Patrice Trousset, CIO Microsoft IT pour la France et le Benelux, a rencontré IT Pro Magazine. Il nous livre ses réflexions et partage son sentiment quant au BYOD. Retour sur la manière dont il aborde cette nouvelle vague avec son équipe IT.
Le BYOD, une réalité
Le début de l’histoire…
« Le BYOD est un sujet qui a émergé dans l’entreprise, il y a environ 2 ans, nous l’avons considéré de suite comme un cauchemar potentiel car nous n’étions pas préparés » admet Patrice Trousset. La pression, venue d’abord des métiers et du business, a pris de l’ampleur, pourtant « cette requête, nous l’avons tout simplement ignorée au début ».
La demande émergente, liée à la consumérisation de l’IT, a continué à se faire de plus en plus pressante, et elle est revenue de façon récurrente avec des éléments structurants, là, il a fallu y répondre. Le business,le comportement des utilisateurs (mobilité – flexibilité), et la satisfaction interne des collaborateurs sont autant de paramètres qui entrent également en jeu, le constat est simple : « Les utilisateurs veulent des appareils plus sexy » souligne Patrice Trousset.
Après la résistance de l’équipe IT, le DSI prend finalement le projet en mains pour le gérer et le maîtriser. Il est indispensable et grand temps de montrer une entité IT agile, à l’écoute des métiers, alignée sur le business, capable de remettre en cause ses process et ses outils qui ne répondent plus aux besoins utilisateurs. Le bon positionnement est évidemment de dire « Oui », sans pour autant tout permettre,
Patrice Trousset se lance donc dans l’approche BYOD et procède étape par étape.
L’ouverture sur l’agilité L’entreprise dispose toujours dans son catalogue IT, d’une offre
de périphériques, « durcis », certifiés par l’IT dans lesquels la confiance est totale, et qui couvre l’ensemble du support au help desk, en passant par le support à la boutique, par la capacité à se connecter de n’importe où avec les solutions techniques déployées (Direct Access). Puis l’ouverture se fait à des PCs du monde professionnel non certifiés par l’IT interne « le catalogue s’est donc étendu mais le service rendu s’est un peu dégradé puisque le help desk joue, parfois, juste le rôle de relais avec le prestataire pour certains PCs » explique Patrice Trousset. Cette étape est donc la première étape de l’ouverture tant attendue !
Le réseau de Microsoft est assez hétérogène en termes de devices, et en fonction des périphériques, certains accès sont évidemment bloqués. Alors comment permettre aux collaborateurs de travailler avec son device ? La politique d’équipement varie selon les pays. En France, par exemple, le PC, le téléphone, la tablette sont fournis mais restent la propriété de l’entreprise, c’est un outil professionnel à destination des collaborateurs.
Si la décision est prise, comment coordonner tout cela ? Un groupe de travail voit le jour avec des objectifs bien précis : être capable de plus d’agilité tout en gardant le rôle de protection des assets et de la richesse intellectuelle de l’entreprise (codes source des produits, données commerciales, marketing, ressources humaines). Face à ce constat, la problématique va au-delà du simple problème de devices, et rejoint la protection des données elles-mêmes.
La protection des données avant tout !
L’objectif est simple, « il faut mesurer le niveau de confiance donné à une requête arrivant sur le réseau » commente Patrice Trousset. Divers critères essentiels sont ainsi choisis pour mesurer cette confiance et concernent le périphérique et la segmentation
des utilisateurs :
- Le périphérique (durci ou non, managé ou non, PC grand public ou du monde professionnel…).
- L’utilisateur lui-même : qui je suis ? (comment je suis authentifié, compte Microsoft et quel est le rôle de l’utilisateur)
- D’où je viens (bureau, domicile, à l’extérieur) et dans quel pays je suis, notamment pour l’acceptation des moyens cryptographiques ?
- A quoi je veux accéder (données simples, sensibles, structurées, non-structurées, vidéos, bases commerciales, personnelles…) ?
Sans oublier la notion de comportement : suis-je nomade, seminomade,
ou sédentaire ?
Une fois ce niveau de confiance mesuré, la bonne décision est prise en fonction des scénarios présentés et des composants du jeton de sécurité (pas d’accès du tout, accès seulement au Wifi invité, accès en VDI, accès en mode web, en mode natif).
Revenons un instant sur le device et la confiance qui lui est accordée. Dans la démarche BYOD, des devices « durcis » et managés par l’IT, avec chiffrement du disque dur, pour lesquels la confiance est totale, on passe au fur et à mesure aux devices grand public qui ne font pas partie du domaine. Ceux-ci sont managés différemment, notamment par InTune, qui permet de vérifier l’état et d’agir sur le comportement. D’autres encore, ne sont pas managés du tout et la confiance est alors moindre.
Une approche par classification
« En amont, il faut impérativement passer par plusieurs étapes pour mesurer le niveau de confiance » poursuit Patrice Trousset. La classification du patrimoine de l’entreprise donc des données est envisagée, (bases de données, applications, sites SharePoint) selon trois catégories ‘criticité business’ : Low Business Impact, Moderate Business Impact et High Business Impact. Puis la segmentation des applications se réalise en plusieurs grandes familles : la productivité de l’utilisateur : le mail, la gestion des agendas, des calendriers, des contacts ; les sites collaboratifs (données de projets, de groupes …); et les vraies applications Business, Marketing, Commerciales, RH, Finances.
Une fois toutes ces segmentations et classifications décidées, l’autorisation d’accès est donnée ou non. Patrice Trousset en est certain, « la communication avec les utilisateurs est primordiale».
Dans l’entreprise, cette communication est multi-canal, par le mail, par les formations aux usages des nouvelles technologies, par la communication au niveau du comité directeur, par l’utilisation de la communication interne, par le comité d’entreprise. L’ancrage de la DSI dans la filiale permet une communication et une adhésion des utilisateurs. N’oublions pas ces chiffres et
gardons les en mémoire : dans les aéroports américains, 12000 PCs sont perdus et égarés par semaine, à Roissy, c’est 800 par semaine ! Et 70 % de ces PCs ne sont pas retrouvés ni réclamés ! Que deviennent alors toutes les données sensibles contenues dans ces PCs ?
Un peu de sensibilisation…
Face à ce nouveau monde numérique présent au sein même de l’entreprise, la communication passe indéniablement par la sensibilisation des utilisateurs. Chez Microsoft, tous les ans, les utilisateurs reçoivent une formation axée confidentialité des données et règles de bonnes pratiques des outils informatiques. Tout est passé en revue, de l’utilisation de la donnée elle-même à l’engagement à suivre les règles. Sensibilisation, formation, information, confiance, adhésion, moyens de contrôle, gouvernance et audit sont les maîtres mots de l’équipe IT. L’équipe Audit travaille de concert avec les entités Contrôle et Conformité qui dépendent des services Finance et Juridique. L’arsenal technique permet ainsi de cloisonner les frontières de containers d’applications et de données : tout ce qui est vu comme ‘low’ et ‘medium’ est accessible en clair sur le réseau, tout ce qui est ‘high’ est crypté et isolé avec IPsec.
Le BYOD continue donc son avancée et son déploiement (avec notamment le déploiement d’un nouveau réseau Wifi plus conséquent, une généralisation de InTune (iOS et Surface RT)…).
Quel niveau de maturité aujourd’hui ?
Quant à la maîtrise des coûts, est-ce que le BYOD est générateur de réduction de coûts ? Patrice Trousset hésite et estime qu’il n’y a pas assez de recul pour le dire, d’autant que la mise en place de tous ces devices a forcément un coût. Par contre, aucun doute pour lui, il faut se positionner et ne pas nier le BYOD, au contraire il est temps de s’ouvrir et de se lancer dans cette approche, en imposant les bonnes règles et les contraintes nécessaires.
En outre, l’interaction entre les départements de l’entreprise (ressources humaines, juridique, finance et IT) est essentielle « le sujet ne doit pas être uniquement perçu que dans une fenêtre IT ». Les Ressources Humaines doivent être moteur pour promouvoir le sujet et le relier à ce qui devient un projet d’entreprise. Et de conclure, « Si l’IT reste un facilitateur et apporte une solution viable, les aspects juridique et finance entrent en scène et doivent s’impliquer de plus en plus ».
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.