Le BYOD, ou « Bring Your Own Device » est une tendance croissante depuis la crise du COVID qui offre de nombreux avantages aux entreprises et aux employés en matière de productivité, de flexibilité et de satisfaction au travail.
Cette pratique consiste à autoriser les employés à utiliser leur propre matériel informatique comme les smartphones, les tablettes ou même les PC pour accéder au système d’information de l’employeur et y travailler.
Cette pratique offre plusieurs avantages pour les entreprises, comme le fait de réduire les coûts en gestion du matériel, le fait de laisser les employés travailler en « mobiquité » ou ATAWAD en anglais (à n’importe quel moment, n’importe ou et à partir de n’importe quel appareil) et d’encourager ainsi leur motivation et leur productivité.
Quels sont les risques de sécurité ?
Cependant la multiplication des supports informatiques n’est pas sans poser des problèmes de sécurité pour les entreprises.
En effet, la multiplication des appareils pouvant communiquer avec le système d’information des entreprises correspond à autant de point d’accès et failles exploitables pour les personnes malveillantes
Il existe des exemples récents d’attaque comme skygofree, GriftHorse qui s’attaquaient en priorité au smartphone Android et surtout le logiciel espion PEGASUS qui a exploité les appareils mobiles de nombreuses victimes grâce à une surveillance à distance de l’activité des appareils mobiles à des fins de cyber espionnage.
Pegasus était particulièrement redoutable car il pouvait exploiter des vulnérabilités des systèmes d’exploitation mobiles, que ce soit iOS d’Apple ou Android de Google, pour accéder aux informations sensibles stockées sur l’appareil infecté.
Une fois installé, il récupérait tout le contenu de l’appareil mobile comme les appels, les messages, les e-mails, les mots de passe, les contacts, les enregistrements audios, les images, et était même capable d’activer à distance la caméra et le micro du téléphone…
Autre défi pour les entreprises à exploiter une flotte Byod importante, c’est de réussir à assurer la compatibilité technique entre les diverses configurations matérielles et logicielles de tous les collaborateurs.
Comment répondre aux défis juridiques et techniques posés par la pratique du BYOD pour les entreprises ?
1. Les problématiques juridiques
Il existe en Europe de nombreuses lois et réglementations susceptibles de s’appliquer à la pratique du Byod pour les entreprises.
On citera par exemple, la réglementation sur la sécurité des données à caractère personnel lorsque les appareils personnels des employés sont utilisés pour gérer ce type de données.
La sécurité des données à caractère personnel
Le RGPD, pour ne citer que lui, exige que des mesures de sécurité soient déployées tout au long du cycle de vie de la donnée et si celle-ci est accessible depuis un matériel personnel, alors ce dernier devra être sécurisé au même titre que n’importe quel matériel professionnel.
Or, le fait d’installer un dispositif de surveillance à vocation sécuritaire sur le matériel personnel peut de fait entraîner des problématiques relatives à la surveillance plus générale de l’activité professionnelle des employés et celle-ci devra être encadrée.
Autres problématiques juridiques à envisager dans le cadre de l’autorisation du Byod en entreprise :
- Les règles relatives au droit social : temps de travail, heures supplémentaires, droit à la déconnexion… Il est en effet facile à un collaborateur qui utilise son matériel personnel de se connecter en dehors des heures de travail.
- Les règles relatives à la propriété intellectuelle : à qui appartiennent les potentielles œuvres créées à partir d’un matériel personnel utilisé à des fins professionnelles ? A priori de manière générale, elles appartiennent à l’employeur mais pour éviter tout litige postérieur, il semble utile de traiter ce point dès le départ
La responsabilité de l’entreprise
Enfin, un point sensible à envisager, ce sont les questions de responsabilité liées à une attaque informatique menée sur le réseau d’une entreprise à partir du matériel personnel d’un employé, ce dernier pourrait il être sanctionné pour avoir vu son matériel personnel utilisé comme vecteur d’une attaque informatique pouvant avoir causé des milliers d’euros de préjudice à son employeur ?
L’ensemble de ces problématiques juridiques devront être abordées dans le cadre des règles applicables au sein des entreprises.
Il pourrait s’agir, par exemple, du règlement intérieur ou des différentes chartes applicables au sein d’une entreprise : charte informatique, charte matériel, charte Byod, charte télétravail…
Quel que soit son nom, ce ou ces documents devront prendre en compte les usages au sein des entreprises sachant qu’il reste possible pour un employeur d’interdire purement et simplement cette pratique.
La responsabilité du salarié
La responsabilité du salarié pourra alors être engagée de plein droit s’il décide de passer outre cette obligation dans le cas où celle-ci viendrait causer un préjudice à son employeur.
Cependant interdire cette pratique pourrait paradoxalement avoir des conséquences en termes de sécurité pour les salariés qui chercheraient à utiliser leur matériel personnel notamment pour des motifs de facilité.
Il est donc plutôt recommandé à un employeur d’encadrer cette pratique par la mise en œuvre de mesures techniques de sécurité efficaces.
2. Les problématiques techniques
L’employeur pourra par exemple exiger de la part de ses salariés :
- L’utilisation de mots de passe robustes et conformes au dernier référentiel de la Cnil en matière de mots de passe pour déverrouiller le matériel ;
- Le chiffrement des données stockées sur l’appareil voire l’interdiction du stockage des données de l’entreprise sur les appareils personnels ;
- L’obligation de mettre à jour régulièrement les logiciels et les OS du matériel utilisé ;
- L’obligation d’utiliser un VPN pour accéder au système d’information et aux applicatifs utilisés par les entreprises.
La Solution MDM (Mobile Device Management)
L’employeur pourra prévoir le déploiement d’une solution MDM sur les appareils personnels de ses collaborateurs.
Une solution MDM est une technologie utilisée pour gérer, sécuriser et surveiller les flottes d’appareils mobiles des entreprises. Cela concerne les smartphones, les tablettes et les ordinateurs portables.
Concrètement, une solution MDM permet après l’enregistrement des appareils notamment de :
- Centraliser la distribution des applications et des mises à jour déployées sur l’appareil ;
- Bloquer le téléchargement de certaines applications potentiellement dangereuses ;
- Surveiller les activités malveillantes des appareils ;
- Mieux gérer les cas de perte ou de vol et la mise au rebut des appareils.
Le déploiement, sur le smartphone personnel d’une telle solution, sera cependant soumis au consentement des utilisateurs. En cas de refus d’un collaborateur, l’employeur pourra interdire l’utilisation du matériel personnel.
Les bonnes pratiques de sécurité
Il est également recommandé aux employeurs de prévoir de sensibiliser ses collaborateurs sur les bonnes pratiques de sécurité dans l’utilisation de leurs appareils personnels au travail.
Enfin, l’employeur pourra prévoir de séparer les environnements personnels et professionnels par le déploiement de conteneurs sécurisés ou de technologies de virtualisation.
A noter que dans certains cas, l’utilisation du matériel personnel peut être au cœur du dispositif, créer des risques supplémentaires et nécessiter la formalisation d’une analyse d’impact RGPD pour des traitements des risques pour les personnes concernées.
On pense par exemple à l’utilisation des outils Office 365 (TEAMS, Outlook, Sharepoint, etc.) pour le partage et l’accès à des données sensibles, à des dispositifs de Protection de Travailleurs isolés (PTI), à des images de vidéosurveillance qui seraient accessibles depuis les smartphones personnels d’un service de sécurité, à des dispositifs antichute déployés au sein des hôpitaux ou des maisons de retrait, etc.
Dans ce cadre, les mesures de sécurité déployées par l’employeur devront être décrites dans le cadre de la gestion du matériel et des mesures de sécurité pourront être imposées aux détenteurs des dispositifs afin de minimiser les risques pour les personnes concernées.
Anthony Sitbon
Directeur du Département sécurité
Lexing Technologies