Concours externe Pour rappel, la première partie, informative, sera notée sur 8 points et la partie propositions opérationnelles sur 12 points.

Transcription

1 INDICATIONS DE CORRECTION Technicien principal de 2 ème classe Spécialité Ingénierie, Informatique et Systèmes d information Epreuve de rapport technique (externe, interne et troisième voie) Remarques sur le sujet Il s agit d un sujet d actualité. La première difficulté concerne le caractère transversal du sujet qui induit des enjeux non seulement techniques mais également juridiques et financiers Les trois enjeux devront être évoqués par les candidats mais les enjeux techniques devront être davantage développés. Pour la partie propositions opérationnelles, il est attendu du candidat qu il opte pour l une ou l autre des solutions existantes (MDM, MAM) voire pour une solution intermédiaire, l important étant qu il argumente ce choix. Il faudra également être attentif à ce que le candidat n abuse pas de sigles et «éléments de jargon» particulièrement usités sur ce type de thématique. Concours externe Pour rappel, la première partie, informative, sera notée sur 8 points et la partie propositions opérationnelles sur 12 points. Concours interne et troisième voie Pour rappel, la première partie, informative, sera notée sur 12 points et la partie propositions opérationnelles sur 8 points Présentation des documents Document 1 Document 2 Document 3 Fiche technique, extraite du Guide de la CNIL 2010 sur la sécurité des données personnelles, édictant : - les précautions élémentaires en matière de sécurisation de l informatique mobile - ce qu il ne faut pas faire - des bonnes pratiques. Précautions juridiques à prendre par l employeur. Intérêt de l introduction d une charte informatique dans le règlement intérieur. Points qu elle doit appréhender. Origine du BYOD et inquiétude des employeurs face au phénomène Les formes possibles d utilisation des smartphones pour le travail. Le BYOD peut être une opportunité pour l employeur car : - l agent utilisateur fait figure de prescripteur auprès de son employeur - le BYOD forme les agents utilisateurs aux nouvelles technologies - le décloisonnement des sphères professionnelles et privées peut être 1

2 Document 4 Document 5 Document 6 Document 7 Document 8 Document 9 source de nouveaux partenariats ou prospection - respect du matériel par l utilisateur car c est le sien Opportunité oui, à condition de l encadrer aux niveaux sécurité, financier et juridique : en effet, le BYOD pose un problème de sécurité des données stockées ; conseils pour assurer cette sécurité. Les problèmes de responsabilité de l entreprise et de non respect de la vie privée de l agent utilisateur, induits par le BYOD, imposent la définition d un cadre juridique ; pistes. Le BYOD et le problème du partage des coûts entre employeurs et agents ; pistes Réflexion sur les comportements induits par le phénomène du BYOD. L'instantané va-t-il devenir la norme? Avec le BYOD, la sphère privée s invite dans celle de l entreprise, cela se traduit par une plus grande disponibilité et réactivité mais risques de multiplication des risques psychosociaux. Les temps de l action, de la réaction voire de la production sont plus rapides avec les nouveaux outils de communication, mais celui de la réflexion reste celui de l humain. Stress positif et négatif. S obliger à ne pas répondre instantanément à un courriel envoyé la nuit ou le week-end. Témoignage du Conseil Général des Bouches du Rhône ou comment la DSI virtualise les postes de travail des milliers d agents avec XenDesktop Le bring your own device gagne du terrain dans les entreprises. Cette pratique a pour conséquence la montée d un télétravail non formalisé, aux pratiques non encadrées. L abolition progressive de la frontière entre vies personnelle et professionnelle nécessite un encadrement des usages afin de ne pas conduire les cadres à une situation de connexion permanente (et donc un risque de sur-sollicitation). Ce texte souhaite démontrer que le fait, pour l employeur, de suivre le phénomène BYOD représente un attrait de taille pour les jeunes en recherche d emploi? mais qu il est préférable pour tous de cadrer le phénomène pour lutter contre l anarchie de la situation actuelle. L intérêt du BYOD pour l employeur est également d épargner la gestion complexe du matériel. Mais deux risques : - Fuite des données - Accès frauduleux au réseau d entreprise Nouvelle perspective : avant, ce qui comptait, c était la gestion des périphériques physiques, aujourd hui c est l image de l entreprise fonctionnant en tant que machine virtuelle hôte. Indications de mise en œuvre (pour la seconde partie du sujet) Ce document montre comment la poussée des salariés oblige les directions à accélérer le déploiement des applications mobiles professionnelles. Il présente les possibilités fonctionnelles des outils personnels dans un cadre professionnel avec une brève étude de 2 corps de métier : consultant et médecin. L exemple du médecin libéral est un peu éloigné du monde des collectivités territoriales. Par contre, l exemple du consultant analyse des besoins plus proches de nos métiers. Enfin, le document donne des éléments de coût utiles pour la partie propositions. Document présentant des solutions dites mobiles, leurs impacts sur la sécurité et la résistance des utilisateurs qui les réclament. Modification des critères de déontologie? Document 10 Les intérêts du salarié utilisateur et de l employeur à suivre le phénomène BYOD se rejoignent. Enumération des risques réciproques à anticiper. Rappel de quelques grands principes de droit de la responsabilité. Pistes de solutions 2

3 pour les anticiper. Intérêt d édicter une charte. Nécessité de revisiter la jurisprudence de la Cour de cassation relative à l accès par l employeur aux données, mails ou documents stockés sur le poste du salarié. Document 11 Formulaire de demande d installation d un client messagerie et d un agenda professionnel sur un équipement personnel Document 12 Le BYOD et les risques en termes de sécurité. Le Mobile Device Management comme solution, les fonctionnalités que doit offrir un outil MDM, et les offres du marché. Faire appel à une société spécialiste pour gérer efficacement le déploiement de smartphones? Document 13 Comparaison du modèle Mobile Device Management face au Mobile Application Management Le plan du rapport technique On peut proposer un plan classique : une première partie qui précise le contexte et les enjeux, et les précautions à prendre impérativement dans le cadre du phénomène BYOD tout en abordant les nouvelles problématiques qui se posent ; une seconde partie qui détaille les différentes étapes menant à une utilisation intelligente et maîtrisée des outils personnels pour le bureau, appliquée à Techniville. Introduction Le phénomène "bring your own device" ou "apportez votre propre appareil", est né de l'engouement pour les smartphones et les tablettes, parfois amplifié par l'écart entre l'ergonomie du mobile fourni par l'organisation et celle des appareils personnels des agents. Si ce phénomène permet l'introduction, pour des usages professionnels, de terminaux sophistiqués et d'applications pouvant apporter une réelle valeur à l'entreprise, répondre à tout, n importe où, tout le temps, symbolise une époque où les barrières entre le personnel et le professionnel deviennent moins lisibles. Le BYOD pose des questions de sécurité de l'accès au système d'information, et des questions plus juridiques, comme celle d'usages illicites de l'accès internet à partir du réseau. Enfin, d un point de vue plus technique, les impacts ne sont pas négligeables. Nous verrons donc, dans une première partie, le contexte et les enjeux de l utilisation des outils personnels pour le travail, les précautions à prendre inévitablement ainsi que les nouvelles problématiques qui se posent, et dans une seconde partie, nous proposerons un plan de développement maîtrisé du phénomène BYOD s articulant autour de deux phases. Première partie : les enjeux et la stratégie à adopter pour utiliser efficacement le BYOD A. Le contexte et les enjeux a) Le contexte Deux causes expliquant l émergence du phénomène BYOD : 3

4 Premièrement, les utilisateurs qui n'aiment pas les contraintes et ne comprennent pas qu'on les oblige à utiliser des outils obsolètes par rapport aux leurs. Deuxièmement, tendance poussée par le développement du nomadisme. Caractéristiques du BYOD : Tout d abord, si l utilisateur choisit d utiliser son propre smartphone plutôt que celui proposé par l entreprise, c est qu il perçoit des avantages d utilisation et qu il s estime peut-être plus efficace avec. L'objectif est de permettre aux agents d'adapter leur lieu de travail en fonction de leurs contraintes. Concrètement, un salarié doit pouvoir utiliser son smartphone personnel en déplacement pour accéder à ses courriels professionnels et se connecter depuis tout type d'ordinateur (portable ou fixe, personnel ou professionnel) aussi bien chez lui que dans son bureau. Le but : gagner en efficacité en gardant son environnement, ses applications, l'accès à ses courriels et ses réseaux sociaux. Ce n'est pas un épiphénomène, les organisations doivent le prendre en compte, même si cela signifie plus de complexité pour les directeurs informatiques qui doivent gérer une multiplicité de terminaux, d'applications, de systèmes d'exploitation (IOS, Android, etc.) D'autre part, l'entreprise a longtemps reproché aux utilisateurs de ne pas être formés aux technologies de l'information. Le BYOD incite à décloisonner les sphères professionnelles et personnelles, ce qui peut être source de nouveaux partenariats ou de prospection. Enfin, l'utilisateur prend davantage soin du terminal, puisque c'est le sien. b) Enjeux : Enjeux juridiques En cas d usage illicite de l'accès internet à partir du réseau de l'entreprise, donc sous la responsabilité de celle-ci. À l'inverse, l'employé peut craindre pour sa vie privée. Il s'agit de préciser si l'entreprise a le droit de tracer ses employés, d'assurer la protection de ses données personnelles, ou encore de dégager la responsabilité de l'entreprise en cas d'usage illicite. Charte d'utilisation de l'informatique. Enjeux techniques Les enjeux techniques diffèrent suivant la solution adoptée (MDM, MAM ou solution intermédiaire) Le BYOD pose des questions de sécurité de l'accès au système d'information, de risque d'introduction de codes malveillants et de fuites de données. La maîtrise de la sécurité impose l'identification et l'authentification des utilisateurs, le contrôle des configurations et le chiffrement des données stockées et les flux. Or, l'hétérogénéité inhérente au BYOD complique ces tâches. 4

5 Les DSI mettent en avant la consolidation, la centralisation des serveurs et la rationalisation des coûts de gestion et d'administration du parc informatique La virtualisation du poste de travail et son extension sur les terminaux mobiles sont deux enjeux technologiques incontournables pour mettre en œuvre cette pratique. Le DSI risque de perdre une partie de son pouvoir, l achat de matériel devra se faire en concertation avec les agents. Enjeux financiers Même si l'utilisateur ne finance pas son propre terminal, le BYOD est source de réduction de coûts, que ce soit au niveau de la facture télécom ou de l'impact sur l'infrastructure de l'entreprise. Permet de limiter le TCO (Total Cost of Ownership) plus besoin de financer une flotte complète de smartphones si l utilisateur possède déjà son propre terminal. Dès lors que le phénomène représente une valeur ajoutée ou qu'il faut le canaliser, réfléchir au partage des coûts. Un moyen pour réduire les frais de déplacement. Doper la productivité tout en améliorant les conditions de travail des agents (61 %) et la qualité du service B. Les précautions et les problématiques a) Les précautions Séparer espaces personnel et professionnel et sécuriser l espace professionnel / Détruire les données en cas de problèmes Anticiper la possible perte d informations consécutive au vol ou à la perte d un équipement. Prévoir des moyens de chiffrement pour les espaces de stockage des matériels informatiques mobiles (ordinateur portable, périphérique de stockage amovible tels que clés USB, CD-ROM, DVD-RW, etc.). Parmi les outils disponibles, des logiciels libres tels que TrueCrypt permettent de créer des containeurs chiffrés dont la sécurité repose sur un mot de passe. Diffuser les bonnes pratiques L utilisation d outils personnels pour le travail doit rester efficace et ne doit pas être l origine de fuites de donnés : Les bornes sans fils gratuites (hotspot) sont des vecteurs de piratage (réseaux non sécurisés) Ne pas se connecter à des sites sensibles Les applications trouvées sur le net contiennent parfois des virus ou des «codes malicieux» Préférer les applications vérifiées Les mobiles sont sujets à la perte et/ou au vol : 5

6 Éviter de laisser à vue Penser à des sauvegardes régulières Identifier un centre de support technique en cas de perte et/ou vol, pour détruire les données sensibles Dans le cadre du BYOD, l outil de travail personnel contenant des données professionnelles, il est recommandé : De verrouiller automatiquement son appareil De ne pas le prêter pour éviter : o L envoi de messages indésirables o La suppression de données o L achat d application non vérifiées Une application qui permet de : o Synchroniser et stocker la messagerie et l agenda partagé en toute sécurité o Détruire les données en cas de perte et/ou vol o Conserver les données dans un espace sécurisé b) Les nouvelles problématiques Quand le téléphone devient mobile et qu un collaborateur le conserve en permanence, cela induit qu il soit joignable à tout moment. Quand on utilise au bureau son smartphone personnel pour communiquer sur des réseaux sociaux, alors la sphère privée s invite dans celle de l entreprise et le travail déborde de plus en plus sur la vie personnelle. Un usage qui a pour conséquence la montée d un télétravail non formalisé, aux pratiques non encadrées. Cette abolition progressive de la frontière entre vies personnelle et professionnelle nécessite un encadrement des usages afin de ne pas conduire les cadres à une situation de connexion permanente (et donc un risque de sur-sollicitation) Multiplication de risques psychosociaux, que la loi impose désormais de prévenir. Agenda professionnel, charge de travail et/ou nos obligations ne répondent pas toujours aux même exigences temporelles Il est préférable d'anticiper les risques avec une «charte» d'utilisation des moyens informatiques. Les outils personnels utilisés par les agents dans le cadre de leur activité professionnelle, connectés au réseau et aux ressources de la collectivité, doivent être inclus dans le périmètre de cette charte. Problématique des données personnelles présentes sur l'ordinateur de l agent. Avec le développement du «bring your own device», il y a là un champ d'incertitude que la charte informatique doit absolument combler. Des procédures techniques de recopie ou d'effacement automatique des informations de l'entreprise, lorsque le poste informatique du salarié est connecté au réseau ou lorsqu'il quitte l'entreprise, sont à étudier. 6

7 Transition Le récent développement de l utilisation des outils personnels pour le travail offre de nouveaux challenges aux DSI et par ricochet à l ensemble de la collectivité : le sujet est relativement complexe et pose des problèmes de sécurité qui ne peuvent plus être négligés. Plutôt que d occulter cette problématique, des outils et des process existent pour gérer efficacement l utilisation des outils personnels pour le travail. Encore faut-il en avoir une connaissance approfondie et savoir les paramétrer en bonne intelligence. Une collectivité aura donc tout intérêt à confier à la DSI un audit de son parc afin de décider, en toute connaissance, des règles à mettre en place et des outils à déployer. Deuxième partie : Développement d une utilisation maîtrisé des outils technologiques personnels à Techniville Ce plan de développement s articule autour de deux phases : A. Avant-projet : vérifier l attente et ajuster les objectifs Ce sujet ayant également une portée Ressources Humaines, il convient de définir un copilotage sous la tutelle du DGA Moyens Généraux et Systèmes d information, entre la DSI et la DRH. a) Connaître les attentes réelles des agents Enquête auprès des agents afin de préciser leuss attentes vis-à-vis de la problématique, notamment en termes de priorités. b) Définition de la stratégie globale A partir des résultats, élaboration d une stratégie globale soumise à validation du DGA portant sur : Outils concernés Degrés d ouverture du réseau Agents concernés (en termes de catégorie) Première estimation du coût du projet intégrant les modalités de mise à jour de la sécurité informatique. c) Formalisation du planning projet et du plan de communication Planning élaboré conjointement par le DSI et la DRH + plan de communication à destination des agents 7

8 Trois thématiques : B. Mise en oeuvre du projet a) Adaptation des processus de sécurité informatique Réalisation d un audit informatique A l issue de l audit, déterminer le degré de sécurité à déployer face aux risques identifiés Parallèlement, acquisition des équipements nécessaires à l ouverture du réseau aux équipements personnels Une étude chiffre à environ l acquisition la maintenance annuelle pour 500 utilisateurs de smartphones b) Réécriture de la réglementation interne et préparation au changement Conjointement avec la DRH et en relation avec les organisations syndicales, proposition d évolution du règlement intérieur et de la charte d utilisation des SI Parallèlement, proposition de formation des utilisateurs Elaboration, par la DRH, d un guide de mobilité c) Déploiement, évaluation Le béaba de tout déploiement, quelque soit la solution choisie : L ouverture des accès peut débuter, suite à une demande motivée nominative de chaque agent et après signature de la charte Parallèlement, suivi de flux en termes de charge réseau et de sécurité afin d anticiper tout problème de déploiement Etablissement d une liste de terminaux autorisés et adoption d une solution sur étagère multi-os, comme Afaria de Sybase, ou Good de Good Technology. Virtualisation des machines (exemple du CG13 sous Windows 7, avec Exchange et Lync) Virtualisation des serveurs (exemple Hyper-V et les postes de travail, produits avec XenDesktop et XenApp) Pour la sécurité, traçabilité et authentification. Accès distants, via Internet, en OTP sur un VPN. Partage de fichiers par Internet. Sur le réseau local, les clients légers sont connectés avec NAC, et authentifiés par certificat numérique, idem pour les téléphones IP et pour les PC. Les flux entre postes et applications sont contrôlés selon les profils ActiveDirectory, flexibilité et l évolutivité des solutions F5 Evaluation au bout de six mois puis d un an afin de faire évoluer, si besoin, le périmètre d ouverture, le réseau et le processus de sécurité. 8

9 Le choix entre les modèles Mobile Device Management, Mobile Application Management, ou un modèle intermédiaire Pour répondre aux nouveaux usages, voici un exemple de solution proposée : Autorisation formalisée d utilisation des équipements personnels Mise en place d une «Bulle de sécurité» avec pour objectif «La protection des données professionnelles» Cloisonnement entre les espaces personnel et professionnel Synchronisation et sécurisation des données de la messagerie électronique et de l agenda Sauvegarde des données contenues dans la bulle Plateforme de gestion de parcs avec possibilité de supprimer à distance les données dans la bulle de sécurité Tous ces éléments doivent être repris dans la charte de bonne utilisation des outils informatiques. 9