Les organisations qui choisissent d’ignorer la consumérisation des technologies de l’information, qui permet aux employés qui le désirent d’utiliser leur téléphone intelligent, leur tablette ou leur ordinateur personnel comme outil de travail, s’exposent à de graves risques.
« Si vous choisissez d’ignorer la consumérisation des TI – connue en anglais sous le vocable de BYOD (Bring Your Own Device) – c’est elle qui viendra à vous. Les employés trouveront un moyen de contourner la sécurité et se brancheront au réseau, avec tous les risques que cela comporte », affirme Jean-Claude Ouellet, vice-président, Ventes et opérations, Est du Canada chez Cisco.
Une étude de Citrix Systems menée auprès de 1 900 responsables des technologies de l’information dans 19 pays, incluant le Canada, soutient que 35 % des entreprises canadiennes ayant une politique de BYOD l’ont mise en place après avoir été victime d’une brèche de sécurité ou après en avoir évalué les risques.
« Si on revient à la source, le BYOD a commencé il y a trois ou quatre ans quand un vice-président d’une entreprise est arrivé au travail avec son nouvel iPhone reçu à Noël. Il est allé voir l’équipe des technologies de l’information et a demandé à ce que son appareil soit connecté sur le réseau de la société », illustre le président de Mobile Maestria, Normand Cyr.
Ce dernier ajoute qu’aujourd’hui, la pression ne vient plus de la haute direction, mais de tous les employés : « Ils trouvent des moyens d’accéder au réseau, d’aller chercher leurs courriels… Avec des appareils non reconnus branchés au réseau, les directeurs des TI ont beaucoup de difficulté à contrôler l’information qui y circule et cela peut amener de nombreux problèmes. La tendance est trop forte pour y résister. Les entreprises vont devoir s’ajuster à cette nouvelle réalité », dit-il.
Pourtant, d’après une recherche d’IDC Canada publiée en septembre et effectuée par l’analyste Krista Napier, seulement 30 % des entreprises canadiennes ont une politique de BYOD en place. Au nombre des entreprises qui n’ont pas de politique, 26 % planifient d’en implanter une au cours des 12 prochains mois, alors que 44 % n’ont aucun plan en ce sens.
De son côté, Citrix soutient que 34 % des organisations canadiennes ont une politique de BYOD en place, comparativement à 51 % aux États-Unis. Le pays accuse donc un certain retard à ce niveau.
L’iPad change la donne
Si l’iPhone a donné naissance à la consumérisation des TI, c’est toutefois l’arrivée de l’iPad en 2010 qui a réellement donné un élan au phénomène. « Traditionnellement, les gens entraient au bureau et se faisaient offrir un BlackBerry et un ordinateur portable. Puis, il y a quelques années, avec le début du déclin du BlackBerry, les employés sont arrivés avec des iPad pour se connecter aux services de l’entreprise. Au début, l’objectif était surtout d’avoir accès aux courriels. Par la suite, d’autres services se sont ajoutés », explique Frédéric Laurendeau, président de la société montréalaise mPhase.
M. Laurendeau soutient que les deux plateformes dominantes dans l’industrie de la mobilité (Android et iOS) ont fait beaucoup de travail pour séduire les entreprises ces derniers temps en intégrant à leurs systèmes des fonctionnalités de gestion des postes mobiles (Mobile Device Management, ou MDM). Ces fonctions permettent aux entreprises de sécuriser et de gérer les interactions entre leur réseau principal et les appareils mobiles qui servent de postes de travail aux travailleurs.
Par où commencer?
Normand Cyr précise que les entreprises qui veulent adopter le BYOD doivent avant tout s’équiper d’une plateforme de gestion des postes mobiles. À ce niveau, le choix est selon lui très varié.
Fran Rosch, vice-président du groupe de la sécurité en entreprise chez Symantec, soutient qu’il faut agir à plusieurs niveaux : « En premier lieu, il faut sécuriser l’infrastructure mobile. Ce n’est pas ‘sexy’, mais il faut s’assurer que les systèmes soient équipés des plus récents logiciels antivirus, rustines et autres mises à jour. Ce n’est pas suffisant, mais c’est la base », dit-il.
Par la suite, les sociétés doivent agir au niveau l’information, afi n de savoir où elle se trouve et où elle va : « L’information peut se trouver à l’intérieur de l’entreprise, dans un nuage informatique, sur un ordinateur personnel, un appareil mobile ou dans un courriel… Les équipes de direction vont réaliser rapidement qu’elles ne peuvent pas tout protéger et qu’il faut classer l’information en plusieurs catégories », explique-t-il.
M. Rosch estime qu’il faut alors décider quelles informations peuvent circuler librement et quelles sont celles qui doivent être entourées de plus de sécurité.
« L’entreprise doit faire une introspection. Elle doit faire le point sur sa situation, définir qui sont ses employés et quels sont leurs besoins pour les informations disponibles. Il faut aussi définir si l’information a de la valeur lorsqu’elle est accessible depuis une plateforme mobile et quels sont les objectifs que l’on souhaite atteindre en ouvrant nos systèmes à d’autres plateformes ou écosystèmes mobiles sur lesquels on n’aura pas de contrôle à 100 % », précise Frédéric Laurendeau.
D’après M. Laurendeau, les objectifs peuvent varier grandement d’une entreprise à l’autre : « Bien sûr, les enjeux de rétention du personnel sont bien présents. Les employés les plus jeunes ont souvent leurs appareils mobiles et veulent s’en servir au travail. Une politique de BYOD donne davantage de souplesse et permet à la main-d’œuvre d’être plus productive », dit-il. L’objectif peut également en être un de réduction des coûts pour les entreprises qui payent les BlackBerry à tous leurs employés.
Il faut toutefois faire attention aux coûts cachés de l’intégration d’une politique de BYOD, car les sociétés qui empruntent ce chemin doivent s’assurer que les systèmes sont compatibles avec plusieurs plateformes : « Il y a beaucoup de tests à faire, d’expertise à acquérir et de choses à apprendre. Les systèmes d’exploitation des plateformes mobiles sont fréquemment mis à jour et les sociétés doivent suivre le rythme. C’est tout un écosystème à maîtriser. Chaque organisation doit réfléchir à ce qu’elle est prête à perdre et ce qu’elle veut aller chercher. À ce moment, il sera plus facile de faire des compromis », dit-il.
Un piège à éviter est de trop encadrer les employés. Fran Rosch affirme que si les politiques de consumérisation des TI d’une entreprise sont trop restrictives, les travailleurs ne l’utiliseront tout simplement pas.
Attention à la vidéo
Jean-Claude Ouellet, de Cisco, estime que la vidéo est l’élément dont il faudra tenir compte au cours des prochaines années : « Le réseau est la fondation de tout. Sans lui, impossible d’avoir une bonne expérience-client. Quand Cisco a parlé de téléphonie IP il y a 12-14 ans, les gens disaient qu’il serait impossible de mettre de la voix sur un réseau de données, que ce n’était pas fiable… Aujourd’hui, tout est là-dessus. Le problème, c’est que la nouvelle voix, c’est la vidéo », affirme-t-il.
De nombreux appareils mobiles munis de caméras permettent de faire des appels téléphoniques en regardant son interlocuteur, certains sont même équipés de fonctions pour les conférences téléphoniques.« De plus en plus de conversations se font avec la vidéo. Si tous les employés se mettent à communiquer avec la vidéo et que l’entreprise ne s’est pas préparée adéquatement, ça va complètement écraser le réseau », dit-il, estimant que la vidéo demande au minimum dix fois plus de bande passante que la voix.
M. Ouellet met également les entreprises en garde contre les employés qui se servent de plus d’un appareil mobile personnel au bureau, car il s’agit là d’un autre phénomène susceptible de surcharger les réseaux.
À ce niveau, l’étude de Citrix affirme que dans les 19 pays sondés, les travailleurs se connectent au réseau de leur employeur avec 4,43 appareils en moyenne. Au Canada, ce chiffre est encore plus élevé à 5,39!
Selon Jean-Claude Ouellet, il existe des solutions adaptées aux entreprises de toutes tailles offertes par des fournisseurs de services de télécommunications ou par des géants de l’informatique et de la sécurité.