Jusqu’à 84 % des organisations dans le monde pratiquent le “Bring Your Own Device” (BYOD) sous une forme ou une autre, mais seulement la moitié d’entre elles l’autorisent officiellement, selon un rapport récent (https://apo-opa.co/498rnlG). Si la commodité et les économies réalisées lorsque les employés utilisent leurs propres appareils personnels pour le travail sont indéniables, de nombreux risques de sécurité sont également impliqués, en particulier dans les environnements de travail hybrides et à distance, affirme Anna Collard de KnowBe4 Africa (www.KnowBe4.com).
Il est de plus en plus courant pour les organisations d’attendre de leurs employés qu’ils utilisent leurs propres appareils personnels pour le travail, tels que les smartphones, les tablettes et les ordinateurs portables, et les employés semblent préférer le niveau de liberté que cela leur procure (https://apo-opa.co/3JfJ8Vx). Du point de vue de l’organisation, elles peuvent économiser en moyenne 5 000 R par employé chaque année (https://apo-opa.co/47cbQPa) si leurs employés n’utilisent que leurs propres appareils mobiles, et deux tiers déclarent que cela stimule leur productivité (https://apo-opa.co/47wWjL7).
En Afrique du Sud, cette tendance est également devenue omniprésente. “Le BYOD, en particulier avec les smartphones ayant accès aux comptes de messagerie d’entreprise, est devenu la norme pour de nombreuses organisations sud-africaines depuis de nombreuses années déjà”, affirme Anna Collard, SVP Content Strategy and Evangelist chez KnowBe4 Africa.
“Alors que les organisations du secteur des services financiers auront des politiques plus strictes, de nombreuses start-ups, PME et même certaines grandes organisations autorisent, voire s’attendent, à ce que les employés utilisent leurs propres téléphones et ordinateurs portables, parfois sans politiques formelles en place.”
Bien que flexible et pratique, elle estime que cette approche informelle introduit des risques importants en matière de cyber et de conformité. Le nouveau Rapport 2025 sur la gestion du risque humain de KnowBe4 Africa (https://apo-opa.co/3WzbdKR) souligne que jusqu’à 80 % des employés en Afrique utilisent des appareils personnels pour le travail, des études plus larges révélant que 70 % de ces appareils ne sont pas gérés – un angle mort critique pour de nombreuses organisations.
Angles morts du BYOD
Le risque de cybersécurité le plus notable associé au BYOD est la fuite de données. “Les appareils personnels peuvent facilement divulguer des données sensibles via des applications non sécurisées, le stockage cloud ou le Wi-Fi public”, explique-t-elle. “Sans contrôles appropriés, même un téléphone égaré peut devenir un vecteur de violation (https://apo-opa.co/3Wzbeyp).”
Un autre angle mort de sécurité est le téléchargement d’applications malveillantes par les employés. “Les employés peuvent installer sans le savoir des applications contenant des logiciels malveillants”, commente Collard. “Certaines applications imitent des applications légitimes (https://apo-opa.co/48zCF2b), mais récoltent secrètement des données ou ouvrent des portes dérobées dans les systèmes d’entreprise.” Cela s’étend également à l'”informatique fantôme” – l’utilisation d’applications ou de services non approuvés – qui peut proliférer via les appareils personnels, créant des points d’entrée non surveillés pour les attaquants.
Un autre risque est le logiciel obsolète. “Les appareils personnels peuvent exécuter des systèmes d’exploitation ou des applications obsolètes, ce qui les rend vulnérables aux exploits connus”, dit-elle. “Les équipes informatiques manquent souvent de visibilité pour patcher les appareils non gérés, et un grand pourcentage de personnes ont des notifications ‘une mise à jour est prête à être installée sur votre appareil’ qui traînent depuis des lustres ; sans action.”
De plus, de nombreux employés peuvent avoir un faux sentiment de sécurité concernant leur téléphone ou leur ordinateur portable, d’autant plus que près de la moitié des répondants de la génération Z (48 %) prennent la protection de la cybersécurité sur leurs appareils personnels plus au sérieux que sur leurs appareils professionnels, selon une enquête d’Ernst & Young aux États-Unis (https://apo-opa.co/48FeM9o). “Ce n’est pas parce que c’est mon appareil qu’il est sécurisé pour les données de travail sensibles”, souligne Collard. “Une politique BYOD faible ouvre la porte aux fuites de données, à l’informatique fantôme et au risque d’initié.”
Ce que les organisations devraient faire
Afin d’atténuer ces risques, les organisations doivent élaborer une politique BYOD robuste. “Cela commence par la politique et la sensibilisation (https://apo-opa.co/4ooJBnf)”, déclare-t-elle. “Les organisations doivent avoir une politique BYOD claire et communiquée – ce qui est autorisé, ce qui ne l’est pas et quelle protection minimale est attendue.”
Certains contrôles techniques utiles incluent des mots de passe forts, l’authentification multifacteur (MFA), le chiffrement, la sécurité des points d’extrémité et le patching. Les organisations peuvent également segmenter leurs réseaux pour isoler les appareils personnels des actifs d’entreprise critiques. “Les outils de gestion des appareils mobiles (MDM) peuvent appliquer certains contrôles”, concède Collard, “mais ils ne peuvent pas remplacer la vigilance humaine.”
Elle est une fervente défenseure de la formation de sensibilisation à la sécurité pour accroître la sensibilisation aux risques de cybersécurité, en particulier chez les jeunes employés qui sont plus susceptibles d’utiliser les mêmes mots de passe pour leurs comptes personnels et professionnels (https://apo-opa.co/48FeM9o). “Les organisations doivent éduquer les employés sur les risques spécifiques du BYOD, au-delà de ‘ne cliquez pas sur les liens'”, dit-elle. C’est crucial, car 96 % des organisations estiment (https://apo-opa.co/48FeM9o) que leurs employés pourraient être victimes de plus d’attaques à l’avenir en raison de l’utilisation de l’IA par les mauvais acteurs. Le Rapport 2025 sur la gestion du risque humain de KnowBe4 Africa (https://apo-opa.co/3WzbdKR) souligne en outre que la politique d’IA reste un angle mort de la gouvernance dans de nombreuses organisations, 46 % étant encore en train d’élaborer des politiques formelles en matière d’IA – ce qui rend l’éducation des employés sur les risques liés au BYOD liés à l’IA encore plus critique.
“Les organisations peuvent simuler des attaques (https://apo-opa.co/4oy3AQO) qui exploitent les vulnérabilités du BYOD, telles que le phishing spécifique aux applications mobiles, tout en favorisant une culture où les employés se sentent à l’aise de signaler les incidents potentiels sur les appareils personnels sans crainte de représailles.”
Parallèlement à la formation à la sécurité, Collard est une avocate de la pleine conscience numérique, qu’elle décrit comme une arme importante contre les menaces de cybersécurité. “Être numériquement conscient aide les employés à ralentir, à prendre conscience des moments risqués et à remettre en question les comportements suspects, en particulier sur les appareils personnels”, dit-elle.
Gérer l’élément humain
Même si les appareils privés peuvent sembler être le problème, la gestion de l’élément humain est absolument essentielle pour atténuer les risques de sécurité du BYOD. “Un appareil n’est qu’un outil ; ce qui compte, c’est la façon dont nous l’utilisons”, souligne Collard. “Vous pouvez avoir la configuration la plus sécurisée, mais si quelqu’un est pressé, fatigué ou émotionnellement déclenché, il est plus susceptible de cliquer sur un lien malveillant ou de tomber dans une arnaque.”
Elle est catégorique sur le fait que les organisations doivent former l’attention et la conscience de leurs employés pour renforcer la résilience, et ne pas se fier uniquement aux outils. “En fin de compte, c’est une combinaison de la bonne technologie et de la vigilance humaine”, conclut-elle.
Distribué par APO Group pour KnowBe4.
Détails du contact :
KnowBe4
Anne Dolinschek
[email protected]
Red Ribbon
TJ Coenraad
[email protected]