BYOD (Bring Your Own Device) ou AVEC (Apportez Votre Équipement personnel de Communication)

Dernière mise à jour : Janvier 2016

Principe

L’avocat doit mettre en place une politique encadrant l’utilisation des équipements personnels qui se connectent à une partie ou à l’ensemble de son réseau informatique ainsi que des mesures de sécurité pour en assurer la protection. Cette politique doit permettre à l’avocat de s’assurer que l’utilisation d’un réseau informatique est conforme à ses obligations déontologiques (secret professionnel, secrets commerciaux et industriels, renseignements personnels, etc.).

Définition

L’acronyme BYOD est apparu vers la fin 2011 dans les publications informatiques. Cependant, c’est depuis le début des années 2000 que les firmes permettent à leurs employés d’utiliser leurs ordinateurs personnels pour se brancher au réseau d’entreprise par l’intermédiaire d’un réseau privé virtuel (RPV). Les firmes réalisent progressivement les bénéfices de laisser les avocats et le personnel de soutien avoir accès à leurs dossiers et courriels à partir de la maison, élargissant ainsi la disponibilité et la productivité des employés.

L’arrivée des téléphones intelligents ainsi que des tablettes sur le marché a fortement contribué à déplacer vers le consommateur l’achat de ses propres équipements selon ses goûts et ses besoins.

Un équipement BYOD est donc un équipement fourni par l’employé ayant accès à une partie ou à la totalité des données du réseau informatique de l’entreprise.

Utilité

L’utilisation d’équipements fournis par l’employé permet :

  1. L’accès en tout temps aux données (en tout ou en partie) de la firme;
  2. La mobilité de l’employé;
  3. Une diminution des coûts d’acquisition d’équipements par la firme;
  4. À l’employé de choisir un équipement avec lequel il se sent à l’aise et qu’il a choisi avec soin.

Risques

Les équipements personnels n’étant pas gérés par le département des TI de la firme, il est difficile de contrôler la sécurité de ces appareils. De plus, la plupart de ces équipements utilisent les liens sans-fil (WiFi) ce qui risque de congestionner et de ralentir les connexions de la firme. Voici une liste des risques inhérents à utilisation des BYOD :

  1. Accès non contrôlé aux données de l’entreprise;
  2. Plusieurs comptes de courriel sur le même appareil, augmentant le risque d’infection par un virus;
  3. Plusieurs comptes de courriel sur le même appareil, augmentant le risque de fuite de données;
  4. Aucun contrôle sur les mises à jour et vulnérabilités inhérentes aux différents systèmes d’exploitation utilisés;
  5. Besoin d’expertise sur plusieurs plateformes pour soutenir les usagers;
  6. Aucun contrôle sur l’installation d’applications pouvant entrer en conflit avec les applications critiques de la firme.

Meilleures pratiques

Il est pratiquement impensable aujourd’hui d’empêcher un employé d’utiliser son propre équipement et de lui donner accès, au minimum, à ses courriels. Afin de garder un certain contrôle sur le flux d’information transitant par ces équipements mobiles, la mise en place d’outils permettant une utilisation sécuritaire des BYOD est suggérée. Voici une liste des outils pouvant être mis en place, ainsi que leur utilité :

  1. Politique d’utilisation des équipements personnels

    Cette politique devrait établir la propriété de l’appareil mobile (dans le cas où la firme fournit l’équipement) et ce qu’il est permis de faire ou non du côté personnel. Cette politique devrait également établir la propriété des données transitant sur l’appareil dans le cas où ce dernier est la propriété de l’employé. Elle devrait aussi déterminer à qui, de l’employé, de la firme ou au prorata de l’utilisation personnelle/affaires, doivent être attribués les coûts mensuels d’utilisation et de bande passante. La politique devrait finalement établir clairement les paramètres de sécurité (accès et restriction) vis-à-vis les données de l’entreprise.
     
  2. Mise en place d’outils de gestion des équipements personnels

    Il existe deux outils pour la gestion des BYOD, soit l’EMM (Enterprise Mobility Management tools) et le MDM (Mobile Device Management tools).

    L’EMM est en fait un mélange de technologies, de procédures et de personnel ayant la capacité de gérer l’utilisation des BYOD et des services dans un contexte d’entreprise.

    Le MDM est une application permettant la gestion des BYOD au niveau des services informatiques de l’entreprise. L’application permet de mettre à jour les systèmes d’exploitation à distance, de surveiller et de contrôler les erreurs des appareils, de prendre contrôle à distance afin de supporter les usagers, de garder un inventaire des terminaux actifs et de consulter les communications en temps réel. Du point de vue de la sécurité, l’application permet la gestion des sauvegardes et des restaurations en cas de perte ou de remplacement des équipements, de bloquer ou d’effacer les données à distance en cas de perte ou de vol des équipements et d’installer des applications à distance.

Ressources