BYOD, pour "Bring Your Own Device" (apportez votre propre appareil), fait référence à la politique informatique de l'entreprise qui détermine quand et comment les employés, sous-traitants et autres utilisateurs finaux autorisés peuvent utiliser leurs propres ordinateurs portables, smartphones et autres appareils personnels sur le réseau de l'entreprise pour accéder aux données de l'entreprise et effectuer leurs tâches professionnelles.

Le BYOD est apparu avec le lancement des smartphones iOS et Android à la fin des années 2000, alors que de plus en plus de travailleurs préféraient ces appareils aux téléphones portables standard de l'époque. L'essor du travail à distance et des formules de travail hybrides, ainsi que l'ouverture des réseaux d'entreprise aux fournisseurs et aux sous-traitants, ont accéléré la nécessité d'étendre la politique BYOD au-delà des smartphones. Plus récemment, la pandémie de COVID-19, ainsi que les pénuries de puces et les perturbations de la chaîne d'approvisionnement qui en ont résulté, ont poussé de nombreuses organisations à adopter une politique BYOD, afin de permettre aux nouveaux employés de travailler en attendant un appareil fourni par l'entreprise.

Généralement élaborée par le DSI et d'autres décideurs informatiques de haut niveau, la politique BYOD définit les conditions dans lesquelles les appareils appartenant aux employés peuvent être utilisés au travail, ainsi que les politiques de sécurité que les utilisateurs finaux doivent respecter lorsqu'ils les utilisent.

Bien que les spécificités d'une politique BYOD varient en fonction des objectifs d'une organisation, la plupart des politiques relatives aux appareils définissent des variations des éléments suivants :

Utilisation acceptable : les politiques BYOD décrivent généralement comment et quand les employés peuvent utiliser des appareils personnels pour des tâches liées au travail. Par exemple, les directives d'utilisation acceptable peuvent inclure des informations sur la connexion sécurisée aux ressources de l'entreprise par le biais d'un réseau privé virtuel (VPN) et une liste d'applications professionnelles approuvées.

Les politiques d'utilisation acceptable précisent souvent comment les données sensibles de l'entreprise doivent être manipulées, stockées et transmises à l'aide des appareils appartenant aux employés. Le cas échéant, les politiques BYOD peuvent également inclure des politiques de sécurité et de conservation des données conformes à des réglementations telles que la loi Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley et le règlement général sur la protection des données (RGPD).

Appareils autorisés : une politique BYOD peut décrire les types d'appareils personnels que les employés peuvent utiliser à des fins professionnelles, ainsi que les spécifications pertinentes des appareils, telles que la version minimale du système d'exploitation.

Mesures de sécurité : les politiques BYOD fixent généralement des normes de sécurité pour les appareils des employés. Celles-ci peuvent inclure des exigences minimales en matière de mot de passe et des politiques d'authentification à deux facteurs, des protocoles de sauvegarde des informations sensibles et des procédures à suivre en cas de perte ou de vol d'un appareil. Les mesures de sécurité peuvent également spécifier les logiciels de sécurité que les employés doivent installer sur leurs appareils, tels que des outils de gestion des appareils mobiles (MDM) ou de gestion des applications mobiles (MAM). Ces solutions de sécurité BYOD sont décrites plus en détail ci-dessous.

Confidentialité et autorisations : les politiques BYOD décrivent généralement les mesures que le service informatique prendra pour respecter la confidentialité des employés sur leurs appareils, notamment la manière dont l'organisation maintiendra la séparation entre les données personnelles des employés et les données de l'entreprise. La politique peut également détailler les autorisations spécifiques dont le service informatique a besoin sur l'appareil de l'employé, notamment certains logiciels qu'il peut être amené à installer et les applications qu'il peut être amené à contrôler.

Remboursement : si l'entreprise rembourse les employés pour l'utilisation de leurs appareils personnels, par exemple en offrant une allocation pour l'achat d'un appareil ou en subventionnant des forfaits Internet ou de données mobiles, la politique BYOD indiquera comment le remboursement est géré et les montants que les employés peuvent recevoir.

Support informatique : la politique BYOD peut spécifier dans quelle mesure le service informatique d'une entreprise sera (ou ne sera pas) disponible pour aider les employés à dépanner les appareils personnels cassés ou ne fonctionnant pas correctement.

Désinscription : enfin, les politiques BYOD décrivent généralement les étapes à suivre si un employé quitte l'entreprise ou retire son appareil du programme BYOD. Ces procédures de sortie incluent souvent des plans pour supprimer les données d'entreprise sensibles de l'appareil, révoquer l'accès de l'appareil aux ressources réseau et mettre hors service le compte de l'utilisateur ou de l'appareil. 

Les programmes BYOD soulèvent des problèmes de sécurité des appareils que les services informatiques ne rencontrent pas souvent (ou rencontrent dans une moindre mesure) avec les appareils fournis par l'entreprise. Les vulnérabilités matérielles ou système des appareils des employés peuvent élargir la surface d'attaque de l'entreprise, offrant aux pirates de nouveaux moyens de pénétrer le réseau de l'entreprise et d'accéder aux données sensibles. Les employés peuvent adopter un comportement plus risqué en matière de navigation, de courriers électroniques ou de messagerie sur leurs appareils personnels qu'ils n'oseraient le faire avec un appareil fourni par l'entreprise. Un logiciel malveillant qui infecte l'ordinateur d'un employé en raison de son utilisation personnelle peut facilement se propager au réseau de l'entreprise.

Avec les appareils fournis par l'entreprise, le service informatique peut éviter ces problèmes et d'autres problèmes similaires en surveillant et en gérant directement les paramètres, les configurations, les logiciels d'application et les autorisations des appareils. Mais il est peu probable que les équipes chargées de la sécurité informatique aient le même contrôle sur les appareils personnels des employés, et ces employés s'offusqueraient probablement de ce niveau de contrôle. Au fil du temps, les entreprises se sont tournées vers une variété d'autres technologies pour atténuer les risques de sécurité BYOD.

Bureaux virtuels

Les bureaux virtuels, également appelés infrastructures de bureau virtuel (VDI) ou bureaux en tant que service (DaaS), sont des instances informatiques de bureau entièrement provisionnées qui s'exécutent sur des machines virtuelles hébergées sur des serveurs distants. Les employés accèdent à ces bureaux et les exécutent essentiellement à distance à partir de leurs appareils personnels, généralement via une connexion chiffrée ou un VPN.

Avec un bureau virtuel, tout se passe à l'autre bout de la connexion - aucune application n'est installée sur l'appareil personnel et aucune donnée d'entreprise n'est traitée ou stockée sur l'appareil personnel - ce qui élimine efficacement la plupart des problèmes de sécurité liés aux appareils personnels. Mais les bureaux virtuels peuvent être coûteux à déployer et à gérer ; comme ils dépendent d'une connexion internet, les employés ne peuvent pas travailler hors ligne.

Le logiciel en tant que service (SaaS) basé sur le cloud peut fournir un avantage de sécurité similaire avec moins de frais généraux de gestion, mais aussi un peu moins de contrôle sur le comportement de l'utilisateur final.

Solutions de gestion des appareils

Avant le BYOD, les organisations géraient les appareils mobiles fournis par l'entreprise à l'aide d'un logiciel de gestion des appareils mobiles (MDM). Les outils MDM donnent aux administrateurs un contrôle total sur les appareils : ils permettent d'appliquer des politiques de connexion et de chiffrement des données, d'installer des applications d'entreprise, d'envoyer des mises à jour d'applications, de suivre l'emplacement des appareils et de verrouiller et/ou nettoyer un appareil s'il est perdu, volé ou autrement compromis.

La gestion des appareils mobiles était une solution de gestion mobile acceptable jusqu'à ce que les employés commencent à utiliser leurs propres smartphones au travail et qu'ils se rebellent rapidement pour accorder aux équipes informatiques ce niveau de contrôle sur leurs appareils, applications et données personnels. Depuis lors, de nouvelles solutions de gestion des appareils sont apparues à mesure que les utilisateurs d'appareils personnels et les styles de travail des employés ont changé :

Gestion des applications mobiles (MAM) : plutôt que de contrôler les appareils eux-mêmes, la MAM se concentre sur la gestion des applications, accordant aux administrateurs informatiques le contrôle des applications et des données d'entreprise uniquement. La MAM y parvient souvent grâce à la conteneurisation, la création d'enclaves sécurisées pour les données et les applications d'entreprise sur les appareils personnels. La conteneurisation donne au service informatique un contrôle total sur les applications, les données et les fonctionnalités des appareils dans le conteneur, mais ne lui permet pas de toucher ni même de voir les données personnelles des employés ou l'activité des appareils au-delà du conteneur.

Gestion de la mobilité d'entreprise (EMM) : à mesure que la participation à la politique BYOD augmentait et s'étendait des smartphones aux tablettes, et des Blackberry OS et Apple iOS à Android, la gestion des applications mobiles avait du mal à suivre tous les nouveaux appareils appartenant aux employés introduits dans les réseaux d'entreprise. Des outils de gestion de la mobilité d'entreprise (EMM) sont rapidement apparus pour résoudre ce problème. Les outils de gestion de la mobilité d'entreprise combinent les fonctionnalités de la MDM, de la MAM et de la gestion des identités et des accès (IAM), offrant aux services informatiques une vue unique sur une seule plateforme de tous les appareils mobiles personnels et appartenant à l'entreprise présents sur le réseau.

Gestion unifiée des terminaux (UEM). Le seul inconvénient de l'EMM était qu'il ne pouvait pas gérer les ordinateurs Microsoft Windows, Apple MacOS et Google Chromebook - un problème car le BYOD devait s'étendre pour inclure les employés et les tiers travaillant à distance à l'aide de leurs propres PC. Les plateformes UEM ont émergé pour combler cette lacune, en regroupant la gestion des appareils mobiles, des ordinateurs portables et des ordinateurs de bureau sur une seule plateforme. Avec l'UEM, les services informatiques peuvent gérer les outils, les politiques et les flux de travail de sécurité informatique pour tous les types d'appareils, quels que soient leur système d'exploitation et le lieu de leur connexion.

Les avantages du BYOD pour l'organisation les plus fréquemment cités sont les suivants :

• Des économies des coûts et une réduction de la charge administrative liée à l'informatique : l'employeur n'est plus responsable de l'achat et de la mise à disposition des appareils pour tous les employés. Pour les entreprises capables d'implémenter et de gérer avec succès le BYOD pour la plupart ou l'ensemble des employés, ces économies peuvent être considérables.
  
  
• Un processus d'intégration plus rapide des nouvelles recrues : les employés n'ont plus besoin d'attendre un appareil fourni par l'entreprise pour commencer à travailler sur des tâches professionnelles. Cela s'est avéré particulièrement pertinent lors des récentes pénuries de puces et autres perturbations de la chaîne d'approvisionnement, qui peuvent empêcher une entreprise de fournir un ordinateur à ses employés à temps pour commencer à travailler.
  
  
• Une amélioration de la satisfaction et de la productivité des employées : certains employés préfèrent travailler avec leurs propres appareils, qu'ils trouvent plus familiers ou plus performants que les équipements fournis par l'entreprise.

Ces avantages, ainsi que d'autres avantages du BYOD, peuvent être contrebalancés par des défis et des compromis pour les employés et pour les employeurs :

• Des problèmes de confidentialité pour les employés : les employés peuvent s'inquiéter de la visibilité de leurs données et de leurs activités personnelles, et peuvent être mal à l'aise à l'idée d'installer des logiciels mandatés par le service informatique sur leurs appareils personnels.
  
  
• Des bassins de candidats limités, des problèmes d'inclusion : si le BYOD est obligatoire, les personnes qui n'ont pas les moyens ou qui ne possèdent pas d'appareils personnels adéquats peuvent être exclues. Et certaines personnes peuvent préférer ne pas travailler pour une organisation qui les oblige à utiliser leur ordinateur personnel, que l'employeur les rembourse ou non.
  
  
• Des risques de sécurité persistants : même si des solutions de sécurité et de gestion des appareils BYOD sont en place, les employés n'adhèrent pas toujours aux meilleures pratiques de cybersécurité (par exemple, une bonne hygiène des mots de passe, la sécurité des appareils physiques) sur leurs appareils personnels, ce qui ouvre la porte aux pirates, aux logiciels malveillants et aux violations de données.
  
  
• Problèmes de conformité réglementaire : les employeurs des secteurs de la santé, de la finance, du gouvernement et d'autres secteurs fortement réglementés peuvent ne pas être en mesure d'implémenter le BYOD pour certains ou tous les employés, en raison de réglementations strictes et de pénalités coûteuses concernant le traitement des informations sensibles.