Risques et opportunités de la Consumérisation de l'IT - partie 5 - PC d’entreprise vs PC & tablette personnelles

Ceci est le cinquième billet d'une série consacrée aux risques et opportunités de la consumérisation de l'IT

L'introduction sur la consumérisation est ici
La seconde partie consacrée aux smartphones est ici
La troisième partie consacrée aux périphériques amovibles et services de stockage personnel dans le Cloud est ici
La quatrième partie consacrée aux logiciels d'entreprise vs les logiciels personnels est ici

Dans cet article, je vais développer le cas des PC d'entreprise vs les PC / tablettes personnelles

Situation actuelle

Il ne faut pas se voiler la face : aujourd’hui, de plus en plus d’employés utilisent pour leur travail des équipements personnels inconnus des services IT. Au delà des clés USB, disque durs externes et autres smartphones, c’est aujourd’hui les PC et tablettes tactiles qui entrent dans nos Systèmes d’Information !

Le phénomène n’est pas nouveau nouveau (cela fait déjà quelques années que des netbooks ont fait leur apparition sur les bureaux) mais il subit désormais une forte accélération pour plusieurs raisons :

- Les PC portables sont de plus en plus puissants & “sexy” et de moins en moins chers. Un PC portable avec processeur dual core /4 Go de mémoire / lecteur de DVD… se trouve facilement à moins de 380€.

- Dans certains parcs d’entreprises vieillissants, les employés doivent travailler sur des PC d’un autre âge (écrans cathodiques, moins de 1 Go de RAM….) utilisant des systèmes inconnus des jeunes enfants (je connais des clients ayant encore des serveurs NT 4.0 et des postes en Windows 2000 professionnel). Je comprend parfaitement que beaucoup prennent l’initiative d’emmener leur propre périphérique (BYOD : Bring Your Own Device comme disent les anglo-saxons) sur leur lieu de travail. cf. point précédent.

- L’arrivée en force de nombreuses tablettes tactiles qui complètent l’attirail technophile domestique. Actuellement cantonnées majoritairement à un usage ludique, elles devraient également s’implanter officiellement en entreprise avec des systèmes adaptés aux contraintes des SI (les prochains Windows seront sur ce point probablement très impactants). Les prochaines années devraient confirmer le développement de ces périphériques tactiles comme le prévoit de nombreux analystes (cf. graphique ci-dessus. Source(s): GigaOm–“A Media Tablet Forecast, 2011-2015”)

Note : je n’ai plus assez de doigts pour compter le nombre de clients qui m’ont raconté que les premières tablettes (des iPad) qui sont arrivées dans leur SI étaient celles du comité de direction qui en avait absolument besoin pour lire les présentations lors des réunions Winking smile

Quelque soit les périphériques (PC, tablette, PC de bureau ou smartphone), la grande majorité des personnes ont une utilisation mixte : personnelle et professionnelle.

Risques associés

Avoir des employés utilisant leur périphériques personnels au sein du Système d’Information implique plusieurs problématiques :

  • Perte du maintien de la conformité du parc des postes connectés au Système d’Information
  • Infection possible du Système d’Information via le réseau depuis le périphérique personnel (rappelez-vous : Blaster, Sasser….)
  • Vol ou perte du périphérique contenant des informations sensibles et aucune information remontée à l’IT ou l’équipe sécurité
  • Violation des droits d’utilisation d'un logiciel installé et utilisé par l'utilisateur
  • Incompatibilité entre des documents crées sur les postes personnels versus ceux crées sur les postes de travail (valable en cas de forte différence entre les version employées)
  • Perte de contrôle sur l’homogénéité du parc matériel et logiciel

Quelques réponses techniques (illustrées avec les solutions Microsoft)

- Utiliser des mécanismes de virtualisation de présentation

RemoteApp : technologie de virtualisation de présentation d'application disponibles depuis Windows Server 2008 couplé au client RDP 6.1 (ou supérieur). Dans cette approche, les applications sont exécutées sur des serveurs de bureaux à distance (Remote Desktop Host Server) et l'affichage de l'application est déporté sur le client Terminal Server. Le client Terminal Server compatible est nativement présent dans Windows 7 (et Vista).

L'avantage de cette technologie c'est sa simplicité en terme de déploiement, y compris sur un poste personnel car il suffit à l'IT de fournir à l'utilisation un fichier .RDP (fichier texte contenant l'ensemble du paramétrage pour établir la connexion vers le(s) serveur(s) hébergeant l'application.

Autre élément en faveur de cette solution : La possibilité de se connecter depuis l'extérieur de l'entreprise via la passerelle d'accès Remote Desktop (qui est une sorte de VPN SSL dédié à RDP) disponible sous la forme d'un rôle dans Windows Server 2008 (et >). La passerelle Remote Desktop offre aussi la possibilité d'imposer des politiques restrictives en terme de redirection de périphériques et/ou l'utilisation d'authentification forte via carte à puce.

Informations complémentaires sur les Remote Desktop Services : https://blogs.technet.com/b/windows7/archive/tags/remote+desktop+services/

- Utiliser une infrastructure de postes de travail virtualisés (VDI : Virtual Desktop Infrastructure)

Cette solution est parfaite pour mettre à disposition un poste de travail standardisé à des utilisateurs utilisant leur PC personnel. Le principe est d'avoir des postes de travail virtualisés et exécutés dans le centre de données de l'entreprise sur des serveurs de virtualisation (Hyper-V disponible avec Windows Server 2008 R2 par exemple).

Les utilisateurs se connectent via le client Bureau à Distance. La technologie de déport d'affichage est donc similaire à celle des RemoteApp. Avec l'usage de RemoteFX (codec améliorant la qualité de RDP dans ce type de scénario) disponible avec le Service Pack 1 de Windows 7 et Windows Server 2008 R2, il est possible de répondre aux exigences en terme de qualité de rendu ou de rafraichissement des applications d'entreprise.

La configuration sur le poste personnel est comme pour les RemoteApp très simple : il suffit de fournir à l'utilisateur le fichier de configuration (.RDP) et celui-ci n'aura qu'a double-cliquer dessus pour se connecter.

Exemple de bureau distant sur une machine hébergée dans un environnement VDI Hyper-V 2008 R2 (ici avec redirection de la Webcam USB qui filme mon collègue Fabrice…)

Comme les RemoteApp, l'accès à des postes VDI est également possible depuis l'extérieur du réseau de l'entreprise via l'utilisation de la passerelle Remote Desktop.

Note : l'utilisation de RemoteFX en scénario WAN n'est actuellement pas supportée.

Informations complémentaires sur les infrastructures VDI : https://blogs.technet.com/search/searchresults.aspx?q=VDI&sections=4636

- Utiliser des applications 100% Web (HTML5, Silverlight, Flash...)

Le développement des offres de Cloud Computing et des applications Web permettent de réduire de plus en plus l’adhérence à une plateforme cliente. Ce qui compte désormais c’est le support des standards du Web par les navigateurs. Le tout devant être couplé à des moteurs de rendu ou d’exécution performants.

Dans une étude datant de 2010, le Gartner estimait que mi-2011, il y aurait autant d’applications Web (indépendantes de la plateforme cliente) que d’applications spécifiques à une plateforme donnée.

L'avantage principal des applications Web modernes est qu'elles sont utilisables sur tout périphérique disposant d'un navigateur (et parfois aussi des plug-ins nécessaires). Ce sont donc de parfaits outils utilisables par des postes non managés par l'IT car elle ne nécessite que de connaitre l’URL de départ.

- Fournir un media bootable

L'idée ici est d'avoir un CD-Live ou une clé USB Bootable permettant à l'utilisateur de démarrer un système pré-configuré par l'IT et intégrant les éléments logiciels nécessaires pour se connecter et travailler au sein du Système d'Information.

Idéalement, ce type de media devra intégrer un mécanisme désactivant les ressources disques "personnelles" lors de son usage, permettant ainsi de garantir une certaine étanchéité entre les données personnelles et les données d'entreprises mais aussi de limiter le risque d'infection.

Une session de la conférence Microsoft Build très intéressante à voir sur ce sujet :

Running Windows from an external USB drive with Windows To Go
https://channel9.msdn.com/Events/BUILD/BUILD2011/HW-245T

- Fournir des accès sécurisés et fiables aux ressources de l'entreprise

Accepter des périphérique inconnus dans le SI est une chose mais accepter n’importe qui ou n’importe quoi en est une autre. Aussi, il est recommandé de canaliser ces nouveaux arrivants en imposant des règles de bonne conduite :

Le périphérique doit respecter des règles minimales de conformité pour accéder aux réseaux de l’entreprise (ex: présence d’un anti-malware, d’un pare-feu, être à jour en terme de correctifs de sécurité…)

Pour cela, un contrôle de conformité à l’accès aux réseaux peut être fait, par exemple, avec l’utilisation de NAP (Network Access Protection) disponible sur Windows client depuis Windows XP SP3 (couplé avec Windows Server 2008 ou 2008 R2)

L’utilisation d’une solution Cloud public de type SaaS pour l’administration et la sécurisation des PC non membres d’Active Directory peut aider au respect de ses règles de conformité. L’offre Cloud SaaS Microsoft Windows Intune répond exactement à ce type de besoins.

L’utilisateur peut accéder aux ressources de l’entreprise s’il fait l’usage d’une authentification plus ou moins forte (plus c’est mieux Winking smile). Avec un périphérique personnel, l’utilisation d’un token OTP est probablement à privilégier versus une carte à puce (car les tablettes et autres PC personnels ont rarement des lecteurs de carte intégrés).

A noter : l’existence de cartes à puce intégrant également un OTP permettant ainsi une authentification forte même avec des périphériques sans lecteur. Ci-dessous la photo d’un modèle de chez Gemalto. Pour moi c’est presque la solution idéale.

En avril 2011, IDC dans une enquête a interrogé ses clients sur les impacts de la consumérisation sur le Système d’Information en terme de solutions à développer les prochaines et cela correspond plutôt bien à ce que je viens de présenter dans cette série d’articles sur la consumérisation de l’IT.

Réponses sociales

- Mettre en place un plan de communication dans l’entreprise

Plutôt que de subir la consumérisation, il faut chercher à la canaliser et ouvrir un dialogue avec les employés sur le sujet afin de déterminer leurs attentes et éventuellement y apporter des réponses d’entreprises (sous la forme d’upgrade matériel, avec la migration vers Windows 7, …)

- Clarifier les conditions d'usage des licences logiciels  

L'entreprise va rester responsable des outils utilisés par le collaborateur même si celui-ci utilise son PC. Il convient donc de bien expliquer ce qui est utilisable par l'utilisateur ou pas.

Cf. article : https://blogs.technet.com/b/stanislas/archive/2011/09/14/risques-et-opportunit-233-s-de-la-consum-233-risation-de-l-it-partie-4-logiciels-d-entreprise-vs-logiciels-personnels.aspx

- Tenter l’expérience du PC personnel

Et pourquoi ne pas essayer sur un projet pilote le principe d’un budget d’achat par employé et laisser ceux-ci acheter le PC de leur choix (ou dans un panel de périphériques qualifiés par l’IT) ? Ce principe peut ressembler à ce qui existe déjà pour les voitures de fonctions dans certaines entreprises (choix de véhicules en leasing ou montant mensuel accordé à l’employé qui achète la voiture qui lui plait).

Même si ceci n’est probablement pas adapté à toutes les entreprises, ni à toutes les populations, cela reste un excellent moyen de satisfaire les envies de chacun. Plus de liberté + plus de plaisir = plus de productivité ? A vous de juger.

- Mettre en oeuvre un support et une maintenance tiers

Ceci est un point important à prendre en compte si vous tenter l’expérience du PC personnel validé par l’entreprise.

Même si le poste de travail de l'utilisateur est son PC personnel, il faut cependant prévoir un processus de support et de maintenance afin de ne pas laisser l'employé sans outil ni assistance en cas de panne.

Si cette initiative BYOD (Bring Your Own Device) concerne également des directeurs et autres collaborateurs hauts dans la hiérarchie, il est possible de prévoir un support premium pour cette catégorie d'employés

Opportunités

Dans un monde idilique :

  • L'IT n'a plus à gérer ces périphériques (PC et tablettes) et se libère du temps pour d'autres activités.
  • Les utilisateurs sont contents de pouvoir utiliser les périphériques qu’ils ont choisi
  • Les employés deviennent plus productifs
  • De nouveaux scénarios d’usage et applications associées peuvent émergées

Quelques ressources et lectures complémentaires

An IDC White Paper : IT Consumers Transform the Enterprise: Are You Ready?
https://tinyurl.com/6bbx88r

Checklist for an Employee-Owned Notebook or PC Program
https://web.citrix.com/Dilbert/Gartner_Report_BYOC_checklist.pdf

- Stanislas Quastana – aussi sur Facebook (consumérisation oblige Winking smile)