Grâce à Internet et au développement des technologies mobiles et connectées, la frontière entre la vie personnelle et la vie professionnelle n’a jamais été aussi poreuse. Il est aujourd’hui aussi facile de consulter ses données personnelles sur son lieu de travail, que d’accéder à ses données professionnelles depuis chez soi. Une tolérance s’est également installée dans certaines entreprises, concernant l’utilisation de matériels personnels pour effectuer des tâches professionnelles (ce que l’on appelle communément le BYOD pour « Bring Your Own Device »), sans pour autant que cette tolérance soit maîtrisée. Le problème est que les usages en matière de sécurité sont généralement beaucoup plus rigoureux dans la sphère pro que dans la sphère perso. Ce déséquilibre, s’il n’est pas maîtrisé, peut donc mettre l’entreprise en difficulté. Alors comment bien faire ?
Non-séparation des usages pro et perso en informatique : une source d’ennuis pour l’entreprise
En 2010 déjà, selon le rapport Dell « Consumerization: What is in Store for IT? », 61% des travailleurs de la génération Y et 50% des plus de 30 ans, trouvaient leurs outils personnels plus performants que ceux mis à disposition par leur entreprise. Pour faire face à cette frustration, des PME disposant pourtant d’une infrastructure informatique cohérente, ont commencé à tolérer le travail pro sur périphérique perso, pratique jusque-là réservée à certaines petites structures ou aux startups, souvent par manque de moyens.
Malheureusement, les problèmes potentiels liés à la non-séparation des usages personnels et professionnels, sont nombreux et dangereux pour l’entreprise. Vol, perte ou fuite de données, risques d’intrusion au niveau du système d’information… la liste est longue, c’est pourquoi il faut être vigilant et toujours penser à la sécurisation de son système informatique.
Une responsabilité partagée entre l’équipe informatique et les utilisateurs
Lorsque l’on parle de séparation entre usages informatiques professionnels et personnels, cela couvre généralement deux problématiques :
- La consultation de données perso sur un périphérique pro ;
- La consultation de données pro sur un périphérique perso ;
Dans ce contexte, la responsabilité est pleinement partagée entre les utilisateurs et le service informatique. Ce dernier doit être en mesure de proposer du matériel suffisamment performant à ses utilisateurs pour, à la fois limiter les frustrations, mais également pour lui permettre de manager en tout sécurité son parc informatique (voir « CYOD » plus bas). De leur côté, les utilisateurs doivent impérativement « jouer le jeu » en respectant rigoureusement les règles établies par le service informatique.
Quelles sont les bonnes pratiques en termes de séparation des usages pro et perso en informatique ?
Nous avons dressé une liste des principales mesures à intégrer dans votre politique de sécurité informatique, concernant la séparation des usages pro et perso :
Côté équipe informatique :
- Limitez un maximum le recours au BYOD et privilégiez si possible le CYOD (voir plus bas), avec la mise à disposition d’un appareil sécurisé et administrable, pouvant être utilisé dans la sphère privée ;
- Soyez toujours en mesure d’administrer l’ensemble des appareils connectés à votre système d’information.
Côté utilisateurs :
- Évitez de vous connecter au système d’information de votre entreprise via un appareil personnel non sécurisé par votre entreprise ;
- Ne faites jamais suivre vos emails professionnels sur des messageries personnelles ;
- N’hébergez pas de données professionnelles sur des équipements de stockage personnels (clé USB, téléphone, Cloud perso…) et évitez de connecter des supports de stockage personnels (clés USB, disques durs externes…) aux ordinateurs de l’entreprise.
Le CYOD, un bon compromis pour contenter les utilisateurs et gérer son informatique en toute sécurité
L’objectif du CYOD (pour « Choose Your Own Device ») est de permettre à l’utilisateur de choisir un périphérique à la fois adapté à ses besoins (sur catalogue) et sécurisé par le service informatique. Ce périphérique appartient à l’entreprise mais peut-être utiliser dans la sphère privée. Opter pour le CYOD est donc aujourd’hui une alternative intéressante, permettant de satisfaire à la fois le service informatique et l’utilisateur.
Microsoft 365, la solution qui s’intègre parfaitement à votre politique de séparation des usages
En termes de sécurisation du poste de travail et du système d’information, les solutions Microsoft constituent actuellement un excellent choix. La sécurité d’Office 365 a notamment été renforcée avec Microsoft EMS. Cette technologie permet à l’équipe informatique de renforcer la gestion des identités et des accès au niveau du système d’information. Objectif : garantir que l’utilisateur qui se connecte au système d’information est bien le propriétaire du compte, et vérifier que le périphérique utilisé est bien certifié par l’entreprise. Intéressant n’est-ce pas ?
Et la RGPD dans tout ça ?
Avec le BYOD, faire la distinction entre les données privées et les données professionnelles est quasiment impossible. Or la RGPD pose désormais la question de la conformité en plus de celle de la sécurité. Selon la CNIL « L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique… », de plus, toujours selon la CNIL « si l’employeur peut prévoir un effacement à distance de la partie du terminal personnel spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, il ne peut en revanche s’arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé ». Si elle n’est pas en capacité d’administrer l’ensemble des appareils connectés à son SI, l’entreprise s’expose donc, en plus des risques de sécurité, à des risques juridiques.
En conclusion, les entreprises doivent aujourd’hui être en mesure de proposer une certaine liberté d’action à leurs utilisateurs, sans jamais perdre le contrôle de la sécurisation de leur SI. Le BYOD, sujet tendance, est donc clairement déconseillé, sauf sur du très court terme et dans un cadre parfaitement maîtrisé. Si vous avez des doutes sur la marche à suivre, vous pouvez toujours vous faire accompagner par un spécialiste en infrastructure informatique.