Alors que je rappelais, il y a quelques jours, les enjeux des politiques BYOD ("Bring Your Own Device") dans les entreprises (c'est à dire l'utilisation par les employés de leur équipement informatique personnel pour travailler), le web frémit actuellement des derniers commentaires sur le sujet par Jeanette Horan, DSI d'IBM. Un véritable fiasco, qui mérite bien une petite analyse...
Rappelons les faits. En 2010, comme de nombreuses autres grandes organisations, IBM a adopté une politique BYOD à l'échelle mondiale, qui permet à 80 000 de ses 400 000 collaborateurs d'utiliser leur mobile personnel pour accéder au Système d'Information de l'entreprise, sous réserve de respecter un certain nombre de conditions, dont, notamment, l'installation de logiciels de sécurité et la mise en place de contrôles spécifiques (par exemple, la possibilité d'effacer le contenu du mobile à distance, en cas de perte ou de vol).
Ce préalable, classique mais déjà relativement drastique, n'a pourtant pas été jugé suffisant, au regard des comportements "à risque" qui ont pu être observés : transferts de mails confidentiels vers des adresses externes, dépôts de fichiers sensibles sur des systèmes de partage destinés au grand public... Conséquence directe, IBM a multiplié les interdictions et les blocages d'accès à un certain nombre de services.
Les quelques cas cités comprennent DropBox (célèbre service de partage de fichiers sur Internet), iCloud (solution Apple de stockage de données sur Internet pour l'iPhone) et même Siri, l'assistant vocal de l'iPhone, perçu comme un danger car Apple ne précise pas ce que deviennent les requêtes traitées, dont le contenu pourrait être confidentiel (sont-elles stockées ? protégées ?)...
Pourquoi parler de fiasco pour ces "quelques interdits" ? Tout simplement parce que ces règles démontrent de la part d'IBM une lourde incompréhension des enjeux d'une politique BYOD et, plus grave encore, un aveuglement face aux risques auxquels l'entreprise doit faire face.
Premier point, il me semblerait important pour analyser la démarche d'IBM de revenir aux objectifs d'origine de son initiative. S'il s'agissait de réaliser des économies, la DSI nous explique elle-même que l'échec est total (et je reviendrai sur ce sujet plus loin). S'il était question d'amélioration de la productivité, de satisfaction des collaborateurs, d'attractivité de l'entreprise pour les jeunes, motivations habituelles de ce genre de démarche, il devient difficile d'y trouver son compte avec les limitations imposées.
En effet, la demande pour le BYOD se transforme très rapidement et plus globalement en besoin de "BYOIT" ("Bring Your Own IT") : pouvoir utiliser son propre smartphone pour travailler n'est (déjà) plus suffisant, il faut aussi avoir accès aux outils utilisés chez soi, connus et maîtrisés, aux sources d'information et aux contacts nécessaires pour réaliser ses tâches (sans parler de ce qui n'est pas "mobile")... Et même quand IBM fournit un "équivalent" interne d'iCloud, il est évident que le service rendu est inférieur (par exemple pour les applications de l'AppStore qui exploitent cette fonction).
Passons ensuite en revue la problématique de sécurité, sur laquelle la position d'IBM me semble pathétique. Peut-on encore, en 2012, croire qu'il est possible de bloquer l'accès à tous les services qui présentent un risque pour l'entreprise ? Le web est aujourd'hui tellement étendu que, pour chaque site bloqué, il existe 10 clones inconnus des filtres, parfois autrement plus dangereux que l'original... Et que dire des innombrables startups qui lancent de nouveaux produits chaque jour ?
De plus, là encore, il faut revenir sur les raisons historiques de la mise en place de la politique BYOD. En général, le premier déclencheur est le constat que les employés utilisent leur mobile personnel pour leur travail, que l'entreprise l'accepte ou non. Que vont faire les collaborateurs d'IBM qui se sentent "enfermés" par les restrictions qui leurs sont imposées ? Sortir du programme, reprendre pleine possession de leur appareil... et continuer à l'utiliser professionnellement, hors de tout contrôle. Retour à la case départ !
Pour se justifier, IBM fait état de son conservatisme, qui est aussi l'argument favori des institutions financières. On peut se demander alors ce qui lui a pris de mettre en place une démarche BYOD qui perd tout son sens lors de sa mise en œuvre. Mais la DSI révèle aussi une prise de conscience de l'immaturité des employés face aux risques de l'informatique et du besoin de formation aux bases de la sécurité.
Et c'est bien sur ce dernier point que se situe la "faute originelle", à mon avis. Il paraît totalement impensable qu'une organisation comme IBM en soit encore à devoir sensibiliser ses collaborateurs à la protection de l'information. Il n'est plus là du tout question d'appareils personnels ou de mobiles d'entreprise (ni même de télétravail, qui est aussi largement développé chez Big Blue). Mais, bien évidemment, si cette étape n'a pas été réalisée avant, la politique BYOD ne pouvait que courir à la catastrophe.
Pour être plus précis, il semble possible que les efforts aient porté sur les "mauvaises" priorités, dans ce projet. Ainsi, quand on apprend que les administrateurs ont défini 12 (!) profils types spécifiant ce qui est autorisé ou non sur le téléphone personnel, je crains que l'"excitation technologique" n'ait pris le dessus sur la dimension humaine qui aurait du prévaloir absolument. Si tout a été organisé de cette manière, il n'est pas étonnant que les coûts de gestion aient largement dépassé les bénéfices potentiels (d'où le bilan financier négatif).
En conclusion, voilà une histoire de BYOD qui se termine mal. Néanmoins elle ne doit surtout pas décourager les initiatives en cours ou à venir mais, au contraire, être utilisée pour apprendre des erreurs qui ont été commises, afin de mieux réussir.