas ces technologies à d'autres fins que l'éducation et l'apprentissage. Les risques et tentations sont d'autant plus grands que l'outil ayant un caractère personnel contient des données que l'élève serait tenté de les consulter.

Des solutions de formation utilisant des plateformes e-learning locales compactes (taille d'un paquet de cigarettes), autonomes et transportables peuvent permettre de s'affranchir de tous les problèmes de sécurité cités. Citons par exemple la MoodleBox développée par des membres francophones de la communauté libre Moodle, sur la base de Raspberry Pi 3. Un navigateur suffit pour l'utiliser ou une simple application à télécharger sur les smartphones des élèves.

Pour conclure, le BYOD revêt certes un caractère motivant pour les élèves mais ne peut s'adresser à tous[13]^,[14]^,[15]^,[16].

Il est à noter toutefois que de plus en plus d'élèves disposent à ce jour d'un smartphone. On cite habituellement le chiffre de 80% (valeur à vérifier)

Selon Winn Schwartau, 25 % des salariés propriétaires de mobiles et pratiquant le BYOD perdent au moins une fois leur smartphone. Cela implique que des données professionnelles peuvent être perdues et en accès libre à celui qui trouvera cet appareil.

Les employés d’une entreprise ayant mis en place le BYOD, peuvent se connecter au réseau de celle-ci, cela inclut donc plusieurs connexions entrantes sans pour autant être contrôlées et donc de nombreux risques d’intrusions dans le réseau de la société. À noter aussi que les nombreuses connexions Wi-Fi des salariés avec leurs outils de travail peuvent entraîner une trop grosse demande en bande passante et par conséquent des latences sur les réseaux ou des déconnexions, cela entraînant parfois des pertes de données.

Ces appareils personnels sont par nature non prévus pour un usage professionnel mais un usage personnel. Il en résulte qu’ils n’ont pas toutes les sécurités nécessaires à l’usage professionnel puisque les systèmes d’exploitation ne sont pas prévus à cet effet. On remarque donc pour la plupart l’absence de pare-feu ou de chiffrement des données, le problème de pertes de données est en partie provoqué par cela. Selon Winn Schwartau : « Nobody controls his devices at 100% » (« personne ne contrôle ses appareils à 100 % »)[17].

Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) de 2009 à 2014, se positionne clairement en 2012 contre l’usage de BYOD lors d’un discours des assises de la sécurité IT, en affirmant qu’il fallait « entrer en résistance vis-à-vis de la liberté totale de l’usage des nouvelles technologies en entreprise » et que « la sécurité c’est aussi le courage de dire non ». Il continue ensuite son discours en illustrant ses propos, par des exemples qui montrent la dangerosité de BYOD dans le monde professionnel[18]. L’ANSSI publie également une note en mai 2013 destinée aux DSI (direction des systèmes d’information) où elle met en évidence le fait qu’il est impossible d’avoir un haut niveau de sécurité avec un ordinateur ou une tablette ordinaire[19]. Patrick Pailloux a certes infléchi légèrement son discours en 2013, où il s’est dit ne pas être opposé à l’utilisation d’appareils grand public dans les entreprises, si ceux-ci étaient passés dans les mains de la DSI. La position de l’ANSSI, notamment à travers son directeur général, reste clairement contre l’usage du BYOD en entreprise pour des raisons de sécurité[20].

Guillaume Poupard, son successeur à la tête de l'ANSSI, présente une position plus ouverte lors des Assises de la sécurité IT organisées à Monaco en octobre 2014[21].

Pour ce qui concerne les téléphones portables,  différentes solutions sont possibles pour réduire le risque de perte de données. Une toute simple consiste à mettre des mots de passe et antivirus sur les appareils des utilisateurs du BYOD. Il existe aussi une autre méthode qui consiste à utiliser une application nommée MDM (mobile device management), qui contrôle de l’appareil à distance. Un autre système, appelé l’air gap, protège les mobiles des salariés, isole les réseaux sécurisés d’entreprises des réseaux publics non sécurisés. De plus, afin de pallier ces problèmes de sécurité, Google développe un système basé sur la géolocalisation de l’appareil pour contrôler les différents niveaux de sécurité. Avec ce système, la sécurité de l’appareil est très fortement accrue dans les locaux de l’entreprise quand il utilise le réseau, puis cette sécurité diminue quand l’appareil retrouve l’environnement personnel. Cela pourrait être un bon compromis entre la sécurité et le maintien de l’usage personnel[22].

En ce qui concerne l’utilisation du réseau, un annuaire du BYOD serait utile afin de connaître exactement qui utilise le réseau et avec quels appareils. Cet annuaire pouvant être utilisé avec le logiciel MDM permettrait de savoir exactement le nombre de personnes et d’appareils qui sont en contact avec le réseau. En cas d’anomalie détectée, il convient de savoir exactement quel appareil et utilisateur est fautif afin de pouvoir le contrôler à distance avec le logiciel MDM et dans le pire des cas effacer toutes les données professionnelles de l’entreprise.

Pour les problèmes concernant le réseau Wi-Fi, plusieurs solutions sont envisageables. Tout d’abord, pour les problèmes de latences et d’insuffisance réseau, il faut renforcer son réseau Wi-Fi parce qu’il faut savoir que la plupart des réseaux Wi-Fi d’entreprise sont pour l’instant dans l’incapacité de fournir un accès correct à tous les appareils susceptibles d’avoir besoin de connexion avec l’usage du BYOD. Puis, une solution efficace concernant le problème du Wi-Fi serait de faire un benchmark afin de connaître exactement les besoins en Wi-Fi, c’est-à-dire qui prend quel appareil et savoir quel accès donner à celui-ci. Il faut aussi se poser plusieurs questions telles que qui ou quel appareil utilise le Wi-Fi, sur quel site internet ou application l’utilisateur du BYOD va et pour quelle utilisation. Avec ce benchmark, on devrait être capable d’estimer les besoins en Wi-Fi dans l’entreprise[23].

Les problèmes concernant l’utilisation même du réseau de l’entreprise par les utilisateurs en utilisant le BYOD peuvent être atténués par la mise en place d’une charte d’utilisation du réseau. Dans celle-ci, on peut y lister les heures d’utilisation du réseau professionnel, les applications, logiciels et sites ne devant pas être utilisés sur le réseau avec les modalités de contrôle du respect de cette charte. Elle peut faire l’objet d’un écrit sur des modèles préétablis. Il faut aussi y mentionner les sanctions qui sont de forts moyens de dissuasion. De plus, pour pallier les « supposées » carences techniques des employés utilisant le BYOD sur leurs appareils, il est possible de rédiger un annuaire de procédures informatiques permettant de répondre aux problèmes techniques les plus courants. Celui-ci permettrait alors de gagner du temps en évitant un nombre incalculable de questions. Il faut aussi essayer de privilégier le travail d’équipe en essayant de mettre en place une forte communication et entraide autour de tous ces problèmes informatiques[24].

BYOD soulève la question de la durée légale du temps de travail. En effet, bon nombre d’employés sont connectés avec l’entreprise de leur domicile, par l’utilisation de leur appareil personnel pour leur activité professionnelle. Cela peut remettre en cause le nombre d’heures de travail réellement effectuées par le salarié. Ce temps passé à travailler à son domicile doit-il être considéré comme du temps de travail avec rémunération en conséquence ? Cela ferait-il dépasser le temps de travail au-delà de la durée légale maximale ? La loi française n’est pas encore très claire à ce sujet.

Les entreprises et les employeurs ont donc tout intérêt à prendre les devants pour éviter des conflits juridiques, soit en intégrant une charte au règlement intérieur relative à ce sujet, soit en incluant une ou plusieurs clauses directement dans le contrat de travail du salarié pour se prémunir.

En plus des problèmes de coûts liés aux ennuis de sécurité, le BYOD pose de nouvelles contraintes dans son utilisation. L’application de tous les logiciels de géolocalisation ainsi que ceux contrôlant à distance les appareils ou ayant un droit de regard pose de nouveaux problèmes alors que ces logiciels devraient clarifier et améliorer l’utilisation du BYOD. Ces problèmes sont l’espionnage du salarié et la perte de sa vie privée. En effet, les dirigeants peuvent à tout moment savoir ce que font les employés, où ils se trouvent, les applications qu’ils ont et ce qu’ils regardent. Certains salariés ont été licenciés parce qu’ils n’ont pas déclaré la perte de leurs mobiles dans les 24 heures et d’autres se sont vus espionnés dès qu’ils quittaient l’enceinte professionnelle[25].

Choose your own device[27] (en français, « sélectionnez votre appareil personnel » ou SAP)[28]. Cette optique propose aux salariés de choisir leurs propres appareils parmi un catalogue de terminaux approuvés par l’entreprise. Ainsi, ceux-ci sont paramétrés, approuvés et intégrés à la société qui s’évite donc tout problème lié à la législation et à la protection des données. Le matériel choisi reste par contre uniquement professionnel et propriété de l’entreprise. Si cette solution est de plus en plus envisagée, elle n’est pas aussi satisfaisante que le BYOD pour les salariés mais bien plus sécurisante pour les sociétés.

Corporate owned, personally enabled (en français, « voici votre appareil personnel » ou VAP)[29]. Le VAP prend le contrepied du PAP (en anglais BYOD) et garde le principe du matériel professionnel acheté par l’entreprise. Cela conserve les mêmes avantages vus pour le SAP (en anglais CYOD) mais avec un terminal qui peut aussi être utilisé personnellement par le salarié. Certaines personnes assurent que ce système sera le plus utilisé à l’avenir.^[Qui ?]

Le principe : on désolidarise l’environnement de travail du poste de travail. Les données ne sont plus stockées au sein de l’entreprise mais sur un serveur accessible de partout aux salariés et de n’importe quelle sorte de terminal, le cloud. Cela permet une réduction des coûts mais aussi une sécurité importante, la DSI pouvant isoler le terminal d’accès du serveur.