Device Management : déployer une politique BYOD

Dans un monde professionnel en constante évolution, marqué par l’innovation technologique et les changements dans les modes de travail, le concept de « Bring Your Own Device » (BYOD) a gagné en popularité.

Ce modèle, qui permet aux employés d’utiliser leurs propres appareils à des fins professionnelles, offre une flexibilité sans précédent, mais soulève également d’importants défis en termes de sécurité et de gestion. Cet article propose une exploration approfondie de cette tendance, en abordant ses avantages, ses défis, ainsi que les meilleures pratiques pour une mise en œuvre réussie.

Une politique BYOD au sein de l’entreprise

Le Bring Your Own Device, ou la gestion des appareils personnels, s’inscrit dans une évolution des méthodes de travail, notamment avec le travail à distance et l’émergence du cloud. Le BYOD s’applique historiquement aux appareils mobiles, bien que le concept existe également pour les workstations, ou postes de travail.

Les entreprises constatent une appétence croissante des employés à travailler avec des outils qu’ils manipulent quotidiennement dans leur environnement personnel, et avec lesquels ils se sentent plus à l’aise et plus efficace. Pour information, on différencie le BYOD du COBO qui consiste à travailler sur un device qui appartient à l’entreprise et qui est strictement à usage professionnel.

Le BYOD est un sujet d’actualité pour beaucoup d’entreprises qui souhaitent basculer vers un environnement de travail plus moderne et flexible, tout en réduisant les coûts. Contrairement aux idées reçues, le BYOD se prête à de nombreux secteurs parfois très réglementés, comme la banque ou l’énergie, dans la mesure où il est possible de poser un cadre d’usage assez strict.

Cependant, la mise en œuvre du BYOD implique de faire transiter la data d’entreprise dans des appareils personnels. Il est donc important de mettre en place une politique et un cadre technique d’utilisation afin d’empêcher les débordements.

MDM / MAM : quelles différences pour le BYOD ?

Il faut tout d’abord différencier le MDM du MAM et du BYOD. Le BYOD fait référence à une politique permettant aux employés d’utiliser leurs appareils personnels (smartphones, tablettes, ordinateurs portables) pour accéder aux ressources et à la data de l’entreprise. Le MDM (Mobile Device Management) consiste à gérer et enrôler l’appareil mobile en lui-même alors que le MAM (Mobile Application Management) se concentre sur les applications et la data de l’entreprise sans enrôlement de l’appareil.

Un projet MAM doit démarrer par une phase d’assessment visant à cartographier les applications d’entreprise à sécuriser, puis à définir les règles MAM à déployer dans votre outil selon les applications.

Il est par exemple possible de contrôler les partages ou les captures d’écran, d’interdire la sauvegarde d’un fichier sur le stockage personnel, éviter d’enregistrer une photo dans la galerie d’images, etc. C’est ce qu’on appelle des app protections.

Dans le cadre d’une politique MAM, on personnalise l’expérience que l’utilisateur va avoir sur les applications de l’entreprise, indépendamment de l’appareil qui est utilisé. Le MAM apparait comme une alternative au MDM qui implique de gérer les appareils en direct. Le MAM convient à des organisations qui disposent des données sensibles.

Le MAM permet d’avoir une maîtrise complète des données professionnelles. Dans le cas où l’appareil est volé ou perdu, il est possible de « wiper » la data très facilement. Lorsque l’utilisateur se reconnecte sur un autre device, il retrouve la data exactement comme il l’a laissé. C’est ce qu’on appelle le Selective Wipe dans Intune.

La question centrale consiste à savoir si on souhaite ou non que les appareils personnels soient intégrés au tenant de l’entreprise, dans l’environnement Intune, afin qu’il puisse bénéficier des applications d’entreprise.

Lire aussi : MAM vs BYOD : quelles différences ?

Politiques MAM : l’importance du juridique

La dimension légale est importante lorsqu’il s’agit de BYOD ou de MAM. Bien que l’entreprise ne soit pas tenue d’informer les utilisateurs sur les contrôles qui sont fait dans le cadre d’une politique MAM, il est tout de même important de sensibiliser et d’expliquer ce qui a été mis en place. Cela permet à l’utilisateur de comprendre ce qu’il peut et ne peut plus faire dans le cadre professionnel.

Pour ce qui est du MDM, l’entreprise a la nécessité d’informer les utilisateurs avec conditions générales d’utilisation. Cela permet de protéger juridiquement l’entreprise et d’informer les utilisateurs sur ce à quoi l’entreprise à accès ou non sur l’appareil personnel. Avoir des conditions générales d’utilisation à lire et accepter lors de la phase d’enrôlement du mobile, dans le cas d’un MDM ou d’un BYOD, n’est pas à négliger d’un point de vue juridique.

Déployer des règles de Conditional Access

Il est important de mettre en place des règles de Conditional Access afin de contrôler et protéger la data qui sera manipulée sur le poste de travail ou l’appareil mobile personnel.

Les règles de Conditional Access permettent de contrôler l’habilitation d’un utilisateur sur une application depuis le device. A titre d’exemple, un utilisateur pourra accéder à Teams seulement si l’appareil en question est enrôlé dans le tenant Intune et respecte un certain nombre de règles qu’on appelle des règles de compliance. Les règles de Conditional Access veillent à sécuriser techniquement l’accès à la data suivant les scénarios définis en amont.

Beaucoup d’entreprises ont capitalisé sur les règles de Conditional Access pour stopper l’utilisation de certaines applications d’entreprises sur les devices non enrôlés. A titre d’exemple, une entreprise peut décider de verrouiller l’utilisation des Mac qui concernait généralement une population moins nombreuse et moins critique. Suite à l’activation de la règle d’enrôlement, les entreprises constatent de nombreux enrôlements immédiats par les utilisateurs qui ne peuvent d’un coup plus accéder aux applications. Cet exemple souligne qu’il existe toujours une masse silencieuse au sein des entreprises qui utilise les applications entreprises officieusement.

De la même manière, il existe des logs Microsoft 365 qui permettent de savoir qui utilise la data sur des devices non managés. Cela permet d’estimer l’impact d’une règle de Conditional Access avant son déploiement.

BYOD & Workstations : l’arrivée de Windows 365

Le management des workstations dans un contexte BYOD est plus complexe à mettre en place car les appareils s’y prêtent moins. Cependant la philosophie tend à évoluer avec les nouveautés Microsoft.

Effectivement, la nouvelle solution Microsoft Windows 365 permet d’accéder à un environnement de travail virtuel simplement depuis internet sur des serveurs Azure. Il n’est donc plus question d’enrôlement. L’utilisateur peut accéder à son environnement avec une simple connexion Internet, la machine étant entièrement gérée, compliant et configurée.

Politique BYOD : l’importance de l’implication des métiers

Il est pertinent d’impliquer des pilotes métiers lors des tests d’un projet BYOD. Effectivement, engager les métiers dans une démarche BYOD permet de trouver le bon niveau de protection afin d’éviter de se heurter plus tard à des résistances.

A noter qu’il s’agit de devices personnels. Plus on met de règles lourdes, plus on impacte l’expérience utilisateur. Complexifier l’utilisation d’un device personnel peut être mal perçu. Effectivement, on observe l’abandon de projets à cause de règles trop restrictives.

Il y a une vraie réflexion à mener en amont autour de la politique de protection et le choix des règles de Conditional Access. De manière générale, il est conseillé d’y aller avec légèreté pour fluidifier l’expérience.

Le BYOD a l’avantage de réduire le nombre de devices gérés et donc de réduire le coût de renouvellement des flottes d’appareils. A contrario, il faut accepter une plus grande diversité dans le parc de l’entreprise, bien qu’il soit aussi possible de limiter l’autorisation des applications sur un certain type d’appareils ou sur des appareils respectant une certaine version.