Le développement des BYOD
Avec le développement de la mobilité, nous sommes désormais accoutumer à travailler et à consulter l’information sur de multiples supports : ordinateur, smartphone, tablette… Cette habitude engendre des comportements inattendus. Ainsi, selon un sondage réalisé en 2013 auprès de 250 directions des systèmes d’information (DSI) et de 500 salariés français, près d’un tiers des employés n’hésiterait pas à contourner les règles posées par les DSI pour utiliser leur propre appareil (Texier 2015). En réaction, l’usage des BYOD se développe. L’acronyme correspond à « Bring you own device », littéralement « Apportez votre propre appareil ». Il s’agit de la pratique d’employer son matériel personnel, comme un ordinateur portable, dans un environnement professionnel. On peut aussi y inclure l’habitude prise de lire ses mails professionnels sur son smartphone. Le BYOD possède plusieurs avantages. Tout d’abord, l’entreprise économise sur l’achat et l’entretien d’équipement. Ensuite, l’employé dispose d’un environnement de travail familier et avec une meilleure ergonomie, puisqu’il a pu choisir son matériel, ce qui lui confère un meilleur rendement (Larcheveque 2013a). Cependant, la pratique n’est pas sans danger pour les organisations (Larcheveque 2013b).
Comme n’importe quel matériel informatique, les BYOD subissent la menace de virus et autres logiciels espions avec une problématique supplémentaire, car les appareils peuvent difficilement être configurés pour accroître la sécurité, car son propriétaire garde des droits (d’administration) dessus. De plus, le nomadisme de ces objets augmente leur chance d’être perdus ou volés par rapport au matériel professionnel, avec les risques de fuite d’informations que cela implique. Le BYOD soulève des questions intéressantes sur le devenir de certaines pratiques au sein de l’entreprise (Larcheveque 2013c), notamment à propos des outils de gestion de contenu. Ainsi, le président de l’Association for Information and Image Management (AIIM) estime que d’ici à 2020 les Enterprises Content Management (ECM) tels que nous les connaissons auront disparu au profit de l’Enterprise File Sync and Share (EFSS) (Walker 2015, p.2). Pour ces différentes raisons, il est important que les organisations intègrent la problématique du BYOD dans leur gouvernance de l’information. Or, selon un sondage mené sur 447 organisations, 53% des entreprises n’ont toujours pas de politique claire envers le BYOD (Michael 2016).
La question du cloud
Le National Institute of Standards and Technology définit le cloud computing comme : « a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. » (Mell, Grance 2011, p. 2) Ses caractéristiques offrent des avantages indéniables, comme une grande flexibilité ou une meilleure gestion des coûts des ressources informatiques de l’entreprise. En contrepartie, le cloud computing entraine des difficultés supplémentaires dans la gestion de son information. Bien que nous puissions rapprocher le cloud de la problématique plus générale de l’externalisation IT, certains éléments lui sont spécifiques (Pierre Audoin Consultants 2016, p.5). Première grande différence, il n’existe pas d’infrastructure physique distincte pour les différents clients du fournisseur. La séparation est seulement virtuelle, ce qui peut poser problème pour garantir une totale sécurité des données particulièrement sensibles. Selon les types de cloud, notamment le Platform as a Service (PaaS) et le Software as a Service (SaaS), nous pouvons assister à une multiplication des prestataires extérieurs et donc à autant d’interlocuteurs avec lesquels négocier. Les données peuvent être dispersées géographiquement et se situer à l’extérieur du pays. Or, cela peut se révéler problématique pour des organismes publics qui ont l’obligation de conserver leurs informations à l’intérieur du territoire. De plus, les différences de législation au niveau de la protection des données personnelles sont un élément à ne pas négliger.
La possibilité d’accéder aux informations au moment et depuis le lieu que l’on souhaite, grâce aux appareils mobiles, augmente la complexité de la sécurité de bout en bout. Une problématique à rapprocher de celles des BYOD.
Sécurité de l’information
Nous avons vu que les nouveaux enjeux liés au BYOD, à l’internet des objets et au cloud influent aussi sur la sécurité de l’information. À cela, nous pouvons ajouter les attaques directes que subissent les organisations, comme celle qu’a connue le groupe RUAG4 et qui a pointé le manque de stratégie en la matière de la part de la Suisse (Pilet 2016). En effet, la cybersécurité est un enjeu majeur de notre société de l’information, tant pour les entreprises que les États. Récemment, la Maison Blanche a émis une directive présidentielle afin de mieux coordonner les actions de réponse contre les cyberattaques (The White House Office of the Press Secretary 2016). En Suisse, 90% des entreprises auraient été victimes de hacking en 2014 et 45% d’entre elles ne disposent pas de plan pour y répondre (Le Temps 2015). Cependant, comme le rappelle le président de la Fédération Européenne des Associations de Risk Managers (FERMA), il est important que les organisations comprennent que le cyber-risque n’est pas un risque seulement pour l’IT, mais pour l’ensemble de l’entreprise (AMRAE 2016). Comme l’écrit Christine Ardern : « Il ne faut plus prendre pour acquis que la sécurité des données relève du service des TI. La sécurité, la confidentialité et le traitement final de l’information sont des problèmes qui doivent être réglés par l’ensemble des services qui sont responsables de l’identification et de la protection de l’information organisationnelle.
Il est aujourd’hui vital que le gestionnaire des documents et de l’information soit en mesure de comprendre les concepts et les enjeux en matière de sécurité de l’information. » (Ardern 2016, p.18) La gouvernance informationnelle, par son optique de coordonner la gestion de l’information, a un rôle capital à jouer en matière de sécurité de l’information.
Récolte des données et problèmes rencontrés
Nous avons commencé notre inventaire, en partant de la liste des classeurs et des boîtes aimablement fournie par Mme Huin. Cependant, nous avons rapidement constaté que le document ne reflétait plus la réalité du terrain. En effet, suite au récent déménagement, les lieux indiqués ne correspondaient plus et, dans le local servant aux archives, les classeurs ou les boîtes n’étaient plus forcément réunis dans un ordre logique. Certains éléments de la même série étaient dispersés sur différentes étagères. De plus, dans ce même local, nous avons découvert des cartons, qui pour certains n’avaient même pas été ouverts, contenant les documents de la filiale allemande, AL-Technologie. Celle-ci étant en cours de liquidation, les documents avaient été rapatriés à la maison mère. En raison de la masse documentaire, de son organisation et, pour certains documents, de la langue, l’inventaire nous a pris plus de temps que prévu, huitante-cinq heures étalées sur douze semaines, au lieu de quarante-huit heures sur six semaines. Le retard pris nous a obligés à poursuivre l’inventaire en parallèle des entretiens, mais cela nous a permis de mieux comprendre certains dossiers et documents, et également de découvrir, lors de nos entretiens, des séries de documents que nous n’aurions pas soupçonnées. Après avoir répertorié les documents papiers, nous nous sommes attaqués à l’espace partagé « common ». Cet espace disque réunit l’ensemble des données numériques de l’entreprise, hors les bases de données, car en principe les collaborateurs d’Alpes lasers n’ont pas l’autorisation de stocker des documents de l’entreprise sur leur disque personnel.
Lors de l’inventaire de « common », un problème s’est posé, celui du degré de détail de la description. Pour un inventaire papier, l’unité est facile, il s’agit du classeur ou de la boîte d’archives. Pour des dossiers électroniques, il est plus difficile de déterminer l’endroit où faire la séparation. D’autant plus, si la logique des dossiers n’est pas toujours visible au premier coup d’oeil, comme c’est le cas ici. Nous avons opté pour décrire au sous-dossier, comme niveau de description par défaut. Dans le cas du dossier « Admin », l’organisation confuse nous a obligés à détailler davantage. Dans d’autres, comme le dossier « Measurement », l’extrême répétitivité nous a incités à décrire au niveau du dossier. La deuxième difficulté que nous avons rencontrée fut d’identifier clairement le producteur. Deux cas nous ont posés problème. À plusieurs reprises, nous avons constaté que le créateur du fichier ou du dossier n’était pas humain. Par exemple, les programmes de mesures créent automatiquement des fichiers dans le dossier « Measurement». Lorsque l’auteur est humain, nous n’avons que l’indication de son nom et non sa fonction. Or, le contexte du dossier n’aide pas forcément à déterminer cette dernière lorsque la personne possède plusieurs responsabilités. De plus, le dossier ou le sous-dossier peut avoir des auteurs appartenant à des unités différentes, comme les dossiers « Documentation », « Publication » ou « Production ». Ces difficultés, notamment la seconde, rendent difficile une comparaison entre les documents papiers et les dossiers numériques hébergés sur l’espace numérique « common ». En parallèle de l’inventaire de « common », nous avons obtenu une description du contenu et du volume des bases de données par l’un des informaticiens, M. Chiesa.
|
Table des matières
Remerciements
Résumé
Liste des tableaux
Liste des figures
1. Introduction
1.1Problématique
2. Gouvernance de l’information
2.1Concept et définition
2.1.1Gouvernance
2.1.2Information
2.1.3Gouvernance de l’information
2.1.3.1Composants de la gouvernance
2.1.3.2Modèles et principes
2.2Enjeux
2.2.1Croissance exponentielle de l’information
2.2.2Le développement des BYOD
2.2.3Internet des objets
2.2.4La question du cloud
2.2.5Sécurité de l’information
2.3La gouvernance de l’information et les PME
3. Alpes Lasers, une PME high-tech
3.1Le laser à cascade quantique
3.1.1Caractéristiques
3.1.2Fabrication
3.1.3Applications
3.2Marchés
3.3Structure de l’entreprise
3.3.1Chief executive officer (CEO)
3.3.2Assistante administrative
3.3.3Responsable vente et marketing
3.3.4Responsable de projet
3.3.5Responsable Croissance
3.3.6Responsable Process
3.3.7L’unité Haute Performance
3.3.8L’unité PRISM
3.3.9L’unité back-end
3.3.10L’unité IT
3.4Une société axée sur le R&D
4. Enquête et cartographie des ressources informationnelles
4.1Objectif
4.2Étapes
4.3Méthodologie
4.3.1Inventaire des documents
4.3.1.1Conception de l’instrument de collecte
4.3.1.2Récolte des données et problèmes rencontrés
4.3.2Entretiens
4.4Analyse des données
4.4.1Inventaire typologique
4.4.2Entretiens
4.5Résultats de l’enquête
4.5.1Composition du fonds
4.5.1.1Volumétrie
4.5.1.2Typologie des documents
4.5.1.3Lieux de conservation
4.5.1.4Conditions de conservation
4.5.2Utilisation des documents
4.5.2.1Documents
4.5.2.2Outils informatiques
4.5.2.3Consultations des documents archivés
4.5.3Gestion de l’information
4.5.4Besoins d’Alpes Lasers
Une approche de gouvernance informationnelle pour une PME high-tech NICOLET, Aurèle vi
4.5.4.1Objectifs stratégiques
4.5.4.2Exigences réglementaires et normatives
4.5.4.2.1Législation suisse
4.5.4.2.2Législation allemande
4.5.4.2.3Certification ISO 9001
4.5.4.3R&D : importance des brevets
4.5.4.4R&D : les données de la recherche
4.5.4.4.1La problématique de la recherche privée
4.6Problèmes constatés
4.6.1Absence d’une direction de l’information (responsabilité)
4.6.2Accès à l’information (disponibilité)
4.6.3Difficulté d’établir l’identité d’un producteur (intégrité)
4.6.4Diffusion de l’information (protection)
4.6.5Absence de sort final (conservation + disposition)
4.6.6Manque de documentation (transparence)
5. Recommandations et plan d’action
5.1Définir une politique de gouvernance informationnelle
5.2Nommer une personne responsable de l’information
5.2.1Option 1: Engagement d’un professionnel à 40%
5.2.1.1Avantages
5.2.1.2Inconvénient
5.2.2Option 2: Faire appel à une entreprise spécialisée
5.2.2.1Avantages 1
5.2.2.2Inconvénient
5.2.3Option 3: Partenariat avec la Haute école de gestion
5.2.3.1Avantages
5.2.3.2Inconvénients
5.2.4Option 4: Répartir la charge sur différents responsables
5.2.4.1Avantage
5.2.4.2Inconvénients
5.3Mettre en place les outils méthodologique
5.3.1Plan de classement
5.3.1.1Stratégie de la renaissance
5.3.1.2Stratégie de la reprise partielle
5.3.1.3Stratégie de la reprise totale
5.3.1.4Stratégie recommandée
5.3.2Politique de nommage
5.3.3Calendrier de conservation
5.3.3.1Mise sur pied d’un comité de pilotage
5.3.3.2Constitution d’un dossier-type
5.3.3.3Consultation de règles comparables
5.3.3.4Détermination des exigences légales
5.3.3.5Définition des besoins 0
5.3.3.6Analyse de l’information
5.3.3.7Rédaction de propositions de règles de conservation
5.3.3.8Validation et approbation des règles
5.3.3.9Rédaction et diffusion du calendrier
5.3.4Plan de gestion des données de recherche
5.3.5Plan de protection des documents essentiels
5.3.6Outils logiciels
5.4Plan d’action
5.4.1Phase 1
5.4.2Phase 2
5.4.3Durée du projet
5.5Étapes ultérieures
6. Conclusion
Bibliographie
Annexe 1: Facettes de la gouvernance de l’information
Annexe 2: Information Governance Reference Model (IGRM)
Annexe 3: Organigramme d’Alpes Laser
Annexe 4: Inventaire typologique -grille
Annexe 5: Guide d’entretien
Annexe 6: Tableau des délais de conservation d’après la chambre de commerce de Darmstadt
Annexe 7: Proposition d’une politique de gouvernance informationnelle d’Alpes Lasers
Télécharger le rapport complet