Aller au contenu principal

Consumérisation, Cloud Computing, les challenges de la DSI

12 novembre 2011

Arnaud Alcabez

Qui n’a jamais essayé d’utiliser la fonction « Téléphone Mobile / Effacement du périphérique » dans Microsoft Exchange Server 2010 ou Office 365. Mais si le téléphone de l’utilisateur est personnel, vous êtes-vous déjà posé la question, en ai-je le droit ?

C’est une bonne question…

Consumérisation, Cloud computing, Tablettes et Smartphones, Push mail, Réseaux sociaux d’entreprise (RSE) sont autant de technologies sous l’appellation Web 2.0 qui bouleversent nos habitudes et qui annoncent de nouvelles formes d’organisation et de communications au sein de l’entreprise. Si pour autant les outils et les services sont d’ores et déjà disponibles, quand est-il de l’aspect légal de leur exploitation dans une société ?

Ce processus inexorable est à rapprocher de celui de l’arrivée des premiers ordinateurs personnels dans le monde de l’entreprise, hier, sous la pression continue des directions financières. Ces outils numériques constituent une nouvelle page de l’histoire de l’informatique en entreprise, aujourd’hui provoquée par les managers et leurs forces de vente.

Généralement, son introduction au sein du système d’information passe inaperçue : Quelques fonctions de mobilité supplémentaires pour la messagerie (Push mail), pour l’accès au système de fichiers (DirectAccess) ou au portail collaboratifs ; quelques responsables qui font l’acquisition de périphériques mobiles de type smartphone ou mobile, et qui les connectent au réseau de l’entreprise.

En quelques mois, le marché s’est emballé, et on ne peut décidément pas se risquer dans un salon parisien sans qu’on ne vous parle de ces nouvelles technologies, sans cesse dynamisées par :

  • Des taux de croissance et des marges supérieures sur le marché grand public,
  • L’ubiquité des réseaux informatiques globaux (Filaire, Wifi, 3G),
  • L’adaptation à de nouveaux modes de consommation de l’information et son traitement.

De manière pratique, ces technologies sont une opportunité pour les entreprises, qui s’en sont emparées pour développer de nombreux projets. Comme le souligne Brice Teinturier, Directeur Général Délégué de l’institut Ipsos : « Le numérique relève désormais autant de la sphère personnelle que de la sphère professionnelle. Les Français sont très nombreux à s’en être emparés, pour en retirer des bénéfices sur un plan professionnel. Il est intéressant de noter que l’accès aux technologies est devenu un critère décisif dans les choix professionnels des actifs et futurs actifs: l’entreprise de demain devra tenir compte de l’engouement et des attentes de plus en plus précises des salariés. »

Smartphones et tablettes, le cheval de Troie des chartes informatiques

Les Smartphones et les tablettes estompent les frontières entre vies professionnelle et personnelle. Le Web 2.0 donne à chacun de puissants moyens d’expression en dehors de l’entreprise. De nouvelles règles du jeu s’imposent. La charte informatique a vocation à rassembler ces règles. Mais quel peut être son contenu ? Quelle est son effectivité juridique ? Comment la mettre en œuvre ?

Le contenu d’une charte informatique est hybride par nature. Il a évolué pour passer d’une vision technique à une approche éthique, ayant pour socle la loyauté.

La première génération de chartes informatiques faisait la part belle aux directives techniques destinées à protéger l’intégrité du système informatique. Elles interdisaient notamment les modifications des configurations des logiciels de sécurité, les manipulations anormales du matériel ou l’introduction de logiciels tiers, voir parasites tels que virus ou chevaux de Troie. À cette époque, tout était simple : il suffisait d’interdire dans le but de protéger des ressources techniques

Des notions complexes sont apparues. Il s’agit notamment des « sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle », des « opinions personnelles susceptibles de porter préjudice à l’entreprise », de « l’usage à titre personnel dans le cadre des nécessités de la vie courante » ou de la « parfaite correction à l’égard de ses interlocuteurs dans les échanges électroniques ».

Malheureusement, entre le cloud computing, les terminaux gérés par l’informatique interne, les terminaux professionnels non gérés par l’informatique interne, et les terminaux personnels utilisés avec des puces GSM d’entreprise, le casse-tête des responsables sécurité n’a pas fini de faire couler de l’encre.

Les sujets sont variés, et tournent principalement autour de la capacité de ces terminaux à se protéger contre les codes malveillants et des moyens de protection existants, des applications un peu trop curieuses mais également sur la confidentialité des informations stockées et transitant par ces terminaux.

Toutes ces nouvelles règles ont en commun leur caractère flou. Elles rendent délicat le tracé de la frontière entre ce qui est permis et ce qui est interdit. En définitive, leur principal dénominateur commun est de reposer sur le critère de la loyauté. Celle du salarié mais aussi celle de l’employeur.

Nouveaux enjeux de la mobilité et du cloud computing pour les DSI

Les directions des systèmes d’information affirment clairement qu’elles subissent une pression « afin de proposer ou d’augmenter les pratiques de travail mobile et/ou flexibles ». En tête des raisons invoquées par les décideurs sur l’origine des pressions, on retrouve logiquement les budgets. En effet, la réduction des frais des déplacements devient un enjeu crucial pour les directions opérationnelles souhaitant rééquilibrer ce type de dépenses.

L’aspect commercial et concurrentiel provient sans doute des collaborateurs concernés, qui profitent pleinement des capacités de mobilité sur le terrain pour améliorer leurs ventes (fiches clients, suivi des produits et de ventes…), leurs échanges et la visibilité globale de leurs actions. Une réponse confirmée puisque la pression des employés arrive au même rang (39 %). Bien que parmi eux, certains managers soient surtout essentiellement des “techno-fashion-victimes”.

Les métiers et les dirigeants restent d’ailleurs les principaux préconisateurs de l’utilisation des cloud computing et terminaux personnels mobiles dans le cadre d’un usage professionnel, et l’IT se cantonne souvent à n’être qu’une force de proposition que dans 25% des cas.

60 % des personnes interrogées déclarent que les employés « utilisent déjà leurs périphériques de communication personnels au travail pour un usage professionnel.» Cependant, 28 % assurent que leurs collaborateurs ne le souhaitent pas.

Les critères mis en avant par ces collaborateurs sont pour 65% d’entre eux d’éviter la multiplicité des périphériques (personnel et professionnel) ; et 51% justifient ce choix par des performances plus élevées de leur terminal personnel que celui mis à disposition de leur entreprise.

D’ailleurs, il est complexe pour les entreprises de fournir une réponse idéale de performance du périphérique mobile entreprise vis-à-vis du périphérique personnel, étant donné que les collaborateurs changent de mobile tous les 12 à 24 mois en moyenne en fonction de leur contrat avec leur opérateur. De plus, la différence du coût d’acquisition d’un périphérique mobile par rapport à un ordinateur portable en faveur du premier, fait que cette course sans fin à la puissance n’est pas prête de s’arrêter.

En résumé, les directions informatiques, obligées à se transformer d’exploitant à fournisseur et régulateur de services, sont confrontées à quatre problématiques :

La mobilité en entreprise est la capacité d’offrir des services de connexion et d’utiliser les logiciels de l’entreprise dans des situations partiellement maîtrisées contrairement à un réseau informatique fermé :

  • Utilisation en dehors de l’entreprise,
  • Utilisation de réseaux n’appartenant pas à l’entreprise,
  • Utilisation de périphériques personnels dans un contexte professionnel, ou vice-versa,
  • Utilisation de périphériques adaptés dans des scénarios de grande mobilité.

La consumérisation est l’introduction dans l’entreprise d’outils en provenance du marché grand public. La mobilité est désormais accentuée et fragilisée par la consumérisation du monde IT.

La convergence des vies numériques privée et professionnelle nécessite de redéfinir les frontières immatérielles de l’entreprise et de la sécurité de ses données matérielles.

Le cloud computing plus spécifiquement la consommation d’un ou plusieurs services SaaS « Software as a Service » pose de vraies difficultés pour les organisations :

  • Pas de service d’orchestration des cloud computing. C’est-à-dire qu’une entreprise peut rapidement se retrouver avec plusieurs fournisseurs cloud contractualisés par plusieurs services, avec différentes sociétés ayant chacune son type de contrat, avec une absence de cohésion globale,
  • L’adoption massive de technologies avant la réappropriation des savoirs et de la sécurité, quand celle-ci est possible,
  • Des clauses d’engagement toujours obscures, par exemple, l’absence de clause de recette rendue impossible au sens où il n’existe pas de référentiel de départ ou d’arrivée, et que le fournisseur du service peut changer les fonctionnalités de son service de façon unidirectionnelle,
  • Des clauses financières pouvant être revues de manière unidirectionnelle,  entrainant une impossibilité de définir un retour sur investissement fiable sur une période de plusieurs années,
  • Des sorties de contrats, de réversibilité, de sécurité et de respect des lois informatique et liberté non clairement indiquées,
  • Une impossibilité du client de contrôler la sécurité de ses données hébergées ou de garantir qu’elles ne sortent pas de l’Union Européenne
  • L’absence de transparence des fournisseurs sur les situations de sous-traitance et de cotraitance sur les données du client.

Nouveaux risques de la mobilité et du cloud computing pour les DSI

En ouvrant son système d’information à des utilisateurs de plus en plus autonomes et exigeants, et/ou en s’appuyant sur des offres de services de type SaaS, la DSI voit évoluer son métier des études, de l’intégration, de l’exploitation et du support vers la fourniture de services à consommer et de périphérique mobiles personnels ou non.

L’adoption des technologies Web 2.0 leur permet de se repositionner au cœur du système d’information en proposant non seulement des outils innovants, mais également de réduire leurs coûts de fonctionnement et de développement.

Pourtant, bien peu d’entre-elles sont conscientes des impacts que l’introduction de ces technologies provoquent au sein de leur organisation, que cela soit sur le cadre légal du travail, du respect de la vie privée ou plus simplement du risque qu’elles font prendre aux représentants légaux de leur entreprise.

Cela ne veut pas dire pour autant qu’il ne faut pas déployer ces technologies dans l’entreprise, mais ne pas sous-estimer le contexte légal, qui en France, est particulièrement complexe à cause du nombre d’acteurs impliqués, des nombreux textes de loi, de la relation sociale entre les syndicats et le monde de l’entreprise, et des enjeux commerciaux et sécuritaires entre l’Europe et les Etats-Unis.

Les cadres juridiques à respecter :

  • Code du travail
  • Loi Informatique et Liberté
  • Loi pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées (2005-102)
  • Loi pour la Confiance dans l’économie numérique (LCEN)
  • Code pénal

Les acteurs impliqués :

  • DSI (Direction des systèmes d’information)
  • DRH (Direction des ressources humaines)
  • RSSI (Responsable de la sécurité des systèmes d’information)
  • Métiers
  • Les représentants légaux de l’entreprise
  • CNIL
  • URSAFF
  • IRP (Instances représentatives du personnel)
  • CHSCT (Comité d’Hygiène, de Sécurité, et des Conditions de Travail)

Les enjeux commerciaux et sécuritaires :

Quelle stratégie pour les DSI ?

Afin de fournir un cadre à l’arrivée de ces nouveaux périphériques et usages, une entreprise doit mettre en œuvre une politique (ou charte informatique) répondant aux questions suivantes :

  • Cadrage du besoin
    • Périmètre et objectifs (Qui, Pourquoi, Comment ?)
    • Quel modèle économique ? Pour quelle économie de gain ? Quel ROI ?
    • Règles d’usage
      • Règles d’inscription, de résiliation, et de gestion de parc
      • Règles d’éligibilité (Qui accède à quoi ? Par niveau hiérarchique ? Par métier ?…)
      • Les bonnes pratiques (renouvellement des codes d’accès, …)
      • La gestion du handicap
      • Technique
        • Quel périphérique ?
        • Quels types d’accès mobile ?
        • Pour accéder à quelles applications du système d’information ?
        • Quelle stratégie de sécurité ?
        • Quel niveau de support ?
        • Cadre légal
          • Qui est responsable ? périphériques/données/vol/perte/piratage
          • Protection des données ?
          • Quelle est la frontière entre les données personnelles et professionnelles ?
          • Financier
            • Qui paye quoi ? Définir les frais de téléphonie (périphérique, abonnement, support, remplacement du périphérique) et les règles d’usage (plafond de remboursement par profil, etc…)

Pour autant, la DSI n’est pas mandatée et n’a pas les compétences pour répondre aux questions qui concernent la position de l’entreprise vis-à-vis de ses collaborateurs. A l’opposée, étant sollicitée pour introduire ces technologies dans l’entreprise, elle est en mesure d’interpeller les acteurs clés de l’entreprise afin de faire réaliser une étude de cadrage qui aura pour objectif de présenter lors d’une future réunion d’un comité de direction une trajectoire réaliste et contrôlée pour la mobilité et cloud computing en entreprise.

L’objectif restant que la direction générale de l’entreprise (qui souvent est déjà équipée d’iPad ou d’autres Smartphones en tout genre) et sa direction des ressources humaines comprennent les enjeux et les contraintes de la mise en œuvre de services en cloud computing ou de la gestion des périphériques mobiles pour une direction informatique, et s’emparent du dossier.

Ainsi, normalement, vous passerez d’une situation de laisser faire à la mise en place d’un schéma directeur et d’une refonte de la charte informatique afin d’être alignée sur des perspectives de développement tout en évitant le droit opposable des collaborateurs. L’exemple ci-avant présente un chantier de mise en œuvre à partir d’une situation standard.

(Pour Exchange Magazine, Novembre 2011. Diagrammes, Schémas)

Eléments de référence :

  • Art1383 du code civil : « Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence »
  • Art 1384 du Code Civil : « on est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre (…) les maîtres et les commettants du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés »
  • Art 121-2 du Code Pénal : « Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement (….) des infractions commises, pour leur compte, par les organes dirigeants ou représentants »
  • Art L.1222-1 du Code du Travail : « Le contrat de travail est exécuté de bonne foi ». La méconnaissance d’une obligation édictée par la charte informatique peut être analysée comme un défaut de loyauté. Elle est donc de nature à justifier la rupture du contrat de travail au tort du salarié.
  • Art. L.1222-4 du Code du travail : « Tout dispositif de surveillance doit être porté préalablement à la connaissance des salariés ». . Pour pouvoir être opposée à un adversaire, une preuve doit avoir été obtenue de manière loyale. La jurisprudence est constante pour rappeler ce principe. La charte informatique peut constituer avantageusement le support notamment en faisant connaître les prérogatives de surveillance des administrateurs de réseaux.
  • La charte informatique a donc vocation à être connue de tous. Sa mise en œuvre loyale impose l’information et la consultation du CHSCT, du CE et de chaque salarié individuellement.
  • Partie intégrante du règlement intérieur, elle doit aussi satisfaire le critère de la proportionnalité des restrictions imposées aux salariés, conformément à l’article L.1321-3 du Code du travail prohibant « les dispositions apportant aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir et proportionnées au but recherché ».
  • URSAFF, Déclaration de l’utilisation des outils mobiles : http://www.urssaf.fr/employeurs/dossiers_reglementaires/dossiers_reglementaires/outils_issus_des_nouvelles_technologies.pdf
  • Outils du dialogue social au sein de l’entreprise réseau : http://www.odisser.org/fr/publications.php#cases
  • Cloud computing : La CNIL engage le débat : http://www.cnil.fr/nc/la-cnil/actu-cnil/article/article/cloud-computing-la-cnil-engage-le-debat/

Les commentaires sont fermés.

%d blogueurs aiment cette page :