Publicité en cours de chargement...
Du BYOD, suite de l'histoire
Tout d'abord, par BYOD on entend de facto une connexion d'un appareil personnel et non maîtrisé par la DSI au réseau local (LAN) de l'établissement. Donc, la consultation de la messagerie en mode Webmail depuis le domicile d'un agent n'est pas considéré comme du BYOD, car en principe le frontal web de messagerie est positionné dans une DMZ et sert de fusible en cas d'attaques ou malware en tout genre. De plus, il existe certaines situations, qui relèvent de l'expérimentation et qui peuvent échapper à la notion de BYOD tant que l'on ne généralise pas le dispositif.
Ensuite, nous disposons aujourd'hui de ce qui nous a fait défaut pendant des années : des textes à force de loi et des bonnes pratiques. Dans la première catégorie on trouve la toute récente PSSI-E, qui est un décret, et qui stipule clairement que l'établissement doit maitriser les équipements qui se connectent au LAN interne. Dans la seconde catégorie, on trouve les recommandations de l'ANSSI, les bonnes pratiques ISO, etc.
En termes de communication le DSI ou le RSSI peuvent user à l'égard des agents qui réclament ce genre de possibilité l'argument suivant : un agent n'a pas à payer pour travailler. Il y a un siècle, si l'on avait dit aux ouvriers de la métallurgie qu'ils devaient payer de leurs deniers les machines-outils sur lesquelles ils suaient chaque jour, nul doute que la grève eut suivi de près. Le BYOD est un piège pernicieux, pour l'agent avant tout car il introduit un précédent. Qui sait si bientôt la politique des entreprises ne consistera pas à fournir du matériel tellement nul que les agents seront contraints de facto à s'équiper eux-mêmes ? Personnellement, je ne veux pas de ce monde-là : c'est à mon employeur de m'équiper, point barre. Je connais des chefs de projets dans des DSI qui refusent de communiquer leur numéro de téléphone portable personnel, au motif que si l'entreprise veut joindre l'agent pendant sa mobilité interne ou externe, il lui appartient de lui fournir un portable professionnel.
Nous ne reviendrons pas sur les conséquences en matière de sécurité, tout ou presque a déjà été dit là-dessus. Certes les fournisseurs vous expliquent qu'ils ont le produit miracle de gestion de parc BYOD hétérogènes (avec des déclinaisons de concepts de bac à sable, etc.) mais dans les faits on observe peu d'entreprises qui les ont mis en œuvre. Il est même frappant de constater qu'aux Assises de la Sécurité, lorsque l'on fait le tour des stands et des relations et que l'on demande qui autorise le BYOD dans son entreprise, on ne trouve que très peu de monde.
Mais surtout, il y a clairement un axe de réflexion sur le catalogue de services internes de la DSI. Le BYOD, quoiqu'on en dise, a pour première justification le fait que l'entreprise ne dispose pas du budget pour équiper certaines catégories de personnels d'un certain type de matériel. Mais, dans le fait, cela revient à faire de la sécurité du SI et de sa conformité la variable d'ajustement des problèmes budgétaires, et c'est ce qui me choque le plus. S'il ne s'agissait pas d'informatique mais de gestion de parc automobile, imaginerait-on un Directeur Général demandant à son responsable logistique de rogner sur les budgets d'entretiens des véhicules (vidanges mais aussi changement des pneus et des plaquettes de freins) pour être en mesure d'acquérir un ou deux véhicules supplémentaires ? Personne ne s'y risquerait car personne ne voudrait faire courir de risque et se mettre hors la loi à cause d'un problème d'arbitrage entre le budget et le périmètre de l'offre de service du département logistique. En clair, dans ce cas précis conformité et sécurité sont non négociables.
Mais alors pourquoi cette conformité et cette sécurité devrait être négociable dans le domaine SI ? Certes il arrive que des DG aient du mal à saisir ce parallèle, mais peut-être aussi que les DSI ont du mal à l'expliquer. Il est peut-être bon de rappeler un principe de base du Lean Management : chacun de nous est responsable, en partie, de rendre ses clients et ses fournisseurs meilleurs. Avant de dire que « l'on n'y peut rien », que « les DG ordonnent malgré les alertes que l'on fait remonter », rappelons-nous de ce principe.
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...