AMRAE - ATOUT RISK MANAGER

BYOD OU COPE ?

Le Groupe Cegos emploie 1000 collaborateurs et

travaille avec 3000 consultants externes à travers le

monde. «

La question du BYOD s’est posée il y a deux ou

trois ans sans aboutir

», explique Christophe Le Bars,

DRH de l’organisme de formation professionnelle. Les

consultants utilisent leur propre matériel et ont accès

sous conditions à certaines informations de l’entre-

prise. Mais pour les employés le mode COPE (“Corporate

Owned, Personally Enabled”) a été adopté. À savoir que

l’entreprise fournit le matériel et autorise le salarié

à en avoir un usage personnel (agenda, contacts,

photos…). «

Nous avons fait ce choix pour des raisons de

sécurité et de coût. Le BYOD est difficile à gérer. Il y a

différents matériels, différents systèmes d’exploitation,

et il y a un coût induit par l’incompatibilité technique

»,

explique Arnaud Benicourt, le DSI du Groupe Cegos. Si

les collaborateurs ont le droit d’utiliser leur terminal à

titre personnel, l’usage en a été précisé dans une charte

des outils NTIC élaborée avec la DRH et régulièrement

réactualisée. Et s’ils ont des données personnelles qui

pourraient être amenées à être détruites, c’est à leurs

risques et périls. «

Nous poussons les salariés à synchro-

niser régulièrement leur smartphone avec leur ordinateur.

C’est de leur responsabilité

», souligne Arnaud Benicourt.

UN DÉBAT RELANCÉ

PAR LES OBJETS CONNECTÉS

À la Caisse des Dépôts, le BYOD est également jugé

beaucoup trop risqué. «

Le BYOD peut être jugulé tant

que la personne reste dans l’entreprise. À son départ,

comment s’assurer que les données de l’entreprise sont

effacées, ainsi que tout ce qui a été synchronisé ? Une

démarche BYOD oblige à faire l’impasse sur certains

processus, juridiques notamment, mais aussi sur le

contrôle des données. En fait, nous ne savons pas régler

le problème aujourd’hui

», estime Alain Bouillé, RSSI

de la Caisse des Dépôts et Président du CESIN (Club des

experts de la sécurité de l'information et du numé-

rique). Comme beaucoup de ses confrères, Alain Bouillé

a privilégié le modèle COPE. Mais là encore, il considère

que les solutions techniques pour administrer les parcs

(MDM ou “Mobile Device Management”) ne «

répondent

que partiellement à nos exigences de sécurité

». Pour lui

cependant, il est important que les professionnels du

risque s’intéressent à ces problématiques. «

Le sujet

refera surface avec les objets connectés, qui apportent

de nouveaux défis en terme de sécurité. Cela entraînera

une réflexion plus large car nous ne pouvons pas régler la

question avec les outils techniques qui sont à notre dispo-

sition aujourd’hui

».

LE BYOD ET L’ASSURANCE

L’une des interrogations qui peut se poser avec le BYOD

est celle de l’assurance. Qui est couvert ? Pourquoi et

comment ? Sur ce point, Jérôme Gossé, Responsable

de la Souscription Cyber Risques de Zurich, est clair :

Nous constatons que les entreprises ont de moins en

moins recours au BYOD, essentiellement pour des raisons

de sécurité et d'intégration des équipements personnels

sur le réseau. Elles préfèrent mettre à disposition de leurs

collaborateurs des terminaux sécurisés. Désormais elles

s’assurent rarement contre les vols de machines.

Ce qui leur importe, c’est leur réputation, leur image et la

protection des données. Pour notre part, nous n’indem-

nisons pas le préjudice matériel subi par l’employé en cas

de perte de son équipement personnel, mais l’atteinte

aux données de l’entreprise, y compris lorsque l'incident

a pour origine l’équipement personnel d'un employé.

Alain Bouillé,

RSSI de la Caisse des Dépôts

et Président du CESIN

Jérôme Gossé,

Responsable de la Souscription

Cyber Risques de Zurich

Christophe Le Bars

DRH de Cegos

ATOUT RISK MANAGER, LA REVUE DE L’AMRAE I N°6 I OCTOBRE 2015

VEILLE ET POSITION