Etude Solucom, BYOD : "Peut-on laisser la sphère privée s’inviter en entreprise ?"

LES SYNTHÈSES SOLUCOM

BYOD Peut-on laisser la sphère privée s’inviter en entreprise ?

Observatoire de la transformation des entreprises

no44

2• Les Synthèses © Solucom Novembre 2012

BYOD

Novembre 2012 - Les Synthèses © Solucom 3•

Hubert Guigue est manager chez Solucom.

Diplômé de l’INSA Lyon, il accompagne les grands comptes dans l’évolution de leurs environ-nements de travail et de collaboration, des études d’opportunité jusqu’à la mise en œuvre.

[email protected]

Chadi Hantouche est manager chez Solucom.

Diplômé de l’ENSIMAG, il conseille nos clients dans la transformation de leurs modèles de sécurité et leurs stratégies de sécurité en mobilité.

[email protected]

Gérôme Billois est manager chez Solucom.

Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation de l’information.

[email protected]

Cette Synthèse a été rédigée avec l’aide de Florence Noizet, responsable de la business line Télécoms d’entreprise et de Justine Pionnier, consultante.

Solucom tient à remercier tout particulièrement Stéphanie Cervetti, responsable du département SI interne chez Bouygues Telecom et Maître Garance Matthias, avocat au barreau de Paris, pour leur intervention lors de l’Atelier du 26 juin 2012 et leur apport à cette Synthèse.

Yannick Taupiac est senior manager chez Solucom.

Diplômé de Télécom Paris Tech, il accompagne nos clients dans la définition de leur stratégie et dans le pilotage de leurs projets de transformation d’environne-ments de travail et d’infrastructures SI.

[email protected]

2• Les Synthèses © Solucom Novembre 2012 Novembre 2012 - Les Synthèses © Solucom 3•

ÉDITOLe BYOD : menace ou opportunité pour la DSI ?

Porté par la vague déferlante de l’adoption des nouveaux terminaux mobiles par le grand

public, le Bring Your Own Device suscite une envie croissante chez des utilisateurs

qui ne comprennent plus « l’archaïsme » apparent du système d’information fourni

par leur employeur.

Au sein des entreprises, chacun considère ce phénomène du BYOD avec un œil différent.

Les directions des ressources humaines y voient un moyen d’afficher leur moder-

nité et d’attirer ainsi les jeunes talents. Le management imagine que la réactivité et

la productivité des équipes sera augmentée grâce à la connexion permanente avec

l’entreprise et à l’ergonomie des nouveaux terminaux. Et il espère aussi au passage

une réduction des coûts du SI…

En revanche au niveau de la direction juridique, l’enthousiasme est plus modéré : de

multiples interrogations sans réponses naissent sur la frontière vie privée / vie profession-

nelle qui devient de plus en plus floue. Et côté DSI, le pied est encore souvent appuyé

sur le frein ! Pour des raisons de sécurité d’abord, ce qui est bien légitime. Mais aussi

parce que les architectures ne sont pas toujours faciles à adapter au BYOD et parce

qu’il n’est pas si simple de gérer des environnements hétérogènes et non maîtrisés.

Toutefois la pression des utilisateurs est bien là, et le DSI se doit d’y répondre ! Il lui

faut donc animer la réflexion, objectiver la discussion entre tous les acteurs, tout en

ouvrant les « espaces de liberté » montrant sa bonne volonté… et sa modernité.

Dans cette Synthèse consacrée au BYOD, nous vous proposons donc quelques clés

pour réaliser cette analyse objective en faisant le point sur l’adoption réelle du BYOD,

sur les solutions pour le mettre en œuvre et surtout sur les risques et les bénéfices que

l’on peut en attendre.

J’espère qu’elle vous sera utile dans vos réflexions.

Bonne lecture !

Laurent Bellefin,

Directeur associé

Directeur de la publication


BYOD


2012, l’odyssée du BYOD

Le BYOD s’affirme depuis un an comme l’un des thèmes « en vogue » au sein des entreprises. L’effet de mode a dépassé les frontières de l’IT pour s’affirmer comme l’un des sujets à traiter à courte échéance.

Si l’écho médiatique et public est nouveau, le principe, lui, ne l’est pas : les premiers projets remontent à 2006. BP tente alors l’expérience et propose à ses salariés de rem-placer leur poste de travail profes-sionnel par un ordinateur personnel subventionné.

Chacun se souvient de l’exemple des PDA dont les heureux propriétaires voulaient faire usage au bureau pour synchroniser leur agenda comme aujourd’hui les détenteurs de smartphones.

Parallèlement, nombreuses ont été les sociétés à permettre un accès webmail depuis des postes person-nels ou banalisés – et à ouvrir une fenêtre sur leur SI.

Pourquoi alors assiste-t-on en 2012 à une explosion de l’intérêt pour une idée finalement pas si nouvelle ? Comment est-ce devenu l’un des sujets sur la table des décideurs IT ?

La réponse est à chercher non pas dans une somme de facteurs, mais dans leur enchaînement.

Un phénomène amorcé par le renouveau des technologies grand publicAu milieu des années 2000, les tech-nologies grand public prennent le pas sur celles destinées aux utilisateurs

en entreprise. L’arrivée des nouveaux terminaux communicants (smart-phones et tablettes) change profon-dément la donne. À titre d’exemple, les smartphones représentaient en 2007 à peine 3% du marché des téléphones mobiles vendus, contre près de 60% en 2012 !

La polyvalence de ces terminaux amène les consommateurs à diversi-fier leur utilisation, en les préférant à des appareils auparavant spécialisés pour une tâche (téléphone, baladeur, caméra, ordinateur…).

Un bureau de plus en plus nomadeEn parallèle, les situations de travail en entreprise évoluent. On passe d’un poste fixe dans un espace dédié à des situations de plus en plus mobiles et des espaces toujours plus collaboratifs.

Les ut i l i sateurs souhai tent aujourd’hui pouvoir travailler comme ils vivent, écouter leur propre musique, profiter de l’internet mobile et des applications de leur vie quo-tidienne, tout en ayant accès à des outils professionnels performants – la messagerie, l’accès aux intranets, à la bureautique, voire aux applications métiers.

On ne parle plus de poste de travail, mais d’environnement de travail.

La conjonction de cette évolution et du renouveau technologique a conduit les utilisateurs à demander – de manière de plus en plus insis-tante – la possibilité d’utiliser leur terminal personnel pour travailler,

considérant qu’il est plus performant et ergonomique que celui fourni par l’entreprise… Dans certains cas, comme par exemple pour les cadres dirigeants, ces demandes se sont même faites exigences !

L’envie, moteur plus puissant que le besoinCette tendance est en effet tout autant portée par les cadres dirigeants que par la fameuse « génération Y ».

En plus de prendre en compte ce qui est indispensable aux collaborateurs pour effectuer leur travail, la DSI doit donc maintenant également considérer leurs envies, sans quoi ils n’adhèreront pas aux solutions proposées, voire les rejetteront ou les contourneront !

1

3%8%

15%

31%

48%

59%

2007 2008 2009 2010 2011 2012

Taux de vente de smartphones sur le marché de la téléphonie mobile en France


« Mais je fais du BYOD depuis des années ! »

Il est assez courant de faire l’amalgame entre le BYOD et le « pro / perso » : ce der-nier, qui consiste pour l’entreprise à financer un terminal professionnel sur lequel un usage personnel est toléré, est déjà mis en œuvre dans de nombreuses entreprises. S’il ne s’agit pas de BYOD à proprement parler, il peut cependant constituer une alternative pour répondre à certaines demandes.

Le BYOD : quels terminaux ? Quels usages ?

Pour définir le BYOD, il est important de prendre en compte les différents éléments que sont le terminal uti-lisé, les services offerts et les types d’usage (confort ou remplacement des outils de travail de l’entreprise).

Tout au long de cette Synthèse, nous ferons référence plus spécifiquement à trois grandes familles de BYOD :

•le BYOD « de confort » : le collabora-teur peut faire usage d’un terminal personnel pour ses activités profes-sionnelles, sans aucune obligation d’utilisation, en complément de son poste de travail professionnel ;

•le BYOD « sponsorisé » : l’entreprise finance tout ou partie du terminal personnel du collaborateur, qu’il peut utiliser pour son activité pro-fessionnelle en remplacement du terminal de l’entreprise ;

•le BYOD « prestataires » : l’entre-prise permet (ou demande) à ses prestataires ou partenaires d’utili-ser leurs propres terminaux.


BYOD


Quelle réalité terrain se cache der-rière ce buzzword ? Pour répondre à cette question, nous avons réalisé un bilan des projets BYOD menés chez nos clients. Le panel est composé de grands comptes issus de différents secteurs : banque, assurance, éner-gie, transport, etc.

Beaucoup d’études, peu de mises en productionLe BYOD est devenu un sujet d’étude concret, certes, mais qui ne donne pas encore lieu à des mises en pro-duction généralisées ; 50% de notre panel est en phase d’étude, 25% en phase de test. S’il paraît impossible aux donneurs d’ordres d’ignorer le phénomène, il semble plus déli-cat d’être pionnier tant les zones d’ombre demeurent. Au-delà même du choix de solution, nos clients sont en attente de retours d’expériences. Ainsi, les mises en production constatées se font sur un périmètre restreint ciblant généralement une population très spécifique (commer-ciaux, agents, techniciens, etc.).

Les smartphones et tablettes tactiles donnent l’impulsion aux projets BYOD 80% des projets en cours concernent le périmètre smartphones et tablettes contre 20% pour les ordinateurs por-tables. Pour les collaborateurs en situation de forte mobilité, comme

les commerciaux ou les cadres diri-geants, la tablette peut constituer un substitut viable au PC. Cependant, dans la majorité des cas, elle vient s’ajouter au poste de travail standard fourni par l’entreprise.

Une cible de « cols blancs » avant tout ?....................... Définir la population cible est un pré-alable indispensable à tout déploie-ment. Car de cette cible dépendront pour partie le périmètre fonctionnel et la solution retenue. Cadres et diri-geants ressortent comme des cibles privilégiées : ils sont inclus dans plus de 75% des projets et sont parfois même visés de manière exclusive. Cela s’explique par plusieurs rai-sons : mobilité plus forte, nécessité de se connecter au SI de l’entreprise à tout moment, demande ayant plus de poids...

13% des projets ciblent les presta-taires uniquement, avec pour but avoué la réduction des coûts.

La messagerie, premier usage souhaité L’accès à la messagerie profession-nelle est le premier usage envisagé (60% des projets BYOD). C’est en effet le plus simple à mettre en œuvre et le plus demandé par les utilisateurs.

Les accès à l’intranet d’entreprise et aux applications métiers sont géné-ralement envisagés dans un second temps. Plus compliqué à fournir, l’ac-cès à ces dernières fait cependant l’objet d’une demande croissante.

Des usages plus anecdotiques (com-munications unifiées, ToIP…) sont également mentionnés.

Une arrivée poussée par les utilisateurs La pression exercée par les collabo-rateurs est la première motivation exprimée pour initier des projets BYOD (31%). Cette pression s’ex-prime de différentes manières selon les types de population.

La nécessité de maîtriser des usages personnels déjà existants arrive en deuxième position, citée par 23% de nos clients. Les DSI expriment leur volonté de reprendre le contrôle sur des usages dits « sauvages » tolé-rés ou parfois inconnus. Le BYOD est alors une manière de garantir la sécurité du SI.

Beaucoup d’études sur le BYOD, mais des déploiements encore très ciblés

3

Quels sont les éléments déclencheurs à la mise en place du BYOD ?

31%

23%

17% 17%

11%

La pression descollaborateurs

La maîtrise desusages

personnelsexistants

La volonté deréduire les coûts

L'amélioration dela productivité

Le désir devéhiculer une

image innovante

Quels sont les éléments déclencheurs d’un projet BYOD ?

Quelles sont les populations visées par les projets BYOD ?

Cadres dirigeants

31%

Cadres uniquement

31%

Tous les collaborateurs

25%

Prestataires13%

Quelles sont les populations visées par les projets BYOD ?


Stéphanie Cervetti, responsable du SI interne de Bouygues Telecom, est intervenue lors de l’Atelier Solucom pour nous faire part de son retour d’expérience sur la mise en place d’une solution BYOD.

Suite à des demandes émanant d’utilisateurs en situation de mobi-lité pour des terminaux toujours plus légers et performants, la DSI de Bouygues Telecom a mis en place une offre BYOD.

Pendant un peu plus d’un an, elle a développé, étape par étape, un ser-vice applicatif nommé B.desk.

Environ 500 collaborateurs (mana-gers ou commerciaux) ont désormais accès, depuis leurs iPad personnels ou tablettes Android, à des appli-cations du système d’information : intranet, site collaboratif interne, réseau social, agenda, documents (accès aux documents stockés dans les datacenters privés de Bouygues Telecom).

En parallèle de cette offre collabora-teur, une autre initiative a consisté à virtualiser une partie du système d’information pour le rendre acces-sible aux prestataires et conseillers de clientèle travaillant depuis leurs propres équipements informatiques et en dehors des locaux Bouygues Telecom.

Cette offre BYOD a permis à la DSI de réaliser un gain de 30% sur le TCO (Total Cost of Ownership) des postes virtualisés. Ce gain s’explique par une diminution des achats (non-

fourniture d’équipement informa-tique pour les prestataires) et une réduction des coûts de support. Quant aux tablettes, les utilisateurs relativement technophiles assurent eux-mêmes la maintenance de leurs outils personnels.

Il faut cependant noter que le cas Bouygues Telecom est particulier dans la mesure où les employés ont accès à des tablettes à des tarifs avantageux. Ils sont par nature plus enclins à travailler depuis leurs terminaux personnels – leurs smartphones sont indirectement subventionnés.

À plus long terme, l’idée n’est pas d’étendre ces solutions à tous les collaborateurs, ce qui serait trop coûteux, mais de fournir, étape par étape, ce service aux populations les plus demandeuses et d’élar-gir progressivement l’accès à plus d’applications.

Les questions juridiques et RH s’imposent comme freins majeurs Les premiers freins à l’avance-ment des projets BYOD s’avèrent être les questions juridiques et de ressources humaines (citées pour près de 40% des projets). Ces problématiques sont encore peu maîtrisées aujourd’hui du fait de l’absence de jurisprudence et de documents de référence.

Le deuxième type de frein cité lors de notre enquête est le coût de déploi-ment (20%).

Quels sont les principaux freins à l’adoption du BYOD?

24%

20% 20%

15%

13%

9%

ProblématiquesRH

Coût de miseen place

Complexité demise en œuvre

Complexitéd'utilisation

Complexitéjuridique

Sécurité

Quels sont les freins à la mise en place d’un projet BYOD ?

Les freins liés à la sécurité ne sont cités que dans 9% des cas. Cela est révélateur de la maturité des solu-tions existant dans ce domaine.

Retour d’expérience de Bouygues Telecom

En effet, certaines solutions BYOD nécessitent paradoxalement une mise à niveau des infrastructures ou l’achat de solutions de gestion de flotte qui peuvent être coûteuses.


BYOD


Premier angle par lequel le BYOD a été abordé en entreprise mais aussi premier obstacle à fran-chir, la sécurité est aujourd’hui un sujet parfaitement gérable. En effet, les solutions existent : il importe pour l’entreprise de définir son approche et ses positions.

Des usages personnels qui exacerbent les risquesLe BYOD amène plusieurs risques pouvant affecter la sécurité du SI :

•Les risques de perte ou de vol des données de l’entreprise stockées sur les terminaux eux-mêmes.

•Les risques de capture ou de modi-fication de données sur les réseaux GSM, wifi, sur une connexion inter-net fiable ou non. Les informations qui transitent sur ces réseaux peu-vent donc potentiellement être capturées ou modifiées à des fins malveillantes.

•Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de don-nées, voire une coupure de service.

Ces risques existent déjà pour la majorité des systèmes mobiles. La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l’objet d’usages qui amplifient les risques : applications person-nelles, configurations non maîtrisées par l’entreprise, utilisation en dehors du travail…

Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages.

Dans le cas du BYOD, l’ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre.

Sécurité et ergonomie : les solutions sont disponibles !

L’approche sécuri taire : ne rien stocker ! ...Les solutions de déport d’écran permettent à tout type de terminal (ordinateur, tablette, smartphone…) de se connecter à un environnement maîtrisé par l’entreprise. Aucune donnée n’est stockée sur le termi-nal et les utilisateurs disposent d’un environnement adapté à leurs tâches professionnelles.

Ces solutions nécessitent la mise en place d’une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte.

Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l’aide d’un navigateur à travers n’importe quelle connexion internet, elles ont l’avantage de ne pas nécessiter d’installation. Cependant, elles offrent une expé-rience utilisateur limitée à certains usages très spécifiques tels que le webmail et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones.

L’approche pragmatique : sécuriser les usages…Il s’agit de fournir des solutions permettant de sécuriser les ter-minaux sans interdire d’y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques.

… en contrôlant la totalité du terminalLa première méthode est de maîtri-ser l’intégralité du terminal, à l’aide d’outils de gestion de flotte (aussi appelés outils de MDM – Mobile Device Management). Ces outils s’apparentent aux solutions de ges-tion de parcs largement présentes en entreprise pour les postes de travail.

Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd’hui industrialisées.

Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et profession-nels. Les restrictions de sécurité étant appliquées indifféremment sur l’ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques de BYOD.

8

Principaux éditeurs de solutions de déport d’affichage

Donnéespro. et perso

sécurisées

Principe de gestion de flotte et quelques éditeurs de solutions


… ou en se concentrant sur la partie qui concerne l’entreprise L’autre méthode de sécurisation des terminaux est plus innovante. Il s’agit d’isoler les données professionnelles des autres données sur le terminal, au sein d’un « silo », qui prend la forme d’une application ou d’un espace dédié.

L’entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données – et uniquement sur elles : mot de passe obligatoire, chif-frement des données, etc.

L’utilisateur n’est soumis à ces contraintes que dans le cadre de l’utilisation professionnelle, l’usage du terminal étant tout à fait libre par ailleurs.

Ce type de solution a l’avantage d’être relativement indépendant du type de terminal sur lequel on l’installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène.

D’autres bonnes pratiques facilitent le BYODQuelle que soit l’orientation rete-nue, un certain nombre de bonnes pratiques pour la sécurité des infras-tructures restent de mise : le contrôle d’accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réa-lisés avec les terminaux), voire l’utili-sation d’un wifi entreprise lorsque les collaborateurs sont dans les locaux.

Ces infrastructures, si elles ne per-mettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension.

Principe du « silo » applicatif et quelques éditeurs de solutions

Préconisations de solutions pour le BYOD


BYOD


Comment évaluer l’intérêt économique du BYOD ?Les gains de productivité sont sou-vent mis en avant comme un béné-fice potentiel du BYOD. Les colla-borateurs seraient plus efficaces en utilisant leurs propres outils, qu’ils ont choisis et qu’ils maîtrisent ; ces outils peuvent en outre être fonction-nellement plus avancés (notamment en termes de mobilité et de collabo-ration) que les outils classiques four-nis par l’entreprise. Cette améliora-tion de productivité reste cependant difficile à évaluer.

Pour se forger une opinion, l’approche la plus rationnelle est de mesurer l’impact du BYOD sur le TCO qui per-met de calculer le coût global de pos-session d’un équipement, moyenné sur plusieurs années. Il comprend différentes lignes de coûts, qui vont évoluer de la manière suivante avec l’introduction du BYOD :

•les coûts matériels (l’équipe-ment de l’utilisateur : PC, smart-phones…) vont naturellement bais-ser, car désormais pris en charge par le collaborateur ; à l’inverse, une nouvelle ligne de coût appa-raît, la subvention, dans le cadre du BYOD sponsorisé ;

•les coûts logiciels : des gains financiers sont envisageables sous

certaines conditions (logiciels achetés par l’utilisateur, logiciels gratuits…) ;

•les coûts d’infrastructure vont aug-menter pour permettre l’utilisation d’équipements non maîtrisés sur le réseau interne de l’entreprise. Le surcoût sera fortement dépendant des infrastructures existantes et des services proposés ;

•les coûts de service liés à l’équipe-ment, que ce soit le support utilisa-teur, les interventions de proximité ou le déploiement doivent diminuer. Il s’agit là de la principale source de gains, d’autant plus importants

que les populations ciblées sont autonomes et l’accompagnement mis en place efficace.

Trois scénarios pertinents à analyserLe schéma ci-dessous présente les différents types de BYOD croisés avec les terminaux concernés. Il met en évidence trois scénarios qui peuvent être intéressants d’un point de vue économique.

Pour les autres scénarios, soit il n’existe pas de cas d’usage réel, soit il s’agit plus de s’inscrire dans une démarche « de confort » sans attente de gains économiques.

Réduire les coûts grâce au BYOD : fantasme ou réalité ?

Impact du BYOD sur le TCO d’un équipement

Scénario 1 : accès à des services d’entreprise

depuis un smartphonepersonnel à un coût limité

Pas de cas d’usage réel(offre pro / perso

privilégiée)

Pas de cas d’usage réel constaté

Satisfaction des collaborateurs sans attente

de gains économiques

Tendance = plutôt tablette (facilité d’utilisation, vitrine, productivité personnelle…)

Pas de cas d’usage réel constaté (en attendant les

cas où une tablette pourrait remplacer

un poste)

Scénario 2 : utilisation par le collaborateur de son

poste personnel en remplacement d’un poste

fourni par l’entreprise

Scénario 3 : pas de fourniture d’un poste par

l’entreprise au prestataire, qui travaille avec son propre équipement

BYOD confort BYOD sponsorisé BYOD prestataires

Smartphones

Tablettes

Postes de travail

Gain potentielLégende : Pas de gain Pas d’usage

Synthèse des scénarios de mise en œuvre du BYOD


BYOD smartphone et tablette : une solution de confort économique

Scénario 1 - fournir un service smartphone de confort en économisant le coût du terminalAutoriser l’accès à des services d’entreprise depuis un smartphone personnel peut être une alternative intéressante d’un point de vue éco-nomique à la fourniture d’un smart-phone professionnel.

Cela permet de donner un accès au SI de l’entreprise à des populations non éligibles à un smartphone pro-fessionnel et d’étendre potentiel-lement la gamme de smartphones utilisables.

En effet, le collaborateur utilisant son matériel et son abonnement personnel, le coût pour l’entreprise est estimé de 70 à 110€ / utilisa-teur / an, pour sécuriser et fournir un support. La majeure partie de ce coût provient de l’achat des licences du logiciel permettant de gérer le service fourni et les smartphones (logiciel de silo ou de MDM).

Ce coût est à comparer au coût glo-bal d’un smartphone professionnel, compris entre 500 à 1000€ / uti-lisateur / an. Les gains sont donc importants ! Malheureusement, il sera difficile d’appliquer ce modèle aux collaborateurs bénéficiant déjà d’un smartphone professionnel : ils

ne souhaiteront pas le remplacer par un modèle personnel. Il s’agit donc plus d’une offre de complément pour des utilisateurs non équipés.

Scénario 2 - poste de travail BYOD sponsorisé : une équation à résoudre entre subvention, coûts d’infrastructure et supportLe calcul du TCO d’un poste de tra-vail varie de manière assez impor-tante d’une entreprise à une autre. On peut cependant considérer que le TCO d’un poste bien administré est de l’ordre de 1400 € / an (sur 4 ans). Un peu plus de la moitié de ce coût est liée aux services (support...).

Dans le cadre du BYOD sponsorisé, une subvention est accordée à l’uti-lisateur pour financer l’achat de son équipement : on peut prévoir une enveloppe de l’ordre de 1600 € (soit 400€ / an sur 4 ans). Un coût initial important est à prévoir si de nom-breux collaborateurs « adhèrent » en même temps à une solution BYOD, la subvention devant être accordée au démarrage.

Concernant les coûts logiciels, un gain peut être espéré mais il convient d’être prudent. Ainsi, certains logi-ciels gratuits pour une utilisation personnelle deviennent payants pour une utilisation professionnelle (antivirus par exemple). Certains éditeurs (tel Microsoft) permettent de renégocier le droit d’utilisation de leurs licences dans le cadre d’un poste BYOD. Dans tous les cas, les éditeurs risquent de faire évoluer les conditions d’utilisation de leurs logi-ciels afin de prendre en compte cette tendance et de préserver leur chiffre d’affaires et leur marge.

En dehors de l’aspect subvention, l’analyse de la rentabilité écono-mique du poste BYOD nécessite d’étudier avec soin les questions d’infrastructure et de support (cf. p.13).

BYOD smartphone ou l’accès à des services d’entreprise à moins de 10 € par mois

Matériels

Lignes de coûts

Logiciels

Infrastructures

Services

Surcoûts

Subvention 0 € – Pas de subvention (terminal et communication pris en charge par l’utilisateur)

15 à 20 € – Support utilisateur et exploitation infrastructure

50 à 80 € – Licences Silo / MDM

0 € – Équipement personnel

5 à 10 € – Infrastructure centrale Silo / MDM

De 70 à 110 € pour donner accès à un service messagerie sur un smartphone personnel

Coût d’un smartphone professionnel : 500 à 1000 €

Coût / utilisateur / an

-/+

BYOD smartphone, ou l’accès à des services d’entreprise à moins de 10 € par mois

BYOD poste de travail : PPM, les trois facteurs clés du TCO (PPM : Politique, Population, Maturité)

Économies / surcoûts

400 € * (population interne sponsorisée)

Gains sur le déploiement (150 €) – Gain sur le helpdesk, support de niveau 2 et 3

Gains sur les logiciels, variable selon les cas

0 € – Équipement personnel

Hors infrastructure d’accès sécurisé + fourniture des services applicatifs

Poste / entreprise

0 €

750 €

200 €

150 €

300 €

1400 €

Matériels

Lignes de coûts

Logiciels

Infrastructures

Services(yc. déploiement)

Subvention


400 €

375 €

125 €

0€

300 €

* Amortissement sur 4 ans

Poste BYOD -/+

1200 € hors infrastructures

BYOD poste de travail : attention aux coûts d’infrastructure


BYOD


Scénario 3 - poste de travail BYOD prestataires : la même équation à résoudre sans la subvention ! Le troisième scénario est assez proche du précédent, à la différence notable qu’il n’y a pas de subvention versée au prestataire ! L’intérêt éco-nomique est donc des plus évidents.

Pour nuancer le propos, imposer à un prestataire d’apporter son poste (fourni par sa propre société) pourrait potentiellement avoir des répercus-sions sur le coût de la prestation, mais celui-ci n’apparaîtra pas dans le coût du poste… La balance restera donc nettement positive.

Le BYOD prestataire est le scénario le plus à-même de générer des économies significatives

1400 €Poste entrepriseRéférence


800 €Poste BYOD prestataires Cas très favorable

1200 €Poste BYOD sponsorisé Cas très favorable1100 €

Poste BYOD prestataires Cas moyen

1500 €Poste BYOD sponsorisé Cas moyen

Synthèse des TCO postes de travail

Le BYOD prestataires : une piste à explorer


Infrastructures et support, varIables clés de l’équatIon économIque du bYod

Pour évaluer le surcoût lié aux infras-tructures, il convient d’adresser les deux problématiques suivantes.

1. Fournir un accès sécurisé............Il s’agit de mettre en œuvre des technologies permettant de donner un accès sécurisé depuis des postes non maîtrisés. L’accès se fera en mode filaire ou sans fil, en utilisant des technologies de wifi guest, de contrôle d’accès NAC, de contrôle de conformité, d’authentification forte.

Certaines de ces technologies peu-vent être pré-existantes, au moins sur certains sites. Dans le cas contraire, leur mise en place peut impliquer des refontes en profon-deur (par exemple remplacement

des routeurs du site pour suppor-ter les technologies 802.1x pour le NAC).

La BYOD compliance des sites concernés est donc un critère clé. Les sites récents ou les sites importants (services centraux par exemple) sont en général plus aptes au BYOD.

2. Mettre à disposition des services applicatifs ...Au-delà d’une connexion sécurisée, certes indispensable, la finalité est bien de fournir des services applica-tifs aux utilisateurs BYOD. Le poste n’étant plus maîtrisé par la DSI, se pose la question de faire fonction-ner les applications quel que soit le poste.

Les applications web sont souvent facilement éligibles car indépen-dantes du poste de travail. Attention toutefois à la compatibilité entre navigateurs, beaucoup d’applica-tions intranet d’entreprises ayant été développées uniquement pour Internet Explorer.

Malheureusement, toutes les appli-cations ne sont pas au format web. Une autre piste est d’avoir recours à une solution d’infrastructure de type déport d’affichage (Citrix, VMware, Microsoft) qui permet d’utiliser tout type d’applications quel que soit le poste. Ce scénario est per-tinent, mais complexe et coûteux à mettre en œuvre s’il n’a pas été mis en place au préalable pour d’autres besoins.

Le BYOD suppose un contrat tacite entre la DSI et l’utilisateur : celui-ci travaille avec des outils qu’il a choi-sis ; en contrepartie, il se responsa-bilise quant à leur support. De ce fait, il est fortement conseillé de cibler en priorité des populations motivées et technophiles, à même d’être le plus autonomes possible.

En complément du choix des populations les plus réceptives, il convient de prendre quelques mesures pour optimiser les coûts de support :

•formaliser le « nouveau » modèle de support, où l’utilisateur prend en charge certaines opérations et s’engage à réguler ses demandes au helpdesk ;

•proposer des outils self-service permettant à l’utilisateur d’être le plus autonome possible : connexion automatisée, changement de mot de passe, portail applicatif self-service ;

•favoriser la collaboration entre les utilisateurs, par la création de communautés pouvant échanger sur leurs problèmes.

Malgré tous ces éléments, la phase de démarrage pourra s’avérer diffi-cile pour le support, celui-ci devant s’adapter à un nouveau contexte. En particulier, la gestion de la diversité des équipements et de configura-tions non maîtrisées pourra nécessi-ter une mise à jour des compétences des équipes de support.

Infrastructures : un poste de surcoût à contrôler

Variable 1 : les surcoûts d’infrastructures

Variable 2 : optimiser les coûts


BYOD


Un cadre juridique insuffisant face aux nouveaux usages

Le Bring Your Own Device remet en cause un des fondements de la relation entre l’employé et son employeur : l’outil de travail. Historiquement et légalement, l’em-ployeur se doit de fournir à son sala-rié les moyens d’accomplir sa mis-sion. Or, avec le BYOD, ce rapport est ébranlé puisque c’est l’employé qui amène son propre outil de travail.

Ce bouleversement pose de nouveaux challenges pour les directions juri-diques et ressources humaines de l’entreprise. En effet, ces nouvelles problématiques n’ont pas encore trouvé de réponses juridiques claires.

La notion de vie privée résiduelle ne convient pas pour traiter le BYODA l’heure actuelle, l’employeur four-nit l’outil de travail à son salarié et tolère que ce dernier en ait un usage personnel raisonnable. Au fil des années, cet usage a été enca-dré par des publications de la CNIL (Commission Nationale de l’Informa-tique et des Libertés) et a fait l’objet de nombreuses jurisprudences. Dans ce cadre cependant, la vie privée de l’employé reste « résiduelle » dans l’environnement de travail alors que dans un cadre BYOD, la vie privée devient prépondérante dans l’envi-ronnement de travail.

De nouvelles pratiques de travail à encadrerLe BYOD peut faire naître une dis-crimination entre employés. C’est notamment le cas pour les collabo-rateurs qui peuvent / veulent utiliser ces solutions et ceux qui n’en n’ont pas les moyens financiers ou tout simplement qui ne souhaitent pas les adopter.

D’autre part, le BYOD augmente le risque d’hyper connectivité qui peut engendrer un surmenage des sala-riés. Selon une enquête IDC pour Bouygues Telecom, 72% des salariés interrogés possédant un smartphone

l’utilisent à des fins professionnelles en dehors de leur temps de tra-vail. Cette problématique est très contemporaine, et pour y faire face, quelques entreprises ont commencé à bloquer l’accès à la messagerie professionnelle au-delà de plages horaires définies.

Anticiper les questions pratiques du quotidienCompte tenu du rapprochement entre les sphères privées et profes-sionnelles occasionné par le BYOD, il est nécessaire de cadrer à l’avance les responsabilités de chacun quant à l’usage quotidien du terminal. Les administrateurs peuvent être conduits à intervenir sur le terminal personnel du collaborateur, auquel cas il est impératif de bien cadrer leurs rôles et périmètres d’interven-tion pour prévenir tout litige.

Que se passe-t-il en cas d’incident avec dégradations des données per-sonnelles (effacement à distance, virus en provenance de l’entreprise) ? Comment intervenir sur les terminaux personnels en cas d’incident tout en garantissant le respect de la vie privée ?

Que se passe-t-il par ailleurs en termes d’assurance en cas de perte, de casse ou de vol du terminal dans les locaux professionnels ? En théorie, l’entreprise est en effet responsable de son salarié tant que ce dernier agit confor-mément à son contrat de travail. Mais si l’entreprise n’oblige pas le salarié à utiliser son équipement personnel pour travailler, alors c’est le salarié qui est responsable de son matériel, même sur le lieu de travail.

Enfin, les licences de logiciels « grand public » (parfois gratuites ou à prix réduit) ne doivent pas être uti-lisées à des fins professionnelles. La responsabilité de l’entreprise pourrait alors être mise en cause pour ce type d’usage, de même que si le collabo-rateur utilise un logiciel piraté à des fins professionnelles.

Un point positif pour l’entreprise - la propriété de la donnée est juridique-ment définie : elle appartient toujours à l’entreprise même si elle est traitée sur un équipement personnel.

Panorama des problématiques RH et juridiques


En l’absence d’une jurisprudence claire et de recul suffi-sant, les entreprises n’ont pas de cadre juridique à partir duquel se positionner. Il est donc essentiel d’encadrer correctement les services fournis.

Les éléments suivants sont à prendre en compte lors de l’implémentation d’une solution BYOD.

•Prévoir du matériel de secours en cas de dysfonctionne-ment de l’équipement personnel du salarié, même dans le cadre du BYOD sponsorisé (où l’entreprise finance tout ou partie du terminal). Le code du travail impose toujours à l’employeur de fournir l’outil de travail à son salarié.

•Créer un cadre spécifique documenté :

– Charte utilisateur : cadrer les pratiques au quoti-dien, définir les rôles et responsabilités de l’uti-lisateur vis-à-vis de son terminal et de la sécurité des données.

– Charte administrateur : définir le périmètre d’action des administrateurs et leurs accès aux données personnelles des utilisateurs.

– Charte du management : prévenir les problématiques de discrimination ou d’organisation du temps de tra-vail, souligner la non-obligation d’utilisation du ser-vice BYOD, définir les conditions d’accès au service BYOD (le BYOD ne peut se substituer à la fourniture d’outils de travail par l’entreprise) et mettre en avant la nécessité de ne pas modifier l’organisation du service en fonction des équipements personnels.

•Adapter le cas échéant le contrat de travail et / ou le règlement intérieur.

•Prévoir des séances de sensibilisation aux conditions d’usages : en cas de litiges, l’information du salarié est prise en compte dans les décisions juridiques.

•Adapter les règles d’usages du BYOD en fonction des catégories de populations ciblées. Une cible de cadres dirigeants n’a ainsi pas forcément les mêmes pratiques que l’ensemble des employés.

Il est important de préciser que ces différents points ne prennent pas la même importance selon qu’il s’agisse d’un service de « confort » ou de BYOD sponsorisé .

Dans le cadre d’un BYOD prestataire, c’est le contrat commercial qui permettra l’encadrement des pratiques.

Il est, dans tous les cas, nécessaire d’impliquer les services des ressources humaines et juridique dans la démarche et si besoin, les Institutions Représentatives du Personnel (IRP).

Promouvoir un service de BYOD confort permet de limiter les risques juridiques puisque il est basé sur la notion de volontariat de l’employé et qu’il n’y a pas de remplace-ment de l’équipement de travail professionnel.

ENCADRER LES USAgES POUR PRéVENIR LES LITIgES


BYOD


Conclusion : 6 idées clés et un impératif pour aborder le BYOD

1- Le BYOD n’est pas qu’un effet de mode

Le BYOD n’est pas seulement une lubie de technophile ou une mode passagère. Il est la partie visible de l’iceberg d’une

tendance majeure : la consumérisation des technologies de l’information. Dans ce nouveau monde numérique, tous les

freins à une expérience utilisateur de qualité seront balayés d’une manière ou d’une autre. La séparation entre environ-

nements professionnel et personnel est justement l’un de ces freins : il faut donc se préparer à le lever progressivement.

2- Savoir dire oui !…………………………………………………………………………………

L’expérience montre que tout refus strict du BYOD entraîne l’apparition de solutions de contournement, peu

sûres et au final souvent plus coûteuses. Sans ouvrir aveuglément les vannes, il est pertinent de cibler cer-

tains usages et certaines populations favorables, en posant des conditions d’utilisation claires et partagées

par l’ensemble des parties. Seule cette démarche pragmatique amène à une maîtrise des enjeux du BYOD.

3- Privilégier les quicks wins en proposant un service « Add Your Own Device »…

Les technologies mises en jeu évoluent extrêmement rapidement. Il ne faut donc pas se précipi-

ter et investir massivement dans une solution qui pourrait être obsolète en peu de temps. Par ailleurs,

le BYOD généralisé n’est pas envisageable pour des raisons de flou juridique et de trop forte incerti-

tude sur les gains économiques. Tous ces éléments penchent en faveur d’un déploiement progressif.

La première demande BYOD porte souvent sur un accès complémentaire depuis le terminal personnel aux

services standards du « col blanc » : communication, messagerie, bureautique. Il est possible pour démarrer

de répondre assez simplement et à moindre coût à cette demande sur un périmètre restreint, sans pour autant

s’engager trop avant dans une voie sans issue. Dans ce cas, le terminal personnel ne remplace pas le terminal

professionnel mais vient le compléter. On peut parler d’« Add Your Own Device » plutôt que de véritable BYOD.

De nombreuses sociétés ont déjà franchi le pas et en tirent aujourd’hui des bénéfices concrets. Ces premières

mises en œuvre réussies sont d’ailleurs les meilleurs arguments pour sponsoriser ensuite un déploiement plus

large.


4- Définir un cadre juridique adapté

La jurisprudence concernant l’utilisation de données professionnelles dans une sphère person-

nelle ou l’utilisation d’équipements personnels dans la sphère professionnelle est encore très floue.

Les risques juridiques sont donc potentiellement élevés.......................................................

En conséquence, il est nécessaire de formaliser un cadre d’utilisation du BYOD dans l’entreprise, définissant

clairement les droits et devoirs des utilisateurs et de l’entreprise. Il s’agit à travers ce cadre de maîtriser les

risques pour l’entreprise tout en établissant les règles préservant la sphère privée des salariés. Pour l’élaborer, il

faut impliquer la direction juridique et la direction des ressources humaines.....................................................

5- Le BYOD ne permet pas de réduire les coûts.....................................................................

Le principe du BYOD laissait entrevoir une promesse de gains économiques. Mais les premiers retours d’expérience

sont très nuancés de ce point de vue. Dans la plupart des cas, des surcoûts apparaissent pour mettre à jour les infras-

tructures, pour financer tout ou partie des terminaux, pour définir le cadre juridique et assurer la conduite du change-

ment. La diminution de coût est réelle seulement dans des contextes très favorables - modernité du SI et des appli-

cations, sécurité bien intégrée, appétence des utilisateurs - ou à travers la contractualisation avec des prestataires.

Par ailleurs comme dans la plupart des cas le BYOD vient en fait ajouter un accès supplémentaire par rap-

port aux terminaux standards de l’entreprise, on peut même parler de surcoût pour financer ce service.

6- Mettre en balance BYOD et pro / perso.........................................................................................

Ayant pesé tous les avantages et inconvénients du BYOD, il est intéressant de mettre en balance un usage plus

large des solutions pro / perso proposées par la plupart des opérateurs télécoms. La fourniture par l’entreprise

de terminaux mobiles modernes avec un usage personnel encadré peut aussi répondre à certaines attentes.

Un impératif : se doter d’une « politique BYOD »En tout état de cause, le buzz autour du BYOD et l’attente des utilisateurs sont bien là. Les réponses à apporter

sont forcément à adapter au contexte propre de chaque entreprise (secteur d’activité, types de populations

employées, maturité du SI, attentes exprimées…). Mais quoi qu’il en soit, le DSI doit dès maintenant se posi-

tionner et éclairer la politique BYOD de l’entreprise.


BYOD


Lexique

BYOD : Bring Your Own Device, fait d’utiliser un terminal personnel à des fins professionnelles.

Cloud computing : concept qui consiste à déporter sur des serveurs distants des stockages et des traite-ments informatiques traditionnelle-ment localisés sur des serveurs privés ou sur le poste de l’utilisateur.

Helpdesk : service chargé de répondre aux demandes d’assistance émanant des utilisateurs de produits ou de services.

IRP : Instances Représentatives du Personnel, ensemble des fonc-tions représentatives du personnel, qu’elles soient élues ou désignées.

LAN : Local Area Network, réseau local entre ordinateurs d’une orga-nisation commune.

MDM : Mobile Device Management ou Gestion de Terminaux Mobiles est une solution permettant la gestion d’une flotte d’appareils mobiles.

NAC : Network Access Control, méthode informatique permettant de soumettre l’accès à un réseau d’entreprise à un protocole d’identi-fication de l’utilisateur et au respect par la machine de cet utilisateur des restrictions d’usage définies pour ce réseau.

PKI : Public Key Infrastructure ou IGC (Infrastructure de gestion des clés), système qui délivre des clés cryptographiques afin de sécuriser des données ou échanges électro-niques à travers plusieurs méthodes (chiffrement, signature, certificats numériques, etc.).

TCO : Total Cost of Ownership, éva-luation du coût total d’un système. On comprend dans ce coût le coût à l’achat et les coûts annexes tels que les frais relatifs à l’entretien et à la mise à jour.

ToIP : Telephony over Internet Protocol, technique qui permet de communiquer par la voix sur des réseaux compatibles IP, qu’il s’agisse de réseaux privés ou d’internet, filaire

(câble / ADSL / optique) ou non (satellite / wifi / GSM).

VPN : Virtual Private Network, techno-logie permettant de relier deux sites distants de manière sécurisée.


À propos de Solucom

Solucom est un cabinet indépendant de conseil en management et système d’information.

Ses clients sont dans le top 200 des grandes entrepr ises et administrations. Pour eux, le cabinet est capable de mobiliser et de conjuguer les compétences de plus de 1000 collaborateurs.

Sa mission ? Porter l’innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de l’entreprise.

Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par OSEO Innovation.

Découvrez SolucomINSIgHT, le magazine en ligne de Solucom : www.solucominsight.fr

Acteur indépendant de référence en management & IT consulting, Solucom a toujours eu à cœur de partager avec le marché sa vision et ses réflexions sur ses grands domaines de compétence.

C’est dans ce but qu’il a créé l’Atelier Solucom. Imaginé sous forme de club, et porté par des direc-teurs associés du cabinet, ce dernier est un lieu propice à l’échange où nous invitons nos clients à réfléchir et à identifier les challenges de demain pour mieux s’y préparer ensemble. L’atelier Solucom s’intéresse à deux problématiques clés :

•le management des systèmes d’information (4 Ateliers annuels)

•la transformation des métiers à l’ère du digital (2 Ateliers annuels)

Pour connaître les thèmes et les dates des prochains ateliers, [email protected]

Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 892042 Paris La Défense Cedex

Tél. : 01 49 03 20 00 Fax. : 01 49 03 25 01www.solucom.fr

Cop

yrig

ht S

oluc

om -

ISB

N 9

78-2

-918872-1

4-6

EAN

9782918872146 -

Res

pons

able

de

la p

ublic

atio

n : L

aure

nt B

elle

fin

Etude Solucom, BYOD : "Peut-on laisser la sphère privée s’inviter en entreprise ?"

Documents

Transcript of Etude Solucom, BYOD : "Peut-on laisser la sphère privée s’inviter en entreprise ?"