Le contexte Tirant les leçons de leurs premiers déploiements de solutions de mobilité, trois entreprises apportent un retour d’expérience sur leurs projets de renouvellement d’équipements. Représentant le secteur public et le secteur privé, les témoignages mettent en avant les besoins de confidentialité imposés par leur activité. Comment concilier des exigences de sécurité et limiter les accès au strict nécessaire, avec un usage de ces appareils mobiles de plus en plus personnel et ouvert à tout vent ?Comme l’évoque un intervenant : « Il ne faut pas forcément construire une forteresse s’il n’y a pas de besoin réel pour le faire, en revanche il faut le faire s’il y a besoin de confidentialité et sécurisation ». La mobilité est un sujet qui engage un dialogue approfondi entre la DSI et les Métiers : « L’IT ne détient pas la vérité, elle vient plutôt du terrain et du business ». Pour autant, c’est la DSI qui sera en charge du déploiement des matériels et des applications, du cycle de vie des solutions, du respect des politiques de sécurité de l’entreprise. Avec le sponsorship des Directions Générales – parfois les premières à vouloir bénéficier de ces solutions – les DSI doivent mettre en place les outils de gouvernance nécessaires à la réussite du projet et à la prise de mesures correctives lorsque nécessaires.

40#Octobre 2015

La mobilité est un sujet classé par les DSI parmi leurs trois priorités du moment.

L’évolution technologique des nouvelles générations de smartphones et de

tablettes, les nouveaux usages des utilisateurs et les risques de sécurité amènent

les DSI à s’interroger sur les bonnes pratiques dans un marché qui commence à

entrer en phase de renouvellement. Mais la technologie ne fait pas tout : le succès

d’un projet de mobilité dépend avant tout de l’adoption par les utilisateurs et de la

valeur ajoutée apportée à l’entreprise.

Environnement de travail & Mobilité

L’E

ssen

tiel

Ils ont dit… • « Le voyage vers la mobil i té ne fait que

commencer. »

• « On a quelques projets de mobilité en exploitation et on embarque de plus en plus de directions métiers. La DSI devient un centre de solutions pour le Groupe. »

• « La mobilité va au-delà du simple device. Il est important mais l’enjeu dans l’entreprise est d’apporter la même expérience utilisateur quel que soit le périphérique et avec le même niveau de sécurité. »

• « Il faut davantage raisonner application que poste physique. Tout nouveau développement engagé doit être mobility-ready. »

• « Nous voulons proposer un environnement global cohérent qui satisfait les besoins croissants des utilisateurs et évidemment très sécurisé. »

• « La cartographie des applications mobiles sera une évolution majeure pour l’activité opérationnelle des équipes. »

• « La gouvernance n’est pas une initiative seulement IT, il faut impliquer toutes les parties de l’entreprise en se rapprochant des métiers. »

Club des Responsablesd’Infrastructures et de Production

CRiP Thématique

La Mobilité de l’utilisateur final, MDM, BYOD : Bonnes Pratiques et Risques10 septembre 2015

1

2

Ce qu’il faut retenir Evolution technologique des appareilsDans un projet de mobilité, l’appropriation de la solution par les utilisateurs est un élément déterminant de la réussite du projet. L’évolution technique rend rapidement dépassés certains matériels ou certaines applications. Dès lors, le renouvellement technologique peut être un moteur d’apport de nouvelles fonctionnalités et de re-mobilisation des collaborateurs autour de solutions plus actuelles, en ligne avec l’image de modernité que veut se donner l’entreprise en interne et auprès de ses clients.

Sur un plan purement matériel, les équipements mobiles ont connu une évolution tant sur les facteurs de forme, que sur la connectivité réseau, ou les performances. L’un des intervenants constate : « L’obsolescence des produits nous a conduits à un projet de remplacement des Netbooks », alors qu’un autre avoue que « le système déployé en 2005 tombait en panne trop souvent et n’était de ce fait pas toujours emmené dans les véhicules ».

Dans ces conditions, l’adoption du nouveau projet de mobilité passe par une phase de renouvellement des matériels. « Améliorer l’expérience utilisateur n’était pas trop difficile après le Netbook. Nous voulions une bonne appropriation des nouveaux matériels par nos commerciaux » déclare un intervenant. Mais ceci ne justifie pas pour autant l’adoption du dernier smartphone ou de la dernière tablette à la mode : « vis-à-vis de notre clientèle BTP et d’artisans, nous ne souhaitions pas que nos commerciaux arrivent avec des appareils trop luxueux ».

Comme le souligne le Groupe de Travail Mobilité du CRiP, pour éviter toute discrimination, la politique d’affectation des appareils mobiles doit être connue de tous : « Il faut clarifier qui a droit à quoi : hiérarchique, fonctionnel, business. Il faut l’écrire et le mettre à disposition au sein de l’entreprise ».

Mais la stratégie de mobilité de l’entreprise ne s’arrête pas au choix de l’appareil. Comme le déclare un intervenant : « La mobilité va au-delà du simple device. Ce point est important, mais l’enjeu dans l’entreprise est d’apporter la même expérience utilisateur quel que soit le périphérique et avec le même niveau de sécurité. »

L’influence des MétiersDans des entreprises de grande taille, la politique Mobilité a parfois été impulsée en dehors de la DSI. Un intervenant reconnaît qu’ « au début, les métiers arrivaient avec une solution déjà choisie, mêlant hard et soft et venaient voir

la DSI en disant ‘il faut me les déployer’. Les questions de cycle de vie de la solution, d’évolution fonctionnelle restaient entières ». Après ces débuts erratiques, « face à l’explosion des tendances de mobilité nous avons mis en place une gouvernance. Les métiers expriment désormais leurs besoins et non plus leurs solutions. La DSI est là pour proposer une solution packagée qui répond au mieux, de façon globale et qui favorise le re-use. »

Il poursuit : « Les métiers doivent trouver des leviers et une stratégie d’évolution de leurs processus métiers. Ils peuvent alors lancer des POC avec l’aide de la DSI pour évaluer de façon intrinsèque la valeur de ce changement et le ROI à en attendre (gain de productivité, réduction des coûts…). Une fois la valeur réelle du changement -obtenue grâce aux résultats du POC- avérée, nous passons à un mode projet classique. La DSI devient un centre de solutions pour le Groupe. »

La DSI reprend progressivement le contrôle et développe une stratégie de standardisation, porteuse d’économies d’échelle : « Nous ne faisons pas un déploiement de x milliers de tablettes d’un coup, mais on déploie au coup par coup, par projet. On veut arriver à un standard, une convergence sur les matériels, les usages applicatifs, les déploiements, et la façon d’industrialiser tout cela. »

BYOD et mobilité sont-ils liés ?La politique vis-à-vis du BYOD est spécifique à chaque entreprise, liée à son secteur d’activité, la taille de la population de collaborateurs éligibles, sa culture, mais très dépendante de la nature des informations d’entreprise susceptibles d’être dispersées au sein des équipements mobiles de ses collaborateurs.

Sur ce point, nos trois intervenants partagent une stratégie d’évitement du BYOD pour des raisons de sécurité, de confidentialité des informations manipulées.

L’un déclare : « Sur la partie matérielle, pour des raisons historiques, et parce que nous voulions sécuriser de façon managée les matériels, nous avons écarté le BYOD. Nous proposons un catalogue de tablettes, défini en fonction des besoins métiers exprimés, dans lequel les utilisateurs peuvent piocher. ».

Dans un autre cas : «la relative fermeture de la tablette au monde extérieur, le fait qu’elle ne soit pas en utilisation personnelle, et les vraies contraintes imposées par notre DG ont fait que le BYOD sur ces tablettes était juste hors de question. En revanche nous l’autorisons sur les smartphones. »

Pour le troisième intervenant, issu du secteur public, la confidentialité des données traitées a également écarté l’option BYOD sur les tablettes. Les équipements sont fournis par l’administration.

Sécurité des équipements et des donnéesCe sujet est pris très au sérieux par nos intervenants. Pour l’un d’entre eux : « La clé du projet était d’assurer un bon niveau de sécurité et éviter la fuite de données ». Lors de son premier déploiement de notebooks, l’entreprise avait choisi de « désactiver le WiFi, les ports USB, et de supprimer le navigateur internet ». Dans son projet actuel : « l’utilisateur a accès à l’intranet, à internet, à un store privé pouvant contenir certaines applications issues du domaine public, mais qui sont filtrées et sécurisées ». Cette ouverture relative de la tablette reste malgré tout encadrée, notamment sur l’usage des clés USB : « nous avons mis en place des stratégies de groupe – GPO, Group Policies Objects – pour brider des utilisations de la tablette en termes de port USB. L’utilisateur ne peut pas exporter des données de la tablette vers la clé USB, seulement lire et downloader des data depuis la clé USB vers la tablette ». En cas de perte ou de vol de la tablette, « Tout se fait automatiquement, via SCCM 2012, on peut prendre la main sur la tablette et faire un reset des données ».

Dans une autre entreprise : « Dans un contexte de sécurité extrême, tout doit être crypté, les tablettes sont bitlockées, nous avons des lecteurs de smartcards avec carte à puce, des accès par VPN. Notre réseau interne est totalement fermé à l’extérieur, sauf autorisation explicite du RSSI ». Les tablettes sont managées par SCCM, outil déjà utilisé pour administrer les laptops. La confidentialité des informations manipulées, et l’hostilité de l’environnement de travail ont orienté les choix matériels : « On a d’abord pensé à des tablettes durcies, sans ventilateur afin de ne pas faire entrer de corps étranger. Mais en cas de compromission de la tablette, afin de ne prendre aucun risque, il nous faut la détruire, ce qui représentait un coût non négligeable. Nous avons donc opté pour une tablette bureautique non durcie, mais beaucoup moins chère. Nous avons fait développer une housse transparente étanche. En cas de compromission c’est la housse que nous détruisons. Et au pire s’il faut également détruire la tablette, c’est le tiers du prix d’une tablette durcie ».

Dans l’administration : « nous avons mis en place une équipe Android Securisé en relation étroite avec l’ANSSI. Les ROMs d’origine sur les smartphones ou tablettes sont enlevées, et remplacées par une ROM AOSP

(Android Open Source Project) Google. L’ensemble des drivers - appareil photo, port USB, GPS, etc.. – ont été redéveloppés par l’ANSSI, qui rajoute notamment une passerelle sécurisée pour monter des tunnels IPSEC ».

En matière de traçabilité, « une carte microSD avec une puce et une applet Java assure les authentifications. On injecte un certificat pour monter le tunnel IPsec et un certificat nominatif pour assurer l’authentification de l’utilisateur sur les différents fichiers. Cette solution de sécurisation de bout en bout est accompagnée d’un mini MDM développé par l’ANSSI pour piloter à distance la mise à jour des ROM’s afin d’avoir un parc totalement homogène ».

En cas de perte ou de vol : « nous voulons géo-localiser la tablette, pouvoir faire de l’effacement à distance, et révoquer les certificats pour que les tunnels ne puissent plus monter et accéder au SI ».

La question de traçabilité amène une réponse plus nuancée de la part du Groupe de Travail Mobilité : « Dans le domaine de la mobilité, il vaut mieux savoir à l’avance ce qu’on veut tracer, enregistrer, retenir, afin de garantir le respect de la vie privée des utilisateurs. Mettre en place la traçabilité des actions, c’est souvent un vœu pieu ». Il conclut : « Une solution de MDM c’est la pierre angulaire, la première chose à faire avant de vouloir imaginer quoi que ce soit d’autre ». Mais pour autant, « il ne faut pas penser que toutes les solutions de MDM sont équivalentes. L’offre et le domaine ne sont pas encore matures. Il est utile de mener des projets afin d’évaluer la solution de MDM qui convient le mieux à vos problématiques ».

Apporter du confort à l’utilisateurComme l’évoque un intervenant : « l’appropriation de la solution par les utilisateurs est un élément clé de la réussite du projet de mobilité ». Pour pallier un manque fonctionnel perçu par les utilisateurs, l’entreprise a développé un outil dans la barre des tâches, pour visualiser la qualité de la connexion réseau. « L’outil affiche un M en situation de mobilité, lorsque toutes les fonctions de sécurité sont activées, un A en agence –donc avec un accès plus ouvert– et une croix rouge en cas d’indisponibilité réseau. Nous avons également visualisé le degré de fair use. La tuile apparaît en vert en dessous de 80% d’utilisation, en orange entre 80 et 100% et en rouge au-delà de 100%- ce qui explique que les temps de réponse soient plus longs. En 4G et 4G Edge on a reproduit un système de barres. Cet outil a été grandement apprécié par nos utilisateurs car ils peuvent rapidement savoir dans quelles conditions ils peuvent travailler ».

La qualité de service réseau influe sur le ressenti utilisateur. Un intervenant ayant déployé smartphones et tablettes remarque que « un smartphone capte moins facilement le réseau qu’une tablette. A réception égale, la tablette sera plus efficace que le smartphone, et donc le WiFi du smartphone, d’où notre choix d’installer la carte SIM uniquement data dans la tablette ».

L’E

ssen

tiel

CR

iP T

hé

ma

tiqu

e -

La

Mo

bilit

é d

e l’

utilis

ate

ur fi

nal, M

DM

, BYO

D :

Bonn

es P

ratiq

ues e

t Risq

ues

3

4

En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP.

Club des Responsables d’Infrastructures et de Production24 rue Erlanger 75016 Paris - contact@crip-asso.fr www.crip-asso.fr

Réda

ctio

n : P

hilip

pe R

oux,

CRi

P - C

réat

ion

fred.

lam

eche

- w

ww

.fred

lam

eche

.com

Il ajoute : « Et pourtant nous avons bloqué les mises à jour de Windows 8 par le réseau, car nombreuses et très lourdes, entre 200 et 500 Mo ».

L’autonomie de la batterie est un élément à ne pas négliger. Par rapport à des tablettes à batterie amovibles, un intervenant a pourtant fait le choix d’une tablette à batterie intégrée, car « dans le cadre de la garantie, le fournisseur s’engage à ce que l’autonomie de la batterie ne soit pas inférieure à 80% de l’autonomie d’une batterie neuve ».

Gouvernance et accompagnement du changementComme le précise un intervenant : « La gouvernance n’est pas une initiative seulement IT, il faut impliquer toutes les parties de l’entreprise en se rapprochant des métiers. La demande vient des utilisateurs et des business, le rôle de l’IT est d’être un catalyseur et de proposer des solutions à partir des besoins exprimés ». Ce que confirme un autre intervenant : « Nous sommes dans une courbe d’inflexion. On a quelques projets qui tournent, et on embarque de plus en plus de directions métiers La DSI devient un centre de solutions pour le Groupe ».

Si la gouvernance apporte des processus, des méthodes, un suivi du projet durant toutes ses phases de mise en place et d’exploitation, il faut veiller à s’assurer de l’engagement des utilisateurs, et leur apporter la formation et le support nécessaires pour accomplir leurs tâches en situation de mobilité.

Un intervenant expl ique : « Avec ce nouveau dimensionnement, le projet a changé d’ampleur et le pilotage a été assuré par les cabinets de Directions Générale, des Comités de Pilotage et la mise en place

de Groupes d’Utilisateurs Référents pour exprimer les besoins attendus. Ces contributions ont permis de définir ce qu’on allait proposer comme fonctionnalités pour la phase pilote et ensuite ce qu’on intègrerait lors de la montée en puissance en 2016 ».

Un intervenant ayant déployé des tablettes sous Windows auprès de ses commerciaux itinérants déclare que « le support ne nous a pas causé de soucis particuliers, notre help desk apportant déjà du support sous Windows ». Il reconnait que « avec 1500 tablettes déployées en 3 mois, nous avons constaté que la mastérisation d’une tablette est plus complexe que celle d’un PC ou d’un portable : problème de la coque durcie, de la carte SIM, d’applications spécifiques. Il y a bien eu quelques challenges mais globalement ça s’est bien passé ». Cet aspect est évoqué par un autre intervenant : « avec environ 2000 tablettes à déployer sur plusieurs projets jusqu’en 2016, il nous faut industrialiser les processus d’acquisition, de matriçage, de prise en charge et de support ».

En ce qui concerne la formation des utilisateurs, l’entreprise « a distribué un flyer Windows 8.1 qui donnait les principales astuces d’utilisation, et une demi-journée formation par groupe de 10 à 15 commerciaux lors de la remise de la tablette. Ensuite nous avons fait du train the-trainer ».

ConclusionCette journée thématique a mis en avant les différentes facettes à prendre en compte lors du déploiement d’un projet de mobilité : facteurs techniques, mais également humains.

Si la technique permet des applications de plus en plus sophistiquées (3D, réalité augmentée, cartographie, géolocalisation, etc…) elle ne doit pas primer sur le service apporté à l’utilisateur, mais être au service du business.

Carrefour entre des exigences métier en évolution et des contraintes de gouvernance et de sécurité, la mobilité est le terrain d’un dialogue approfondi entre la DSI et les Métiers d’une part, et la DRH d’autre part, pour s’assurer de l’adhésion –et de la discipline- des utilisateurs.

Même si l’activité de nos intervenants était peut-être atypique en matière de confidentialité et de sécurité, les questions posées par la salle ont montré que ce sujet doit être examiné en profondeur. Des solutions applicatives, matérielles, méthodologiques doivent être sélectionnées en fonction des besoins spécifiques de l’entreprise.