Bonjour
 
je n'ai pas vu de topic se référant à ce sujet récemment posté, j'en ouvre donc un. C'est visiblement un sujet un peu en vogue actuellement, présenté comme un défi à relevé par les DSI, entres autres cloud, et big datas.
(pour ceux qui ne voient pas trop en quoi ça consiste, grosso modo il s'agit d'utiliser des équipements persos dans l'entreprise, afin d'avoir un meilleur confort de travail, avec tous les enjeux que ça implique. ça peut être son ordinateur perso, son smartphone, sa tablette ...)
 
 
J'ai eu l'écho qu'on pourrait éventuellement, chez nous, proposer ce type de service, et après lectures et réflexions, voilà mon point de vue :
 
Le BYOD demande :
1) de contrôler, anticiper les problématiques de la sécurité du Système d'informations vis à vis du terminal
2) de contrôler la sécurité du terminal proprement dit (cryptage des données, authentification locale)
3) une gestion du parc via un MDM : mobile device management, censé valider un certain niveau de sécurité, comme la présence d'un antivirus sur l'équipement perso, ou les mises à jour de l'OS.
 
Ensuite, on peut partir sur 2 cas de figure :
 
1) on virtualise le poste de travail (VDI, Virtual Desktop Infrastructure)
la personne qui amène alors son macbookpro pourra utiliser sa session Windows sur les serveurs de l'entreprise, c'est une simple machine virtuelle.
Avantages : facilité de maintenance/mise à jour des logiciels, on ne touche presque pas à la machine de la personne qui n'est jamais qu'un hôte qui va exécuter un logiciel, pas de copie des fichiers sensibles de l'entreprise sur la machine de l'utilisateur.  
Inconvénients : coûts de mise en place (infrastructures réseau, logicielle, serveurs)
 
2) on ne virtualise pas
la personne amène son pc portable perso et travaille en direct sur les serveurs
Avantages : moins couteux en infrastructure, diminue le TCO
Inconvénients : il faut définir une liste de logiciels "SI compatibles" et les faire mettre à jour par les gens. Quid de la sensibilité des données de l'entreprise, ou de la vie perso des utilisateurs. Il faut envisager une solution de portail captif. Problème de licences ou de contenus qui ne sont pas à but professionnel.
 
Dans tous les cas, il y a d'autres problématiques en cas de perte, vol ou casse de la machine, la gestion du support (car on rentre directement sur une machine avec des données personnelles).
 
J'ai lu les 2 sujets que j'ai joints à ce fil de discussion, l'un sur les portails captifs (ça ne fait que le wifi d'ailleurs ? Car si un user ramène son pc perso, il peut se connecter en réseau filaire...) et l'autre sur des bonnes pratiques qui sont intéressantes à creuser.
 
Qu'en pensez-vous, est-ce que vos DSI se sont portées sur le sujet ?
 
 

Non et certainement pas et je serai contre pour beaucoup de raison à la fois, sécuritaire, administration, sociale, ...
 
Pourquoi se créer des problèmes?
Je ne vois aucun intérêt.
 
La question que l'on peut se poser c'est VDI ? mais mon point de vue sur amener son pc perso.... (je pense que c'est une grosse erreur pour le DSI qui prendrai cette décision en tout cas pour des PME dans le secteur aéronautique/automobile)

Pour moi c'est une évolution dans les pratiques d'entreprises, qui peut d'ici quelques années redevenir marginale. On s'adapte, on s'adapte pas, dépend de la politique de la boîte.
 
Par contre je sens bien le gros marché pour une boîte qui proposerait des services d'installation de réseaux Wifi sécurisés (LDAP, portail captif, ...) en entreprise pour connecter les périphériques type smartphone, tablette, ultrabook

Si on part dans ce délire, ou est ce que tu contrôles ton parc?
Il vaut mieux je pense avoir des terminaux légers.
D'un parc homogènes, tu peux avoir un parc hétérogène avec des problèmes de pilote en veux tu en voilà... et des problèmes matériels qui ne sont pas garantis par les utilisateurs...
 
Si la personne vient avec son pc portable, il le casse... tu fais quoi? tu en fourni un ? il doit se le repayer ? qui est responsable ?
 
Franchement de quoi se faire des noeuds au cerveau et, avec mon humble avis, pour rien...
 
Si j'extrapole tout ça, on va nous demander dans l'avenir pour nous embaucher d'avoir un ordinateur portable.

PsYKrO_fred > je suis 1000 fois de ton avis, seulement quand la direction le demande, tu peux pas juste répondre "non"
je vais à un séminaire Barracuda à paris le 19 oct qui en parle justement, j'en vois plein dans les différents articles sur internet (ça doit être la période ss doute ... !)
 
le secteur d'activité de ma boite est la comm, donc forcément, tout le monde a plein de trucs comme ça, et c'est un peu dans l'esprit dans gens.
A la DSI, nous sommes contre, mais plutôt que d'emblée d'imposer un blocage (ce qui risque tout de même d'arriver à terme) on préfère réfléchir un peu, histoire de voir si d'autres le font déjà, et comment ils ont anticipé le truc.
 
Power Nabot > Dans l'autre topic que j'ai linké, il y a un beau portail captif justement  

D'un autre côté tu opposes 2 extrêmes :
- le client lourd non managé
- le poste de travail en datacenter managé
 
Le BYOD c'est plus large que ça.
 
Tu peux gérer le poste perso : le mettre dans le domaine, client de gestion etc (l'utilisateur choisis son matos, mais il est managé par l'entreprise)
 
Tu peux faire de la virtualisation cliente : l'utilisateur a une VM "travail" sur son poste de travail privé. Celle-ci ne communique pas avec l'hôte, et ne va que sur le réseau d'entreprise
 
Tu peux faire de la publication de bureau : pas besoin de VDI pour 90% des utilisateurs, un bureau à distance RDS/Citrix XenApp suffit et est bien plus économique.
 
Tu peux faire de la simple publication applicative: le gars arrive, plug son laptop, va sur http://application ou portal ou autre avec la liste des applis et elles se lancent sur un RDS ou Citrix XenApp
 
Tu peux faire du full web : pas d'appli lourdes, que des appli web. Juste s'assurer de la compatibilité browser.
 
Et je suis sur j'en ai encore oublié plein de scénarios.
 
Au final ce qui est important c'est pas le poste en lui même c'est l'accès aux applications et aux données.
 
A toi de voir comment tu mets à disposition les applications, comment tu gères les données.

On en discute chez les aigris...j'ai quand même l'impression qu'il s'agit beaucoup de buzz autour d'un concept pour lequel il existe des solutions matures depuis des années déjà (Citrix).

+1, la quasi totalité des scénarios sont faisable depuis des années.
 
Mais c'est la crise alors si on peut éviter de filer des postes de travail autant le faire .
 
Autant pour les prestas c'est intéressant puisqu'ils ont souvent leur matos, autant pour les employés bof (sur PC).
 
Les scénarios un peu récent sont le VDI et le poste client virtualisé.
 
Là où le BYOD est bcp demandé c'est sur les accès mobiles. Aujourd'hui plus personne veut du BBY et tout le monde a un smartphone. Soit tu files un smartphone a tes employés, soit ils utilisent le leur. Tu veux par contre assurer un minimum de sécurité et si possible gérer 2 profils : perso et pro. Si demain ton device doit être wipé, tu wipes que la partie pro par exemple. Les applis d'entreprise n'ont accès qu'aux données d'entreprise etc.

Corrige-moi au besoin mais ça fait quelques années qu'il existe un client XenApp pour iPhone/Android et le reste non ?

Yes 2 ans par là je dirai mais comparé à +15 ans pour du TSE .
 
Mais je parlais plus de l'accès au mails/calendrier depuis n'importe où (enfin si ta remarque était sur ma dernière phrase).
Aujourd'hui tu as Good, Airwatch, symantec, (SCCM 2012 SP1), odissey qui font des choses.

oui et non, si l'utilisateur n'est pas madame michu et qu'il a son propre petit domaine chez lui
bon, sinon le souci reste sur le côté "managé par l'entreprise" pour du matériel perso ...  
 

oui c'est ce que j'ai +/- énoncé plus haut, en effet.
 

non, citrix est banni de l'entreprise ils ont eu la 4.0, puis ont failli passer à la 4.5 mais le besoin d'avoir une machine physique indépendante s'est fait de + en + sentir, sur un client léger t'as pas de graveur cd ou de scanner ...
 

oui, pour OWA effectivement c'est déjà pas mal poussé. mais tu ne pourras pas tout faire en full web, générer des images via CS5 ou faire des montages video, ça nécessite un minimum.
 

exactement ... C'est pour ça que je parlais d'un portail captif, qu'on soit en wifi ou en filaire, pour moi le réseau LAN n'est dans ce cas plus sécurisé, c'est pas lui le centre du pb.

 
Ca ça arrive ultra rarement, mais c'est plus l'exemple du presta avec son poste de sa SSII qui vient chez le client. Après rien n'empeche d'avoir un mix de scénarios. C'est ce qui arrive très souvent.
 

On parle de BYOD pas du client léger, même si les technos sont les même, le contexte est différent. Et Citrix c'est une marque, ya plein de produits.
 

 
Là on est entièrement d'accord. Chaque appli a ses spécificités.
 

 
Pour moi l'histoire du portail captif c'est vraiment le dernier des soucis. Pars du principe que ton LAN n'est pas un réseau sécurisé et protège l'accès aux applis et aux données comme si elles étaient en DMZ. Fais du 802.1x pour les postes managés, VLAN invité, PVLAN, IPS et FW sur le coeur.

Moi je suis old schoold et le BYOD je trouve ça naze, sans intêret même si, bien evidemment, j'en ai sur le parc où je suis ^^
 
J'en vois également pas bien l'intêret en fait, 1 seul smartphone au lieu de deux ? mouais... c'est vrai que se trimbalers avec 2 x 150g c'est fatiguant
Je pars du principe que vie privée <> vie pro et qu'une barrière "physique" est tjrs mieux.

Question de mentalité.
Perso j'ai qu'un téléphone (le pro mais que je choisis) et je regarde mes mails pro que qd j'en ai envie. Je désactive le push en vacances. Ca me suffit. Mais je peux comprendre que certains veulent bien séparer.

J'ai suivi le topic avec attention, mais je bosse essentiellement avec des outils libres (mon grand dilemme du moment: Debian 6 ou 7 comme support de mon système ? )

Power nabot > J'aimerais bien trouver aussi, car une solution à 38€/user/an c'est niet d'office ^^

Je@n > moi c'est l'inverse, tel perso sur lequel je consulte mes emails pro. Le souci de separation, je sais pas trop, nous avons renouvelé une flotte d'iphones, 2 ans apres, moins de 10% des gens concernés avaient un compte apple. L'iphone ne sert que pour appeler (pas si mal en soi) mais est largement sous-utilisé pour 90% des gens.
Leur perso pour ceux qui en ont (une bonne partie) est mieux utilisé visiblement, avec des photos persos.

L'utilisation des appareils personnels à des fins professionnels est encore pire que l'utilisation des appareils professionnels à des fins personnels.
 
Mais le BYOD séduit les dirigeants sur le principe simple : si les utilisateurs achètent le matériel, l'entreprise n'a pas à le faire...

Non c'est pas l'intérêt principal du BYOD. L'intérêt principal, c'est que l'utilisateur est plus à l'aise sur son outil de travail perso avec ses habitudes, que dans un cadre imposé et standardisé. Il travaillera mieux et plus, ce qui est plus itnéressant que d'économiser 2000€ + 1000€/an de maintenance sur l'achat d'un portable. C'est clairement un casse tête pour les RSSI, mais niveau business c'est vertueux

bullshit
 
j'avais des users qui se ramenaient leur macbookpro en plus de l'imac sur lequel ils bossaient.
ma consigne était très claire : ok vous pouvez le ramenez et le brancher au réseau, mais ne m'appeler pas pour une question ou problème lié à votre portable    
"hin tu peux pas imprimer sur ton portable ? mais tu peux sur le pc du boulot ? oui donc voilà, à +"

Ouais, enfin ça c'est le minimum. Ca empêche pas qu'ils mettent en danger l'intégrité de tes SI

tutafé    
et je suis personnellement contre cette mode du BYOD  
après il faut parfois faire des concessions (surtout quand ton PDG donne le mauvais exemple en ramenant ipad perso et cie   )

 
Je pense que la motivation, c'est de ne pas à avoir à utiliser les outils de la boîte et d'être le seul admin de sa machine. En gros, de contourner la politique informatique de la boîte pour avoir plus de liberté.
Donc si vous vous demandez comment faire pour installer les applis pros et faire respecter la politique de sécurité sur les machines persos des utilisateurs, je pense que vous faites fausse route.  
Les utilisateurs n'ammènent pas leurs machines pour en faire cadeau au service info, ils ammènent leur machine pour travailler plus efficacement sur un système qu'ils ont configuré eux même.
 
Pour moi, le seul truc que l'employeur doit faire pour le byod, c'est de fournir une connexion réseau (dans un vlan à part à la rigueur)...

La motivation de l'utilisateur oui, clairement. Il existe pas mal de solutions pour gérer une flotte de périphériques "invités". Ca permet d'appliquer une politique d'entreprise sur du matériel personnel. C'est souvent une des conditions à l'utilisation d'un device perso dans une boite.
 
Après ça dépend évidemment de son secteur d'activité, mais je pense quand même que toutes les boites ont des données confidentielles qu'elles n'aimeraient pas retrouver sur le net. Viens chez moi avec ton iPad pour bosser sur la R&D, tu vas être servi

 
mwé, par contre quid des problèmes quand un utilisateur ramène son macbookpro (car c'est souvent des macs qui sont ramenés en BYOD d'ailleurs), avec ses logiciels (piratés hin) adobe cs 6 master, alors que le reste de l'entreprise travaille sur du CS 4 ou 5 ?
même chose si un gus se ramène avec un portable sous win8/office 2013 (le tout piraté bien sûr), alors que la boite bosse sur office 2007 ou 2010 ...
non seulement tu te retrouves à gérer des problèmes de formats/filtres (perte de temps sur ta gestion helpdesk), mais tu peux avoir aussi des problèmes de licencing.
tout ça pourquoi ? parcque moooosieur est plus à l'aise ? franchement  

@patogaz: sauf que t'as une charte informatique qui prend en compte ces problèmes normalement (en tous cas au moins pour le licensing). Pour la gestion de conf, effectivement c'est plus touchy. Dans tous les cas tu devrais pas avoir de support à rendre sur un gars qui amène ses devices, hors config "corporate"

 
C'est un coup a sortir les backups tous les jours ...

 
Ouaip, mais là c'est à toi de distribuer des paires de baffe avant d'en arriver là

blockdevice sur le topic BYOD, ça s'invente pas

 
 
Son adresse MAC peu subitement (..) se retrouver blacklistée sur tes switchs, ...

A lire : http://www.zdnet.fr/actualites/byo [...] picks=true

Juste en passant pour m'être penché sur le sujet, tout périphérique BYOD doit être proscrit, suivant les recommandations d''hygiène informatique" (un mot a la mode), tant sur le plan sécurité que sur le plan juridique comme le montre ZDNet. Donc simplement Niet !

Tiens, un sujet hautement intéressant... vu que je fais partir aussi des contres sur l'import du matériel perso en entreprise. Aller hop drapalounet pour plus tard

ouais. Sauf quand t'as la direction qui le veut, et qui insiste, quoi

Mobilité d’entreprise : fini le BYOD, place au BTRD (Bring the Right Device) !
http://www.journaldunet.com/soluti [...] vice.shtml

@Tux: si la direction a été mise au courant des risques et qu'elle les accepte alors il n'y a pas de soucis. Par contre un dirigeant a une obligation de sécurité, faut leur rappeler des fois.
@Jean: ça aurait pu être intéressant mais l'article est un ramassis de clichés et n'explique rien

En gros, le SI pourra dire "ok les gars*, vous pouvez prendre votre iBidule/tablette Microsoft Surface/machin sous Android personnel pour bosser car on a le produit qui s'interface avec" (* =  RH, le boss, les sous-fifres "indispensables" )
ça change quoi à "l'ancien système", si ce n'est que c'est l'employé qui devra acheter et gérer la garantie du matériel utilisé pour l'entreprise ? Ah oui, encore de grosses économies, sympa