Les programmes Apportez votre propre appareil (BYOD) exigent trois éléments essentiels : une application logicielle pour gérer les appareils connectés au réseau, une politique écrite décrivant les responsabilités de l’employeur et des utilisateurs, et une entente que les utilisateurs doivent signer, reconnaissant qu’ils ont lu et compris cette politique.
La rédaction d’une politique BYOD oblige les entreprises à bien réfléchir avant de mettre leurs employés en liberté avec leurs propres smartphones et tablettes sur le réseau de l’entreprise. Les questions qui doivent être réglées par la direction de l’organisation au cours de l’étape de planification comprennent les suivantes : Quels navigateurs Web les employés devraient-ils utiliser ? Quels outils de sécurité offrent la meilleure protection pour la gamme d’appareils qui pourront se connecter au réseau ? Quel niveau de soutien la TI doit-elle fournir ? Pour vous assurer que rien n’est négligé, obtenez l’avis de tous les employés de l’entreprise : RH, informatique, comptabilité, juridique – travailleurs et cadres.
Voici un exemple de modèle de politique de BYOD que les organisations peuvent adapter à leurs besoins (inclure des détails supplémentaires lorsque cela a du sens). Certaines entreprises peuvent avoir besoin d’ajouter des sections qui s’appliquent à différents groupes d’utilisateurs avec des exigences professionnelles différentes. Enfin, assurez-vous de demander à un conseiller juridique de l’examiner.
Société XYZ : BYOD PolicyCompany XYZ accorde à ses employés le privilège d’acheter et d’utiliser des smartphones et des tablettes de leur choix au travail pour leur confort. La société XYZ se réserve le droit de révoquer ce privilège si les utilisateurs ne respectent pas les politiques et procédures décrites ci-dessous.
La présente politique vise à protéger la sécurité et l’intégrité des données et de l’infrastructure technologique de la société XYZ. Des exceptions limitées à la politique peuvent se produire en raison des variations dans les dispositifs et les plates-formes.
Les employés de XYZ doivent accepter les modalités et conditions énoncées dans la présente politique afin de pouvoir connecter leurs appareils au réseau de l’entreprise.
Utilisation acceptable
* L’entreprise définit l’utilisation commerciale acceptable comme étant les activités qui soutiennent directement ou indirectement les activités de l’entreprise XYZ.
* L’entreprise définit l’utilisation personnelle acceptable pendant les heures de travail comme étant une communication personnelle ou récréative raisonnable et limitée, comme la lecture ou le jeu.
* Les employés ne peuvent pas accéder à certains sites Web pendant les heures de travail ou pendant qu’ils sont connectés au réseau de l’entreprise, à la discrétion de l’entreprise. De tels sites Web incluent, mais ne sont pas limités à….
* Les capacités de la caméra et/ou de la vidéo des appareils ne sont pas désactivées sur place.
* Les appareils ne doivent en aucun cas être utilisés pour :
* Stocker ou transmettre du matériel illicite
* Stocker ou transmettre des informations confidentielles appartenant à une autre société
* Harceler les autres
* Exercer des activités en dehors de l’entreprise
* Etc.
* Les applications suivantes sont autorisées : (inclure une liste détaillée des applications, telles que la météo, les applications de productivité, Facebook, etc. qui seront autorisées)
* Les applications suivantes ne sont pas autorisées : (applications non téléchargées via iTunes ou Google Play, etc.)
* Les employés peuvent utiliser leur appareil mobile pour accéder aux ressources suivantes de l’entreprise : courriel, calendriers, contacts, documents, etc.
* L’entreprise XYZ a une politique de tolérance zéro pour l’envoi de messages texte ou de courriels au volant et n’autorise que la conversation mains libres au volant.
* Les smartphones, y compris les téléphones iPhone, Android, Blackberry et Windows sont autorisés (la liste doit être aussi détaillée que nécessaire, y compris les modèles, systèmes d’exploitation, versions, etc.)
* Les tablettes incluant iPad et Android sont autorisées (la liste doit être aussi détaillée que nécessaire incluant les modèles, systèmes d’exploitation, versions, etc.)
* Les problèmes de connectivité sont pris en charge par le service informatique ; les employés ne doivent pas contacter le fabricant de l’appareil ou leur fournisseur pour des problèmes liés au système d’exploitation ou au matériel.
* Les périphériques doivent être présentés à l’informatique pour le provisionnement des tâches et la configuration des applications standard, telles que les navigateurs, les logiciels de productivité bureautique et les outils de sécurité, avant qu’ils ne puissent accéder au réseau.
* L’entreprise remboursera ou ne remboursera pas à l’employé un pourcentage du coût de l’appareil (y compris le montant de la contribution de l’entreprise), ou l’entreprise versera un montant X pour le coût de l’appareil.
* L’entreprise a) versera à l’employé une indemnité, b) couvrira le coût de l’ensemble du forfait téléphone/données, c) paiera la moitié du forfait téléphone/données, etc.
* L’entreprise ne remboursera pas à l’employé les frais suivants : frais d’itinérance, frais d’utilisation excédentaire du forfait, etc.
* Afin d’empêcher tout accès non autorisé, les appareils doivent être protégés par un mot de passe en utilisant les fonctions de l’appareil et un mot de passe fort est requis pour accéder au réseau de l’entreprise.
*La politique de l’entreprise en matière de mots de passe est la suivante : Les mots de passe doivent comporter au moins six caractères et une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Les mots de passe seront changés tous les 90 jours et le nouveau mot de passe ne peut pas être l’un des 15 mots de passe précédents.
* L’appareil doit se verrouiller avec un mot de passe ou un NIP s’il est inactif pendant cinq minutes.
* Après cinq tentatives de connexion infructueuses, l’appareil se verrouille. Communiquez avec le service des TI pour rétablir l’accès.
* Les périphériques racinés (Android) ou jailbreakés (iOS) sont strictement interdits d’accès au réseau.
* Les employés sont automatiquement empêchés de télécharger, d’installer et d’utiliser toute application qui n’apparaît pas sur la liste des applications approuvées de l’entreprise.
* Les Smartphones et les tablettes qui ne figurent pas sur la liste des périphériques pris en charge par l’entreprise ne sont pas autorisés à se connecter au réseau.
* Les Smartphones et les tablettes appartenant à des employés qui sont réservés à un usage personnel ne sont pas autorisés à se connecter au réseau.
* L’accès des employés aux données de l’entreprise est limité en fonction des profils d’utilisateurs définis par l’informatique et automatiquement appliqués.
* L’appareil de l’employé peut être effacé à distance si 1) l’appareil est perdu, 2) l’employé met fin à son emploi, 3) la TI détecte une violation des données ou des politiques, un virus ou une menace similaire à la sécurité des données et de l’infrastructure technologique de l’entreprise.risques /passifs /déni de responsabilité
* Bien qu’IT prenne toutes les précautions nécessaires pour éviter que les données personnelles de l’employé ne soient perdues en cas d’effacement à distance d’un appareil, il incombe à l’employé de prendre des précautions supplémentaires, telles que la sauvegarde des e-mails, des contacts, etc.
* La société se réserve le droit de déconnecter des appareils ou de désactiver des services sans préavis.
* Les appareils perdus ou volés doivent être signalés à l’entreprise dans les 24 heures. Il incombe aux employés d’aviser leur fournisseur de services mobiles immédiatement en cas de perte d’un appareil.
* On s’attend à ce que l’employé utilise ses appareils de façon éthique en tout temps et respecte la politique d’utilisation acceptable de l’entreprise décrite ci-dessus.
* L’employé est personnellement responsable de tous les coûts associés à son appareil.
* L’employé assume l’entière responsabilité des risques, y compris, mais sans s’y limiter, la perte partielle ou complète des données de l’entreprise et des données personnelles en raison d’une panne du système d’exploitation, d’erreurs, de bogues, de virus, de logiciels malveillants, et/ou d’autres défaillances logicielles ou matérielles, ou des erreurs de programmation qui rendent l’appareil inutilisable.
* La société XYZ se réserve le droit de prendre les mesures disciplinaires qui s’imposent, y compris le licenciement pour non-respect de la présente politique.
Pour obtenir de l’aide sur d’autres politiques informatiques, assurez-vous de lire notre fichier :
* Modèle de politique de mot de passe
* Modèle de politique sur l’informatique dans les nuages, et
* Modèle de politique de réseautage social.