Publicité en cours de chargement...

Publicité en cours de chargement...

Du BYOD, suite de l'histoire

17 nov. 2014 - 10:31,
Tribune - Cédric Cartau
Après le filet un peu énervé de la semaine dernière – et qui a suscité pas mal de commentaires, à la fois sur le site DSIH et par message privé sur linkedin – après avoir dit ce qu'il ne fallait pas faire, chacun est en droit de demander : ok, mais maintenant on fait quoi ? Il y a, en fait, plusieurs axes de travail, plusieurs façons d'aborder la question. Ce sujet a déjà été traité dans un article de DSIH version papier (1), mais il est utile de rappeler quelques principes.

Tout d'abord, par BYOD on entend de facto une connexion d'un appareil personnel et non maîtrisé par la DSI au réseau local (LAN) de l'établissement. Donc, la consultation de la messagerie en mode Webmail depuis le domicile d'un agent n'est pas considéré comme du BYOD, car en principe le frontal web de messagerie est positionné dans une DMZ et sert de fusible en cas d'attaques ou malware en tout genre. De plus, il existe certaines situations, qui relèvent de l'expérimentation et qui peuvent échapper à la notion de BYOD tant que l'on ne généralise pas le dispositif.

Ensuite, nous disposons aujourd'hui de ce qui nous a fait défaut pendant des années : des textes à force de loi et des bonnes pratiques. Dans la première catégorie on trouve la toute récente PSSI-E, qui est un décret, et qui stipule clairement que l'établissement doit maitriser les équipements qui se connectent au LAN interne. Dans la seconde catégorie, on trouve les recommandations de l'ANSSI, les bonnes pratiques ISO, etc.

En termes de communication le DSI ou le RSSI peuvent user à l'égard des agents qui réclament ce genre de possibilité l'argument suivant : un agent n'a pas à payer pour travailler. Il y a un siècle, si l'on avait dit aux ouvriers de la métallurgie qu'ils devaient payer de leurs deniers les machines-outils sur lesquelles ils suaient chaque jour, nul doute que la grève eut suivi de près. Le BYOD est un piège pernicieux, pour l'agent avant tout car il introduit un précédent. Qui sait si bientôt la politique des entreprises ne consistera pas à fournir du matériel tellement nul que les agents seront contraints de facto à s'équiper eux-mêmes ? Personnellement, je ne veux pas de ce monde-là : c'est à mon employeur de m'équiper, point barre. Je connais des chefs de projets dans des DSI qui refusent de communiquer leur numéro de téléphone portable personnel, au motif que si l'entreprise veut joindre l'agent pendant sa mobilité interne ou externe, il lui appartient de lui fournir un portable professionnel.

Nous ne reviendrons pas sur les conséquences en matière de sécurité, tout ou presque a déjà été dit là-dessus. Certes les fournisseurs vous expliquent qu'ils ont le produit miracle de gestion de parc BYOD hétérogènes (avec des déclinaisons de concepts de bac à sable, etc.) mais dans les faits on observe peu d'entreprises qui les ont mis en œuvre. Il est même frappant de constater qu'aux Assises de la Sécurité, lorsque l'on fait le tour des stands et des relations et que l'on demande qui autorise le BYOD dans son entreprise, on ne trouve que très peu de monde.

Mais surtout, il y a clairement un axe de réflexion sur le catalogue de services internes de la DSI. Le BYOD, quoiqu'on en dise, a pour première justification le fait que l'entreprise ne dispose pas du budget pour équiper certaines catégories de personnels d'un certain type de matériel. Mais, dans le fait, cela revient à faire de la sécurité du SI et de sa conformité la variable d'ajustement des problèmes budgétaires, et c'est ce qui me choque le plus. S'il ne s'agissait pas d'informatique mais de gestion de parc automobile, imaginerait-on un Directeur Général demandant à son responsable logistique de rogner sur les budgets d'entretiens des véhicules (vidanges mais aussi changement des pneus et des plaquettes de freins) pour être en mesure d'acquérir un ou deux véhicules supplémentaires ? Personne ne s'y risquerait car personne ne voudrait faire courir de risque et se mettre hors la loi à cause d'un problème d'arbitrage entre le budget et le périmètre de l'offre de service du département logistique. En clair, dans ce cas précis conformité et sécurité sont non négociables.

Mais alors pourquoi cette conformité et cette sécurité devrait être négociable dans le domaine SI ? Certes il arrive que des DG aient du mal à saisir ce parallèle, mais peut-être aussi que les DSI ont du mal à l'expliquer. Il est peut-être bon de rappeler un principe de base du Lean Management : chacun de nous est responsable, en partie, de rendre ses clients et ses fournisseurs meilleurs. Avant de dire que « l'on n'y peut rien », que « les DG ordonnent malgré les alertes que l'on fait remonter », rappelons-nous de ce principe.

(1) DSIH N°11 janvier 2014

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Illustration Et c’est l’heure de notre quiz annuel

Et c’est l’heure de notre quiz annuel

16 juin 2025 - 22:10,

Tribune

-
Cédric Cartau

Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.