La consumérisation, le nouveau cauchemar de la DSI ?

Guillaume Plouin

Guillaume Plouin

Responsable de l'offre Cloud Computing et Auteur de “Cloud Computing” chez Dunod, 2011

OCTO Technology

En savoir plus sur l'auteur

25 mai 2012 4 commentaires
Mots-clés : Europe

Après l'offshore et le Cloud Computing, le mouvement BYOD pourrait former la nouvelle bête noire des directions informatiques.

De plus en plus d’entreprises, en particulier des startups/PME, laissent leurs employés utiliser les outils qu’ils choisissent. Cela, afin de maximiser leur efficacité, mais aussi parce qu'ainsi ils prennent plus soin de leur matériel, et parfois enfin pour leur éviter de transporter deux téléphones. Cette tolérance introduit une grande confusion des genres : usage d'applications professionnelles à la maison, d'outil personnels au travail... Utiliser le BYOD signifie laisser des appareils non maîtrisés accéder au SI de l’entreprise : outils de collaboration, Intranet, serveur de fichier. Ils créent des risques d’introduction de virus et chevaux de Troie, de fuites de données. On pourra tenter de contrôler ces appareils. Mais certains, comme les tablettes ou les smartphones Apple, sont impropres à une gestion centralisée par l’entreprise.

Des problématiques de sécurité 

Ils font cohabiter applications personnelles et professionnelles. Il est ardu d’y télé-distribuer des applications. La propriété des logiciels y est atypique : selon les CGU Apple, les logiciels achetés sur l’AppStore par l’entreprise deviennent la propriété des utilisateurs des appareils. De plus les applications pour appareils mobiles sont largement adossées à des Clouds comme Dropbox ou iCloud pour le stockage, et pour l’aspect "device agnostic" : elles incitent donc les utilisateurs à déporter leurs données sur des espaces non homologués par la DSI. Nos utilisateurs deviennent donc autonomes sur leur matériel (BYOD) et leurs applicatifs (SaaS). La DSI se voit ainsi grignotée par les deux extrémités : interfaces utilisateurs d’un côté, et applications de collaboration de l’autre.

Une perte de périmètre

Ce phénomène tend à réduire le spectre d'intervention : l’informatique dite de commodité leur échappe peu à peu... La DSI peut-elle faire le deuil des postes de travail standardisés ? Le RSSI peut-il assouplir ses règles pour faire gagner les utilisateurs en productivité ? Ou bien les utilisateurs vont-ils se créer un SI parallèle ? BYOD et Cloud ont un bénéfice indéniable : recentrer la DSI sur les applications stratégiques. Le reste est une question de confiance. J’ai la conviction que le "pari de la confiance" était la solution gagnante pour l’entreprise. Traiter les employés comme des adultes responsables les incitent à plus d’initiative, et crée de la motivation. le contrôle des activités par des dispositifs techniques est selon moi une pratique obsolète et contre productive.

Haut de page

4 Commentaires

Les données, le système et le juridique: voilà les trois risques majeurs du BYOD tels que le Clusif les a identifiés. On en trouvera ici une synthèse http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2012-Byod-Synthese.pdf

Par ailleurs, concernant le "périmètre", on peut aussi adopter le point de vue qui consiste à se demander en permanence si le client est "de confiance" ou pas: on peut ainsi laisser s'éxécuter une appli de collaboration (webconférence, im, etc.) interne sans trop de problèmes sur un client n'appartenant pas au système, mais on lui refusera l'accès à l'intranet par exemple.

Soumis par Logiciels pros (non vérifié) - le 31 mai 2012 à 12h32

Le fait de laisser ou non l'usage de terminaux privés pour un usage professionnel, qui plus est connectés aux systèmes et données de l'entreprise n'est pas de la responsabilité de la DSI, mais de la direction de l'entreprise.
Cette décision ne doit pas être prise à la légère, et ne se pose pas simplement en termes de confiance et de motivations. Vous citez le terme d'adultes responsables: La est bien le problème: la responsabilité juridique de l'usage et de la diffusion des informations. Pensez vous qu'une clause engageant la responsabilité illimité de l'usager en cas de fuite d'informations stratégiques ait une chance d’être signée par cet usager? Quel niveau de responsabilité pensez vous qu'un employé puisse accepter vis à vis de risques qu'il peux faire courir à l'entreprise ou à ces clients? doit il prendre une assurance spécifique pour garantir ces risques?
Vous voyez que les problèmes posés peuvent être très larges et complexes, sans parler des problèmes d’exploitation et de support.

Si il apparait que cette ouverture procure un intérêt ou avantages potentiels stratégiques pour l'entreprise alors elle doit être menée comme un projet d'entreprise, mais surement pas etre traitée sur le simple pari de la confiance.

Soumis par Thierry RAULT (non vérifié) - le 07 juin 2012 à 10h57

Une autre tendance semble également se dessiner, dont on parle moins ce qui s’explique aisément : centraliser l’achat de toute la téléphonie mobile (tablettes, smartphones, simples mobiles, cartes 3/4G), à l’identique de ce qui s’est pratiqué avec les PC puis les portables.
Cette solution présente des avantages : unification du parc qui devient ainsi plus facile à gérer (stratégies de sécurité, remplacement du matériel défectueux), prix de gros sur les terminaux, indépendance vis-à-vis des opérateurs …
Néanmoins, les inconvénients me semblent l’emporter : le fonctionnement optimal des terminaux n’est absolument pas garanti (la qualification de bout en bout du service exige de longues périodes de tests et d’ajustements entre opérateurs et constructeurs), le gain sur le prix des terminaux n’a rien d’évident dès lors qu’il y a un facteur volume important entre les achats (ponctuels) de l’entreprise et ceux de l’opérateur (réguliers, parfois par millions), pour les iPhone, Apple passe exclusivement par les opérateurs en raison d’un partage de valeur complexe, l’obsolescence n’est pas gérée en cas d’évolution des réseaux (on voit mal un opérateur s’engager à maintenir une technologie obsolète pour permettre à un client qui ne lui achète que des la minute ou des octets à garder son service, d’autan t plus que celui-ci ne sera pas engagé durablement), etc.
En la matière, on appliquerait une vieille solution à une nouvelle problématique.
La solution résidera sans doute dans un juste milieu avec une ouverture aux principaux standards, facilitée par des architecture cloud (et peut-être une ouverture d’Apple pour faciliter l’utilisation en entreprise, mais il faudrait que celui-ci se sente vraiment menacé sur ce marché).

Soumis par Télécom Génération (non vérifié) - le 11 juin 2012 à 09h14

Bonjour,

pour répondre à Thierry RAULT, il me semble que le "pari de la confiance" est un projet d'entreprise, un modèle de management. On constate que beaucoup d'entreprises innovantes du monde du Web (Google, Amazon, 37Signals,...) l'appliquent avec succès. Donc, je pense que c'est à modèle à étudier.
Les acteurs que j'évoque responsabilisent effectivement leurs employés de manière contractuelle. Mais n'avons-nous pas des clauses comparables dans nos contrats de travail ?
Le mien stipule par exemple « Le Salarié s’interdit de faire des copies ou reproductions des documents appartenant à la Société qui lui sont confiés, que ce soit pour son usage personnel ou pour tout autre usage, sauf autorisation expresse de la Société »

Soumis par Plouin - le 27 juin 2012 à 12h24

Mentions légales © L’Atelier BNP Paribas