INHESJ

Les risques informatiques : Les risques liés au BYOD

fiche 36

Sécuriser et maîtriser son réseau

L'acronyme « BYOD » est l'abréviation de l'expression anglaise « Bring Your Own Device » (« Apportez Votre Propre Matériel »). Cette expression désigne l'emploi d'équipements informatiques personnels dans une sphère professionnelle. Véritable casse-tête pour les responsables en charge de la sécurité des systèmes d'information, la gestion des risques informatiques leur impose de prendre aussi bien en compte les évolutions technologiques que sociétales ou juridiques. On oublie trop souvent que si le réseau permet de partager des informations, il peut aussi propager les infections de codes malveillants.

Séparer les usages personnels des usages professionnels

L'utilisation d'équipement personnel à des fins professionnelles constitue un risque pour la sécurité et la confidentialité des données de l'entreprise, en ce sens que les moyens de contrôle de l'employeur devront nécessairement se heurter au respect des libertés individuelles des salariés. L'ANSSI et CPME préconisent ainsi, dans leur guide des bonnes pratiques de l'informatique (règle n°11), de séparer les usages personnels des usages professionnels comme par exemple :

  • Ne pas faire suivre ses messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles
  • Ne pas héberger de données professionnelles sur des équipements personnels
  • Éviter de connecter des supports amovibles personnels aux ordinateurs de l'entreprise

    Doit-on choisir entre sécurité, vie privée et mobilité ?

    Le dilemme

    Les risques liés au phénomène BYOD se situent à la convergence de plusieurs éléments qui tiennent à la fois à :

    • La démocratisation des équipements informatiques personnels, lesquels sont souvent plus performants ou récents que les équipements mis à disposition dans les entreprises
    • Aux situations de mobilité des salariés et à leur volonté d'utiliser des terminaux ou logiciels qu'ils maîtrisent

    Ainsi, une gestion trop stricte par le responsable informatique peut conduire au mécontentement des salariés, voire entamer les avantages que l'on peut tirer de leur mobilité.

    Télétravail

    Dans la prévention des risques liés au BYOD, la sécurité des systèmes d'information doit désormais prendre en compte le télétravail. Intégré dans les dispositions de l'article L1222-9 du code du travail, il constitue une évolution tant sociétale que légale. Le site Service-Public.fr met à disposition une fiche pratique (F13851) des plus instructives sur le sujet.

    Réagir face à une atteinte à la sécurité économique

    Parce qu'elles ne sont pas nécessairement liées à l'existence d'une infraction à la loi pénale, les atteintes à la sécurité économique se révèlent parfois difficiles à comprendre ou à identifier pour le dirigeant d'une petite ou moyenne entreprise ou par des salariés.

    Si vous souhaitez réduire les risques liés aux BYOD, vous pouvez :

    • Vous intéresser davantage à la protection des données en limitant, par exemple l'accès à partir d'appareils ou en direction de répertoires considérés comme sensibles.
    • Prendre des mesures sur le plan organisationnel (gestion des accès, formation, mise à jour des logiciels, etc.), et vous préparer à une gestion de crise.
    • L'élaboration un plan de continuité d'activité (PCA) peut contribuer au renforcement de la résilience de votre entreprise,
    • Engager une véritable réflexion sur la responsabilisation de chaque salarié au regard des risques informatiques et des contrats d'assurance souscrits par l'entreprise. La Fédération Française de l'Assurance a rédigé un guide qui pourra vous accompagner dans cette réflexion.
    • Pour toute autre question, la brigade numérique de la gendarmerie se tient à votre disposition sur www.gendarmerie.interieur.gouv.fr

    > Télécharger la fiche au format pdf

    > Retour au sommaire des fiches thématiques des atteintes à la sécurité économique