Le « Bring Your Own Device » (BYOD) est extrêmement courant dans les environnements de travail modernes. Avec le travail hybride devenant la norme, les employés s'attendent à accéder aux systèmes de l'entreprise depuis leurs ordinateurs portables, téléphones et tablettes personnels.
Cependant, alors que le BYOD arrive à maturité en tant que norme, les politiques relatives à sa mise en œuvre sécurisée continuent de prendre du retard, et ce n'est généralement pas dû à une mauvaise conception de la sécurité. Les employés ne suivent tout simplement pas les directives qui leur sont imposées, et les équipes cyber restent dans le flou.
Alors, comment les organisations peuvent-elles concevoir une politique BYOD que les employés suivront réellement, sans compromettre la sécurité ?
Rendre la sécurité invisible (ou au moins proche de l'invisible)
Pour qu'une politique BYOD fonctionne dans la pratique, la sécurité doit s'intégrer naturellement dans la façon dont les employés travaillent déjà. Plus elle interrompt les flux de travail quotidiens, plus les utilisateurs sont susceptibles de chercher des moyens de la contourner.
La friction lors de la connexion est l'un des plus grands obstacles à l'adoption. Exiger des connexions répétées, des étapes d'authentification complexes ou une revérification constante peut rapidement conduire à la frustration. Mais il n'est pas obligatoire que ce soit ainsi.
Avec des technologies comme le Single Sign On (SSO) et des méthodes d'authentification à deux facteurs (2FA) simples (telles que les notifications push ou la biométrie), les organisations peuvent maintenir une sécurité robuste sans ralentir les utilisateurs.
Permettre une persistance de session plus longue est également un moyen de réduire la frustration avec un impact minimal sur la sécurité. L'objectif est d'éviter de forcer les utilisateurs à effectuer des étapes supplémentaires pour des tâches de base. Si l'accès aux e-mails, documents ou outils internes devient difficile, les employés chercheront naturellement des raccourcis.
Concevoir les politiques BYOD autour du comportement des utilisateurs
Une politique BYOD devrait refléter la façon dont les employés travaillent réellement, et non la façon dont les organisations pensent qu'ils devraient travailler. En réalité, les employés changent d'appareils, se connectent depuis différents endroits et naviguent sur différents réseaux tout au long de la journée. Les politiques qui ignorent cela conduiront naturellement à la non-conformité.
Au lieu de concevoir pour des scénarios idéaux, élaborez des politiques basées sur le comportement réel. Par exemple, c'est une bonne pratique d'exiger plusieurs étapes d'authentification chaque fois qu'un utilisateur tente de se connecter depuis un nouvel
appareil. Cependant, exiger le même niveau d'authentification à chaque connexion frustrera les gens.
La flexibilité est indispensable dans les environnements BYOD. Les politiques devraient donc se concentrer principalement sur la sécurisation des données et des accès, plutôt que sur le contrôle de chaque appareil ou emplacement.
Il vaut également la peine d'envisager de s'éloigner des règles universelles. Un développeur, un commercial et un employé de la finance interagissent avec les systèmes de différentes manières et utilisent probablement des outils complètement différents. Ajuster la rigueur des règles, en fonction du rôle, du niveau d'accès et de la sensibilité des données impliquées, conduira à une meilleure adoption.
Aborder de front les préoccupations relatives à la vie privée
Il est naturel pour les employés de se sentir sceptiques à propos des politiques BYOD, même si elles sont souples, simplement parce qu'elles impliquent un certain niveau d'accès ou de contrôle de l'employeur sur un appareil qu'ils possèdent.
C'est pourquoi les organisations devraient se concentrer strictement sur le contrôle de l'accès aux données et systèmes de l'entreprise, et l'expliquer aux employés afin qu'ils soient confiants que tout ce qu'ils font d'autre sur leur appareil reste privé.
Une séparation claire est essentielle. Les organisations n'ont pas besoin de visibilité sur les applications personnelles, fichiers ou activités pour gérer efficacement le risque BYOD. Toutes les données d'entreprise devraient résider dans des applications cloud et des espaces de travail gérés, plutôt que sur l'appareil lui-même. C'est ainsi que les contrôles de sécurité peuvent exister sans s'étendre à l'environnement personnel de l'utilisateur.
Les employeurs bénéficient également de cette approche. Si un appareil est perdu, compromis ou qu'un employé quitte l'entreprise, les organisations peuvent supprimer l'accès ou effacer les données d'entreprise sans affecter le contenu personnel.
Fournir une formation pratique et continue
Les employés sont beaucoup plus susceptibles de suivre une politique BYOD s'ils comprennent pourquoi elle existe. Lorsque la sécurité semble abstraite ou non pertinente, il est facile de l'ignorer. Mais lorsque les utilisateurs sont conscients des risques réels comme l'hameçonnage, la prise de contrôle de comptes ou le Wi-Fi public non sécurisé, ils sont beaucoup plus susceptibles de prendre les politiques au sérieux.
La formation devrait être pratique et pertinente par rapport à la façon dont les employés utilisent réellement leurs appareils. Au lieu de sessions de sensibilisation génériques, concentrez-vous sur des scénarios du monde réel qu'ils rencontrent quotidiennement. Pour les environnements BYOD, cela inclut la reconnaissance des tentatives d'hameçonnage, l'évitement des liens suspects, la compréhension des risques des réseaux publics et la connaissance de comment accéder en toute sécurité aux systèmes d'entreprise depuis des appareils personnels.
Il est également important de ne pas traiter la formation comme un exercice ponctuel. Les menaces évoluent constamment, et la sensibilisation des employés devrait en faire autant. De courtes mises à jour ou rappels réguliers sont beaucoup plus efficaces que des sessions de formation longues et peu fréquentes qui sont rapidement oubliées.
L'objectif n'est pas de transformer les employés en experts en sécurité, mais de leur donner suffisamment de sensibilisation pour prendre de meilleures décisions dans les situations quotidiennes.
Conclusion
Le BYOD est la réalité de la façon dont le travail moderne se fait. Le défi dans la plupart des cas n'est pas de savoir s'il faut l'autoriser, mais comment mettre en œuvre une politique BYOD que les employés suivront réellement. Les politiques les plus efficaces ne sont pas les plus strictes, mais celles qui permettent aux employés de les suivre facilement sans introduire de risque inutile.
Au final, maximiser l'adoption de la politique BYOD revient à trouver un équilibre entre sécurité et utilisabilité. Les organisations qui trouvent cet équilibre n'amélioreront pas seulement la sécurité, mais créeront également un environnement de travail plus fluide et plus productif.
