Bring Your Own Device (BYOD)

(1)

15 octobre 2012

Ce document a été réalisé dans le cadre de la SRS Day 2012. La SRS Day est un événement annuel organisé par les étudiants de la majeure SRS, de l’EPITA. Il s’agit d’un travail de réflexions sur des sujets émergents ou d’actualité, réalisé par les étudiants et suivi par une entreprise.

Coach

Valérian COURTILLON

Auteurs

Nicolas BOUTET Philippe DURIX Thomas KERHERVE Sébastien MONTET Marc STEFFANN Sami ZEROUTA

Comment sécuriser les usages du BYOD?

“Bring Your Own Device” (BYOD)

(2)

Page 2

Sommaire

1. Introduction 4

2. Le BYOD 5

a. Le phénomène 5

i. Introduction 5

ii. Le contexte 5

iii. Les chiffres clés 6

iv. Les usages et quelques risques associés 7

v. Les points de vue 9

b. Les enjeux et défis pour l’entreprise 11

i. Les enjeux financiers 11

ii. Les enjeux juridiques et RH 12

iii. Les enjeux organisationnels 12

iv. Les enjeux liés à la sécurité 13

v. Les enjeux SI 13

c. Réponses techniques au BYOD 14

3. Les solutions 15

a. L’état du marché 15

i. Mobile Device Management 15

ii. Mobile Application Management 18

iii. Déport d’affichage 19

iv. Network Access Control 21

v. Bulle professionnelle 22

b. Comparaison de plusieurs solutions 25

4. Les préconisations 27

a. La messagerie 27

b. Les contacts 28

c. L’agenda 28

(3)

Page 3

5. Les stratégies des grands acteurs 30

a. Microsoft 30

b. Google 31

c. Apple 32

6. Conclusion 33

7. Bibliographie 34

8. Annexes 36

a. Modèle de la fiche d’évaluation 36

b. Solucom 36

c. Epita 37

(4)

Page 4

1. Introduction

Le BYOD est une tendance récente qui consiste à amener son propre matériel (PC portable, smartphone) sur son lieu de travail pour une utilisation professionnelle.

L’utilisateur y voit un moyen d’avoir une meilleure maîtrise de ces outils, mais les

responsables IT y voient un risque pour le SI puisque ces appareils ne sont pas maîtrisés par l’entreprise. Cela pose également des problèmes juridiques et RH.

Pour pallier à ces problèmes, de nombreuses solutions sont disponibles sur le marché. Il existe plusieurs approches pour remédier aux risques du BYOD, mais elles ne conviennent pas à toutes les utilisations. Au vu de ce marché jeune, quelles sont les solutions à préférer pour quels usages? Et quelles sont les stratégies des grands acteurs du secteur concernant le BYOD?

Dans notre étude, nous avons choisi d’analyser le phénomène dans son ensemble, puis nous avons étudié les solutions leaders du marché et les solutions innovantes tout en essayant de rester exhaustifs. Des tests des solutions étaient prévus mais ces dernières sont, pour la plupart, uniquement testables après accord d’un commercial, qui a besoin de connaître le projet englobant le test concret. En comparant toutes ces solutions, nous avons pu en déduire des préconisations en fonction des différents usages possibles.

(5)

Page 5

2. Le BYOD

a. Le phénomène

i. Introduction

La pratique BYOD (Bring Your Own Device) consiste à utiliser un équipement personnel (ordinateur portable, smartphone, tablette tactile) dans le cadre de son activité professionnelle. Historiquement, c’est l’usage de PDAs personnels qui se rapproche le plus de ce phénomène. Le BYOD est de plus en plus présent dans le monde de l’entreprise, suite à l’apparition des smartphones ou des tablettes tactiles grand public. Selon une étude Trend Micro-Forrester d’avril 2012, plus de la moitié (60 %) des entreprises interrogées ont déjà mis en place ou prévu de lancer au cours des douze prochains mois un programme BYOD pour smartphones et autres terminaux mobiles tels que les tablettes (47 %). L’utilisateur pousse cette pratique pour des raisons de simplicité :

○ La multiplication des terminaux : Selon Forrester 74% des salariés utilisent au moins deux terminaux professionnels, le BYOD permettrait d’en avoir qu’un seul aussi bien pour un usage professionnel que personnel;

○ Le manque de flexibilité des outils mis à disposition par l’entreprise : Le salarié veut avoir à sa disposition les outils (logiciels et matériels) qu’il maîtrise.

ii. Le contexte

Aujourd’hui, une grande partie des salariés possède un smartphone, qui le suit toute la journée, et n’hésite pas à l’utiliser pour des tâches professionnelles (ex : enregistrer une réunion, synchroniser son agenda). Cet usage est difficile à encadrer, mais l’interdire à tout prix provoquerait un effet de volonté de contournement de l’interdit de la part des utilisateurs.

(6)

Page 6

iii. Les chiffres clés

Les études citées dans les sous-parties sont, pour la plupart, des études américaines, du fait de leur avance sur le sujet en termes d’enquêtes et donc d’expérience.

1. Les utilisateurs, satisfaits par le fait de pouvoir utiliser leurs appareils personnels au travail

D’après une étude du Research Corner (février 2012), sur une échelle de 1 à 10, les utilisateurs placent leur degré de satisfaction à l’égard du BOYD à 6,92 pour les smartphones, 6,87 pour les tablettes, et 6,76 pour les PC portables. Ceci prouve que les utilisateurs ayant adopté le phénomène préfèrent utiliser un appareil personnel, car ils le maîtrisent, dans le cadre de leur activité professionnelle.

2. Le BYOD, bon pour la performance et la productivité

Plus de 80 % des DSI pensent qu’une entreprise avec une politique de BYOD bénéficie d’un avantage concurrentiel, selon une étude commanditée par BT, 64 % considèrent qu’une politique favorable au BYOD permet aux employés d’être plus productifs, 48 % pensent que l’adoption du BYOD offrira plus de flexibilité aux employés, et 47 % indiquent que cela aidera les employés à mieux servir les clients.

3. Les risques du BYOD sous-estimés par les DSI

Seulement 10 % des DSI (étude BT) pensent que les utilisateurs de BYOD sont conscients des risques, et moins d’un sur cinq pense que ces mêmes utilisateurs comprennent les autorisations d’accès relatives à leurs appareils mobiles. Et 39 % des entreprises ont déjà connu des failles de sécurité en raison de l’utilisation d’appareils

(7)

Page 7

personnels non autorisés. Plus de quatre décideurs informatiques sur cinq (83 %)

pensent que la fourniture d’un accès aux systèmes informatiques de l’entreprise 24h/24, 7j/7, à des collaborateurs de plus en plus nomades est dorénavant la plus importante menace à la sécurité informatique de l’entreprise.

4. Les utilisateurs en voie de multi-équipement

L’étude Cisco IBSG Horizons révèle que 95 % des personnes interrogées déclarent que leur entreprise autorise, dans certaines circonstances, les périphériques personnels des employés. Le nombre moyen de périphériques connectés par collaborateur devrait atteindre 3,3 en 2014, contre 2,8 en 2012. Il est donc intéressant de se

demander si l’adoption du BYOD dans les entreprises de manière générale ne serait pas un bon point et un gain d’argent, si les utilisateurs seront en possession de plus d’appareils personnels d’ici quelques années.

5. Les PME américaines adoptent massivement le BYOD

Une enquête menée par Netgear aux États-Unis en septembre 2011 auprès d’un panel de 500 entreprises révèle que la pratique BYOD concerne 87 % des salariés dans les PME.

iv. Les usages et quelques risques associés

Cette partie concerne la description des usages principaux du BYOD, que sont la messagerie, les contacts et l’agenda. Dans chaque sous-partie, quelques risques associés à l’usage décrit seront présentés, à des fins de sensibilisation.

(8)

Page 8

1. La messagerie

Un collaborateur, muni de son smartphone ou de sa tablette personnels sur son lieu de travail, voudra consulter ses mails professionnels, en créant un compte sur son appareil personnel avec ses identifiants professionnels. C’est l’usage le plus courant. De cet usage découlent des problèmes évidents, du fait que l’appareil personnel est un espace de stockage non sécurisé du point de vue de l’entreprise.

En effet, un collaborateur téléchargeant un mail depuis le serveur mail de l’entreprise, ou une pièce jointe localement sur son appareil, met en danger la confidentialité de l’information consultée.

2. Les contacts

Les contacts sont des entités pouvant contenir des informations à caractère personnel. Si un appareil personnel contient des données personnelles d’employés et des données confidentielles appartenant à l’entreprise, et qu’un usage malicieux en est fait, l’entreprise peut être soumis à des problèmes d’ordre juridique. Ces

informations peuvent également être utilisées pour des campagnes ciblées de phishing.

3. L’agenda

L’agenda est très régulièrement consulté par un collaborateur sur son lieu de travail. S’il venait à être téléchargé sur un appareil non sécurisé (smartphone ou laptop personnels), il serait possible, par exemple, de réaliser de l’espionnage industriel, de commettre des erreurs stratégiques, ou de communiquer des informations

confidentielles à un concurrent.

(9)

Page 9

v. Les points de vue

Nous allons maintenant développer comment est vu le phénomène par les différents points de vue: utilisateur, CFO, DSI, RSSI

1. L’utilisateur

Pour l’utilisateur, le BYOD est un moyen d’avoir une meilleure maîtrise de ses outils : utiliser les mêmes outils que chez lui et les dernières version alors que l’entreprise impose les anciennes.

En outre, l’utilisateur s’attend tout de même à ce que l’entreprise protège ses données à caractère personnel, qu’elles ne soient pas utilisées à mauvais escient. Le respect de la vie privée est important pour l’utilisateur. Il est donc évident qu’une solution trop intrusive n’est pas pertinente pour l’utilisateur.

Finalement, l’utilisateur est totalement pour le BYOD, il est même le moteur de ce nouveau phénomène, il est donc important d’apporter une attention particulière à la satisfaction de ce dernier.

(10)

Page 10

2. Le directeur financier (membre du COMEX)

Pour le directeur financier, manipulant des données très sensibles et valant potentiellement beaucoup d’argent, il est important que toutes celles-ci soient sécurisées.

Il est également intéressant pour le directeur financier de connaître les gains liés à la mise en place du BYOD dans l’entreprise, et s’il peut réduire les coûts de

l’entreprise en adoptant une solution de sécurisation adaptée.

Outre les risques liés à l’argent, le directeur financier est également soumis aux contraintes RH/juridiques et au respect de la vie privée, il a donc quelque part, des intérêts d’utilisateur également.

3. Le DSI

Le DSI voit beaucoup de risques dans le BYOD et y est plutôt réticent : s’adapter pourrait engendrer de lourdes modifications dans le système d’information (revoir le parc applicatif, ajouter des serveurs pour la gestion, ...), dépendant de

l’implémentation et du niveau de service.

4. Le RSSI

Le RSSI se confronte aux collaborateurs qui stockent les documents sur leur appareil, leurs e-mails, leurs contacts et leur agenda professionnel. Il y a une perte de contrôle sur ces informations, ce qui justifie la nécessité de cadrer l’étude du

phénomène, et de trouver un moyen de le sécuriser de manière adaptée pour l’entreprise.

De plus, avec l’arrivée de nouvelles solutions toutes les semaines, le RSSI aura des difficultés à suivre cette actualité, donc ne pourra pas faire de la veille. En revanche, le RSSI connait les grands principes, et se renseigne un minimum.

(11)

Page 11

b. Les enjeux et défis pour l’entreprise

Face à ce nouveau phénomène, les entreprises voient de nouveaux enjeux, voire de nouveaux défis, que nous allons détailler sous plusieurs aspects.

i. Les enjeux financiers

A première vue, le BYOD se montre intéressant économiquement pour l’entreprise.

En effet l’achat du terminal est à la charge de l’employé qui peut éventuellement avoir une aide. Cependant cette pratique engendre des coûts cachés liés à la gestion/support du parc informatique et nécessite des investissements pour adapter l’infrastructure à ces nouveaux usages (ex : des serveurs pour la gestion des terminaux mobiles).

L'intérêt économique du BYOD n’est pas encore prouvé.

(12)

Page 12

ii. Les enjeux juridiques et RH

Dans le droit du travail Français, les entreprises sont tenues de mettre à la

disposition de leurs employés tout le matériel nécessaire pour effectuer leur travail. Mais il y a beaucoup de flou autour du BYOD, dépendant de la manière dont il est

implémenté, car toutes les solutions ne sont pas d’ordre technique (ex: une charte utilisateur pour imposer des règles spécifiques à ce nouvel usage). Pour le moment il n’existe aucune jurisprudence à ce sujet.

Cela pose aussi des problèmes RH comme l’égalité au travail : que se passe-t-il si un employé est favorisé car il travaille plus efficacement sur sa tablette tandis que son voisin ne peut pas se l’offrir ?

L’entreprise doit étudier ces points avant de mettre en place du BYOD. Il s’agit là d’un bref aperçu des problèmes RH/Juridiques et cela demande une réflexion poussée et la participation des services concernés.

iii. Les enjeux organisationnels

Une charte d’utilisation doit être mise en place pour éviter tout abus de

l’employeur et/ou de l’employé. En effet, l’employeur peut chercher à joindre à toute heure l’employé pour qu’il continue le travail, en dehors de ses horaires de travail. De même, étant mobile, l’employé peut continuer lui-même le travail chez lui pendant ses jours de repos, et demander ainsi le paiement des heures de travail supplémentaires. La charte peut donc éviter ce genre de problèmes, mais peu d’entreprises, pour l’instant, ont mis ce système en place.

(13)

Page 13

iv. Les enjeux liés à la sécurité

Du BYOD découlent des risques pour l’IT et les données de l’entreprise. En effet, l’infiltration du SI par des programmes malveillants peut être facilitée par le BYOD, ou encore, en cas de perte ou de vol du mobile du salarié, des données potentiellement confidentielles seront à disposition de tous, si l’appareil n’est pas assez sécurisé. De plus, le terminal n’est pas systématiquement contrôlé par l’entreprise, en résulte donc une possibilité non tracée d’exfiltration de données.

En outre, la sécurité ne doit pas être un frein à l’adoption du BYOD sinon l’utilisateur risque de vouloir contourner cette dernière, et se connecter au SI d’une manière totalement hors de contrôle.

v. Les enjeux SI

L’entreprise doit adapter ses infrastructures à cette nouvelle démarche (Wifi guest, NAC, VLAN,...), selon la solution mise en place. Toutes les modifications d’infrastructures ne sont pas nécessaires.

Elle doit également revoir son parc applicatif et IT pour de multiples raisons :

● L'hétérogénéité des systèmes introduits (ex : Android, Mac OS, iOS, Windows Phone, Blackberry, ...)

● Les différences matérielles (ex : architecture, tactile, ...)

● Le manque de sécurité des applications actuellement utilisées (ex : pas d’authentification, …)

Le déport d’écran et l’application web pallient très bien à ce problème. Dans le cas des laptops, le déport d’écran est très souvent disponible dans la solution, et les

applications web sont plus adaptées au format d’écran des laptops, ce qui n’est pas le

(14)

Page 14

cas pour les smartphones/tablettes, et ceci nécessite donc un investissement supplémentaire.

c. Réponses techniques au BYOD

Aujourd’hui, le BYOD est peu cadré. Le marché des solutions de sécurisation du BYOD étant jeune, saturé et en forte croissance (39% prévus pour l’année 2012), les entreprises ne peuvent pas gérer l’arrivée continuelle de solutions toutes les semaines.

Les solutions de sécurisation du BYOD essayent d’offrir un niveau supplémentaire de sécurité sur le terminal et/ou sur la connexion entre le terminal et le SI de l’entreprise.

Toutes les solutions possèdent un outil de gestion de flotte de terminaux, mais il ne faut pas oublier que l’acceptation de l’utilisateur vis-à-vis de la solution est importante. C’est pourquoi les solutions ne doivent pas être trop intrusives.

(15)

Page 15

3. Les solutions

Dans cette partie, les différents types de solutions permettant la sécurisation du BYOD vont être expliquées puis comparées.

a. L’état du marché

Il existe aujourd’hui sur le marché de nombreuses approches pour sécuriser du BYOD. Ces approches vont maintenant être présentées.

i. Mobile Device Management

1. Principes

Le MDM, ou Mobile Device Management, est le terme donné à l'activité de gestion d'une flotte d’appareils mobiles. Des solutions permettent de contrôler des appareils de la connexion au réseau Wi-Fi au code de blocage en passant par la réinitialisation du périphérique à distance. Ainsi, le service IT d'une entreprise peut appliquer des paramètres OTA (Over The Air) à toute sa flotte d’appareils, et contrôler à distance les paramètres de ces derniers. Le MDM sécurise le terminal et donc

indirectement les données professionnelles qui y sont stockées.

(16)

Page 16

2. Réponses au BYOD

Grâce au contrôle qu'il offre sur les terminaux, le MDM permet aux services IT de gérer très finement leurs flottes. Au moindre souci, l’appareil peut être bloqué à

distance, effacé, le chiffrement activé, etc. Ainsi, la sécurité notamment des données de l'entreprise offre un niveau satisfaisant grâce à ce type de solution.

3. Limites

Les restrictions imposées par la politique de sécurité de l’entreprise via la solution de MDM sont très contraignantes pour les utilisateurs du faite qu’elles s’appliquent sur tout le terminal. Elles obligent, par exemple, l’utilisateur à mettre un mot de passe. Ces solutions sont aussi intrusives, l’administrateur a accès aux données personnelles et en cas d’effacement à distance, il n’y a là encore pas de distinction entre le professionnel et le personnel, tout est effacé.

(17)

Page 17

4. Quelques offres

Produit Éditeur Fonctions Systèmes

supportés

MaaS360 Fiberlink Déploiement d’applications, prise de contrôle, gestion des politiques de sécurité

Android, iOS, Symbian,

Windows Phone, Windows, Mac OS

MobileManager Zenprise Déploiement d’applications, prise de contrôle, gestion des politiques de sécurité

Android, iOS, Windows Phone

Enterprise Mobility Management

McAfee Déploiement d’applications, authentification, accès sécurisé aux données

Android, iOS, Windows Phone, Nokia

Virtual Smartphone Platform

MobileIron Déploiement d’applications, Gestion des politiques de sécurité, contrôle temps réel sur le

contenu, l’activité et les applications

Android, iOS, Windows Phone, BlackBerry, Nokia

Le marché des solutions MDM est très actif, elles ne sont pas toutes citées dans le tableau ci-dessus. MobileIron est clairement le leader sur ce segment.

(18)

Page 18

ii. Mobile Application Management

1. Principes

Le Mobile Application Management (MAM) consiste en un magasin

d’applications d’entreprise. Toutes les solutions de MAM ne sont pas intéressantes pour notre étude, seule celles disposant d’un mécanisme de sécurisation d’application à la volée le sont. Ce mécanisme permet d’ajouter de la sécurité à des applications qui ont été développées sans cette contrainte. Par exemple demander une authentification au lancement ou empêcher la sauvegarde de données sur le terminal.

L’entreprise peut appliquer des politiques de sécurité sur les applications

disponibles sur son magasin (par exemple : ne pas garder de cache sur le terminal). On peut donc décider que seul les applications de confiance pussent utiliser les données critiques.

(19)

Page 19

Produit Éditeurs Fonctions Systèmes

supportés

Nukona App Center

Nukona Magasin d’applications privées pour les entreprises avec sécurisation à la volée des applications qui y sont publiées

Android, iOS

Mobile App Protection

Mocana Magasin d’applications privées pour les entreprises avec sécurisation à la volée des applications qui y sont publiées

Android, iOS

iii. Déport d’affichage

1. Principes

L’utilisateur contrôle à distance une machine et reçoit l’affichage sur son terminal par le réseau. Les solutions de déport écran sont historiques et ne sont donc pas apparues avec le BYOD. Elles cherchaient à répondre à un autre besoin

contrairement aux solutions de MDM et de MAM. Ce procédé est très répondu dans le monde de l’entreprise, il existe de nombreux protocoles (VDI, RDP, ..).

(20)

Page 20

Les données restent sur une machine contrôlée par l’entreprise et le canal entre la machine et le terminal est chiffré.

3. Limites

L’ergonomie n’est pas satisfaisante pour une utilisation sur smartphone ou tablette tactile car le système dont l’affichage est déporté est le plus souvent conçu pour être utilisé avec un clavier et une souris sur un grand écran (ex : Windows). De plus cette approche nécessite une connexion permanente au réseau.

Produit Éditeur Fonctions Systèmes supportés

Receiver Citrix Client VDI iOS, Android, BlackBerry, Windows, Mac OS

View VMWare Client VDI iOS, Android, Windows, Mac

OS

PocketCloud Remote Desktop

Wyse

Technology

Client RDP et VNC

iOS, Android

(21)

Page 21

iv. Network Access Control

1. Principes

L’idée du Network Access Control (NAC) est de contrôler les machines lors de leur connexion au réseau, dans le but de vérifier si la machine en question est

conforme à la politique de l’entreprise. Il est ainsi possible d’inspecter la configuration de la machine, de vérifier le niveau de mise à jour systèmes ou le niveau de protection du logiciel antivirus.

Le contrôle est assuré par un agent préinstallé sur la machine. Une fois que la conformité de la machine est attestée, la machine a accès au réseau, dans le cas contraire elle peut tout de même y accéder mais seulement pour remédier au problème, à savoir pour obtenir des mises à jour par exemple.

Le principe même du NAC consiste à contrôler la sécurité d’une machine avant qu’elle ne se connecte sur le réseau, et donc à protéger le réseau lui-même. C’est une réponse tout à fait plausible à la problématique du BYOD, cependant le terminal n’est pas protégé puisqu’il ne s’agit que de vérifier la conformité du terminal. Il faut donc garder en mémoire qu’une solution de NAC seule ne peut pas protéger les données présentes sur le terminal. Cependant, associé à une autre solution complémentaire (MDM par exemple), le NAC permet de renforcer la sécurité du réseau en en

protégeant l’accès aux terminaux non contrôlés par l’entreprise et en garantissant un niveau de sécurité suffisant sur ces terminaux lors de la connexion.

(22)

Page 22

Produit Éditeur Fonctions Systèmes supportés

ClearPass Aruba Networks

NAC avec fonctions de MDM Windows, Mac OS X, iOS, Android,

BlackBerry

Identity Services Engine

Cisco NAC avec fonctions de MDM, compatible avec du matériel Cisco ou autre

Configuration automatique en fonction du contexte

Windows, Mac OS, iOS, Android

v. Bulle professionnelle

1. Principes

Cette approche consiste à isoler l’environnement professionnel du reste du terminal. Cet environnement possède ses propres applications sécurisées (email, PIM, ...), les communications réseaux vers l'extérieur sont protégées et les données stockées sont chiffrées. Des fonctionnalités de MDM sont aussi présentes, permettant la gestion de l’espace professionnelle à distance (inventaire, suppression, droits sur les applications, …) et le provisionning de celui-ci.

(23)

Page 23

Les données de l’entreprise, présentes sur le terminal, sont chiffrées ce qui

diminue le risque de vols d’informations en cas de pertes ou de vol. De plus l’entreprise garde la main sur ses données, elle peut les effacer à distance. Du fait du

cloisonnement l’entreprise n’a pas accès à la partie personnelle du salarié et n’a donc aucun contrôle dessus. Une politique plus ferme peut donc être imposée sur

l’environnement professionnel.

3. Limites

Ce type de solution propose seulement des applications de base, si l’entreprise à un besoin spécifique, elle devra se lancer dans le développement d’une application propre à la solution.

(24)

Page 24

Produit Éditeur Fonctions Systèmes

supportés

Goodfor Enterprise

Good

Technologie

Applications : Client mail, agenda, annuaire, navigateur.

Développement, distribution et gestion d’application.

MDM :

Détection des terminaux déverrouillés (jailbreakés, rootés), gestion des politiques de sécurité, interface de contrôle.

Mobile et tablette : Android, iOS, Windows Phone

Excitor DME Mobile Email & PIM

Applications : Client mail, agenda, messagerie instantanée, To-dos, flux RSS

Mobile et tablette : Android, iOS, Symbian, Windows Mobile

Teopad Thales Authentication forte, Pas d'adhérence sur l'application (toutes les applications Android peuvent être lancées dans l'espace sécurisé)́

Mobile et tablette : Android

(25)

Page 25

Les principales approches permettant de sécuriser le BYOD ont été présentées. Il en existe d’autre comme la solution de Mokafive qui permet d’exécuter une machine virtuelle contrôlée par l’entreprise sur le terminal du salarié. Les approches les plus répandues sur le marché sont le MDM et la bulle professionnelle.

b. Comparaison de plusieurs solutions

Tableau comparatif des solutions qui nous ont parues comme pertinentes. Ce comparatif est basé en grande partie sur les données techniques fournies par les

éditeurs. Nous aurions voulu prendre en main les solutions pour avoir un œil plus critique, une fiche d’évaluation a même été réalisée (voir en annexe), mais aucun éditeur ne nous mis a disposition un compte d’essai.

Solution Type Coûts Sécurité Industrialisation Ergonomie

Niveau de maturité

Systèmes supportés

MaaS360 MDM 4 3 4 3 4 4

Nukona MAM 4 3 4 4 2 1

ClearPass NAC 3 2 4 4 5 5

Goodfor Enterprise

Bulle

professionnelle 3 4 3 3 3 2

Mokafive Virtualisation 2 4 3 4 2 2

Légende très mauvais mauvais passable bon très bon

1 2 3 4 5

(26)

Page 26

Ce tableau prouve qu’aucune solution n’est parfaite, certes la solution MDM est mature et bon marché mais elle se révèle trop intrusive.

(27)

Page 27

4. Les préconisations

Dans cette partie, nous allons nous concentrer sur quelques cas d’usages, à savoir la messagerie, les contacts et l’agenda. Cela nous permettra d’avoir des exemples concrets à présenter sur le BYOD, pour se faire une idée assez précise de quelques solutions.

a. La messagerie

Prenons l’exemple d’une entreprise qui souhaite utiliser la solution d’un NAC.

Cette solution permet à l’entreprise de vérifier que le terminal voulant se connecter au réseau soit sécurisé et mis à jour, c’est à dire vérifier qu’il n’y ait aucun logiciel malveillant présent ou aucune vulnérabilité. Si c’est le cas, alors, l’appareil peut rejoindre le réseau de l’entreprise et l’employé peut l’utiliser pour travailler. Sinon, l’accès est tout simplement refusé. C’est une très bonne méthode pour protéger l’intégrité du réseau informatique de l’entreprise. Cisco et ClearPass, entre autres, proposent ce genre de solution.

Cependant, les mails téléchargés sur le terminal personnel ne seront pas plus sécurisés que la normale. En effet, la sécurité liée au NAC touche seulement le réseau de l’entreprise et sécurise le terminal à partir du moment où ce dernier y est connecté.

Malgré tout, une fois le terminal déconnecté du réseau, il retrouve sa sécurité d’origine : l’entreprise n’a donc aucune garantie sur son niveau de sécurité par la suite.

Ainsi, en cas de perte ou de vol, si le terminal n’est pas protégé (code PIN), certaines informations liées à l’entreprise, présentes dans les mails (pouvant être confidentielles) seront à la portée de tous.

Cette solution est tout indiquée pour les mails, car le réseau de l’entreprise reste sain, même si le terminal utilisé est vérolé ou possède des vulnérabilités suite à des logiciels non à jour. En effet, dans ce cas là, le NAC interdit l’accès au terminal.

(28)

Page 28

b. Les contacts

Pour les contacts, une solution possible porterait sur le type de solution MAM (Mobile Application Management). Le principe de ce genre de solution est de tout mettre en oeuvre par l’entreprise pour proposer à ses employés qui apportent leurs terminaux personnels au travail des applications sûres, crées en interne. Ainsi, l’entreprise met à disposition des programmes sécurisés, que le salarié peut télécharger.

Ainsi, l’employé pourrait avoir une application qui récupère tous ses contacts sur le serveur de l’entreprise et l’enregistre sur le terminal prévu à cet effet. Dans le même ordre d’idée, pour éviter tout problème juridique à l’utilisateur en cas de vol ou perte, l’application pourrait être protégée par le nom d’utilisateur et un mot de passe, évitant ainsi la divulgation de données personnelles.

De plus, des applications métiers peuvent ainsi être mises à disposition pour simplifier le travail des employés, qui souhaitent travailler avec leur terminal à l’entreprise ou même à domicile. Ainsi, la solution MAM pourrait être utile pour ces cas d’usage, et bien d’autres encore. Cependant, le redéveloppement d’applications métier pourrait engendrer un coût important pour l’entreprise.

c. L’agenda

Pour le cas de l’agenda, nous allons prendre l’exemple de la solution de “bulle professionnelle”. Le principe étant d’isoler l’environnement professionnel du terminal, environnement qui possède ses propres applications sécurisées dont une, par exemple, qui concerne l’agenda. Ainsi, l’employé peut avoir accès, via son terminal, à cette

“bulle” pour modifier ou juste voir ses rendez-vous, ses réunions, etc.

De plus, les données étant sécurisées, par des moyens de cryptage (par exemple, entrer le login et le mot de passe de l’employé pour y accéder) ou encore supprimer à distance les données importantes, cela diminue les risques de vols d’informations en cas de vol ou perte du terminal, informations qui peuvent être vraiment importantes pour les entreprises.

(29)

Page 29

Cependant, la “bulle professionnelle” peut être aussi utile dans les cas précédemment cités. Mais cette solution ne possède pas de nombreuses applications, ce qui est un inconvénient dans la mesure où elle pourrait sécuriser beaucoup plus de données que prévues initialement, et ainsi éviter de perdre quelques informations qui auraient pu être mieux protégées.

Voici quelques solutions pouvant s’avérer utiles pour ces cas d’usage. Il y en a d’autres, comme il existe de nombreuses solutions qui auraient pu être appropriées pour ces exemples là, mais l’idée était de montrer un aperçu du BYOD dans des cas pratiques.

(30)

Page 30

5. Les stratégies des grands acteurs

Le marché des systèmes d’exploitation mobiles est aujourd’hui dominé par trois grands acteurs : Microsoft, Google et Apple. Ces trois géants ont des passés et des buts bien distincts sur le marché de l’entreprise et ont une influence importante sur celui du BYOD. Ce sont eux qui dictent les grandes orientations.

a. Microsoft

Microsoft a aujourd'hui une position à la fois dominante et délicate sur le marché de l'informatique. C'est aussi vrai dans le cas de la tendance BYOD en entreprise.

En effet, depuis des années, l'entreprise de Redmond a su imposer avec brio toutes ses technologies dans une écrasante majorité des structures, de Windows à Active

Directory en passant par la suite Office. De fait, à l'heure de l'arrivée du BYOD, c'est elle qui possède le plus grand parc installé et domine de la tête et des épaules le marché des laptops.

Cependant, avec son effort d'abord pour Windows Phone 7, puis maintenant dans un avenir proche avec Windows 8, Microsoft est attendue au tournant quant à sa stratégie vis à vis de l'arrivée des téléphones et tablettes –dont naturellement sa

Surface annoncée il y a peu– en entreprise. À ce sujet, la récente annonce de la tablette a provoqué de nombreuses interrogations parmi les professionnels : la tablette Surface restera-t-elle cantonnée au salon puisqu'elle ne propose pas en standard tous les outils de la panoplie eMicrosoft en entreprise ? De plus, il semble que le système de licences de Microsoft ne soit pas du tout pensé pour le BYOD, puisque les terminaux qui utilisent ses produits peuvent être partout, et pas forcément dans le réseau de

l'entreprise, notamment.

Ainsi, on pourrait se demander si Microsoft est prêt à sauter le pas du BYOD, ou plus largement, si elle ne le bouderait même pas un peu. On pourrait en effet supposer que la firme de Redmond n'a rien à gagner à supprimer les postes utilisateurs des

(31)

Page 31

entreprises pour du matériel personnel étant donné qu'elle détient un quasi-monopole sur ce marché.

b. Google

Google est essentiellement présent en entreprise par le biais d’Android, leader du marché des OS mobiles avec plus de 65% de PDM, que ce soit sur tablettes ou sur téléphones.

Les entreprises ont donc un réel intérêt à supporter cette plate-forme mobile.

La firme de Moutain View est cependant relativement jeune en terme de développement de systèmes d’exploitation vis à vis notamment de ses deux concurrents directs Apple et Microsoft.

Ainsi, la plate-forme souffre de problèmes assez inédits, notamment d’un fractionnement important du marché des terminaux Android. D’après les chiffres de juillet 2012, la version majoritaire reste Android 2.3.x, la version 4 n’étant qu’à 10% de part de marché.

(32)

Page 32

De fait, les entreprises sont frileuses pour développer leurs solutions BYOD pour l’OS sachant que les différences entre les différentes versions sont suffisamment importantes pour poser des problèmes de portabilité.

En revanche, le côté ouvert de cette plate-forme permet de mieux intégrer les solutions dans les périphériques des utilisateurs. Il est donc possible de réaliser un cloisonnement professionnel/personnel plus poussé que la simple installation d’une application. Certains sont même allés jusqu’à modifier le système pour mieux épouser leurs besoins.

c. Apple

Depuis de nombreuses années, le marché de l'entreprise ne semble pas être une priorité pour la marque Californienne. En effet, se savant dominée par Microsoft, sa stratégie pour le Mac était de viser d'abord l'utilisateur indépendant, et l'iPhone puis l'iPad peuvent donner la même impression "hobbyiste" à première vue.

Cependant, depuis sa présentation en 2006, iOS s'est vu greffer petit à petit tous les éléments nécessaires à son intégration dans une entreprise : Exchange, gestion des profiles, outils de MDM, etc… Résultat : aujourd'hui, iOS est la plate-forme mobile la plus

"BYOD-ready" en terme de compatibilité technologique. Et c'est aussi, pour des raisons historiques, une des premières plate-formes importée par les employés dans leur

entreprise.

Ainsi, Apple semble bien déterminée à capitaliser sur "l'effet halo" comme elle aime à l'appeler. Si elle a toujours ouvertement communiqué sur son désir de vendre des Macs aux utilisateurs d'iPhones et d'iPads, peut-être espère-t-elle aussi faire son entrée dans le marché de l'entreprise par la petite porte, à savoir par le biais de ses clients et du BYOD.

(33)

Page 33

6. Conclusion

Le BYOD est une tendance encore récente. Des enjeux sont présents,

notamment financiers et en terme de productivité, mais des risques juridiques et de sécurité existent si rien n’est fait pour accompagner la tendance dans l’entreprise et la maîtriser. De nombreuses solutions existent pour tenter de répondre au problème, mais leur diversité est importante et il convient de les choisir avec précaution en fonction des usages au sein de l'entreprise. Les principales approches solutionnent des parties

différentes du problème: il est donc prudent d’étudier les usages qui en sont faits dans l’entreprise pour appliquer un certain type de solution à un certain type d’utilisateur par exemple. Cependant, et de manière générale, peu de solutions supportent tous les systèmes d'exploitation majeurs, y compris les PC portables, mais cela va en

s'améliorant. Les grands acteurs du marché commencent à prendre position, mais ne suivent que vaguement la tendance. C’est donc un marché à surveiller de près vu le nombre de solutions et d’approches, mais tout à fait mature.

(34)

Page 34

7. Bibliographie

Le Clusif se penche sur le phénomène du Byod :

http://www.lemondeinformatique.fr/actualites/lire-le-clusif-se-penche-sur-le- phenomene-du-byod-49112.html

BYOD : 74% des salariés utilisent au moins deux terminaux pour travailler :

http://www.zdnet.fr/actualites/byod-74-des-salaries-utilisent-au-moins-deux-terminaux- pour-travailler-39770169.htm

Best Practices SI - BYOD : les chiffres clés http://www.bestpractices-

si.fr/index.php?option=com_content&task=view&id=1617&Itemid=37

Magic Quadrant for Mobile Device Management Software

http://www.gartner.com/technology/reprints.do?id=1-1AKMU7L&ct=120518&st=sb

Magic Quadrant for Network Access Control

http://www.gartner.com/technology/reprints.do?id=1-18VNF2C&ct=120119&st=sb

Aruba Networks Swings Big At BYOD And More With ClearPass

http://www.networkcomputing.com/next-gen-network-tech-center/aruba-networks- swings-big-at-byod-and-mo/232601145

Aruba Networks

http://www.arubanetworks.com/

Aruba Networks Joins MDM Game With ClearPass Policy Manager

http://www.eweek.com/c/a/Security/Aruba-Networks-Joins-MDM-Game-With- ClearPass-Policy-Manager-815964/

Cisco fait évoluer ses technologies réseau pour répondre aux enjeux informatiques les plus complexes : accès sécurisé depuis tous les périphériques, gestion unifiée et vidéo de haute qualité

(35)

Page 35

http://globalnewsroom.cisco.com/easyir/FR/fr/all/press-release/Cisco-fait-evoluer-ses- technologies-reseau-pour-repondre-aux-enjeux-informatiques-les-plus-complexes-- acces-securise-depuis-tous-les-peripheriques-gestion-unifiee-et-video-de-haute-qualite- -746278.html

Cisco Identity Services Engine - Products & Services - Cisco Systems http://www.cisco.com/en/US/products/ps11640/index.html

(36)

Page 36

8. Annexes

a. Modèle de la fiche d’évaluation

[NOM SOLUTION]

Type de solution : Éditeur :

Évaluation générale

Cout global : Sécurité de la solution :

Cout license : Faible Durée de mise en place :

Chang. du SI : Modéré Temps maintenance :

Serveurs : Élevé Facilité d'utilisation/administration : Nb. systèmes supportés : Élevé Niveau de maturité :

b. Solucom

Solucom est un cabinet de conseil en management et système d’information.

Les clients de Solucom sont dans le top 200 des grandes entreprises et

administrations. Pour eux, Solucom est capable de mobiliser et de conjuguer les compétences de près de 1000 collaborateurs. Sa mission ? Porter l’innovation au coeur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de

l’entreprise.

(37)

Page 37

Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par OSEO innovation.

Pour en savoir plus, venez découvrir http://www.SolucomINSIGHT.fr, le magazine en ligne de Solucom.

c. Epita

Créée il y a 25 ans, l’EPITA est l’école d’ingénieurs qui forme celles et ceux qui conçoivent, développent et font progresser les technologies de l’information et de la communication (TIC), au coeur des changements du 21ème siècle.