Ceci est le quatrème billet d'une série consacrée aux risques et opportunités de la consumérisation de l'IT

  • L'introduction sur la consumérisation est ici
  • La seconde partie consacrées aux smartphones est ici
  • La troisième partie consacrée aux périphériques amovibles et services de stockage personnel dans le Cloud est ici

Dans cet article, je vais développer le cas des logiciels d'entreprise vs les logiciels personnels sur les postes de teravail de l’entreprise

Situation actuelle

Avec la démocratisation de la mobilité (PC portables et Internet presque partout), il devient de plus en plus rare d’avoir des postes de travail en entreprise ne contenant que les logiciels qualifiés, déployés et gérés par l’IT. Les utilisateurs d’aujourd’hui sont de plus en plus à l’aise avec les outils informatiques et deviennent des utilisateurs et parfois des prespcripteurs de logiciels tiers.

Risques associés

Violation des droits d’utilisation d'un logiciel installé par l'utilisateur

2 cas possibles :

-L'installation et l'usage par un employé d'un logiciel piraté : Bon là c'est plutôt clair, l'utilisateur commet une faute pouvant être préjudiciable pour son employeur

- L’installation et l'usage par un employé d'un logiciel nécessitant le paiement d'une licence dans le cadre d'un usage commercial : ce cas est un peu différent du précédent dans le sens où la faute de l'employé est souvent involontaire. En effet celui-ci pense être dans son droit en installant et utilisant un logiciel réputé comme gratuit à l'usage. Hors, de nombreux logiciels disposent d'une double licence séparant les droits d'usage à titre personnel des droits d'usage à titre commercial.

Un exemple qui illustre parfaitement ce cas : Virtual Box (Source : http://www.virtualbox.org/wiki/Licensing_FAQ)

Ici il est clairement mentionné que le dit logiciel ne peut être utilisé sur un poste d'entreprise (= pour un usage commercial) sans paiement d'une licence d'utilisation.

Perte du maintien de la conformité des postes de travail : en installant des logiciels tiers non supporté par l'IT sur le poste de travail de l'entreprise, l'utilisateur modifie l'image standardisé prévue, supportée et maintenue à jour par l'IT.

Risque d'infection du poste de travail et par extension de l'ensemble du système d'information : si le logiciel installé par l'utilisateur provient d'une source inconnue, il peut parfois inclure du code malveillant. Si la version utilisée est une version pirate incluant un générateur de clé de licence (key generator) alors le risque d'infection est encore plus élevé (les key generator sont souvent infectés)

Si l'utilisateur ne maintient pas à jour le logiciel tiers qu'il a installé (ex: un navigateur alternatif ou un plug-in), alors celui-ci peut également devenir la source de l'infection du poste.

Réponses techniques (illustrées avec les solutions Microsoft)

Utiliser une solution d'inventaire de parc logiciel (sous la forme d'une solution on-premise ou d'une solution de type Cloud SaaS). Exemples avec les solutions Microsoft

  • System Center Configuration Manager (SCCM)

  • Windows InTune


Exemple d’inventaire logiciel avec Windows Intune

Informations complémentaires :

Ne pas laisser des privilèges d'administration aux utilisateurs et limiter ainsi leur capacité d'installation de logiciels tiers. Il faut cependant être conscient que cela ne résout pas :

  • Le cas des logiciels ne nécessitant pas de privilèges administrateur pour leur installation (ex: Google Chrome)
  • Le cas des logiciels fonctionnant sur des supports amovibles (ex: clé USB U3, Framakey...)

Mettre en oeuvre des mécanismes de restriction logicielle sur les postes de travail

  • Pour les postes Windows 7 (éditions Entreprise et Intégrale), utiliser la technologie AppLocker
  • Pour les postes Windows XP, Windows Vista ou Windows 7 professionnel, utiliser la technologie Software Restrictions Policies (SRP)

Informations complémentaires :

Proposer un catalogue de logiciels complémentaires aux utilisateurs :

  • Installables localement via la solution de télédistribution existante
  • Utilisables sous la forme d'applications distantes (Remote-app) sur des serveurs de Bureau à Distance
  • Streamés et utilisables via de la virtualisation applicative comme Microsoft App-V disponible avec le pack MDOP

Les différentes formes d’utilisation de Microsoft App-V

Informations complémentaires :

Réponses sociales

Sensibiliser les utilisateurs aux risques encourus (techniques et légaux) : Risques les concernant directement ou risques pour l'ensemble de l'entreprise

Etre à l'écoute des besoins logiciels des utilisateurs, proposer un workflow pour les demandes et approbations de logiciels

Prévoir la mise en oeuvre d'un catalogue de logiciels complémentaires à ceux déjà inclus dans le(s) master(s)

Exemple de site intranet proposant un catalogue de logiciels tiers (hors master standard) et incluant un rappel sur l’importance du respect des licences d’utilisation

Inclure dans les contrats de travail une clause relative à l'utilisation des outils officiels fournis et au non respect des standards de l’entreprise

Opportunités

Comme la majorité des autres facettes de la consumération, l'installation et l'usage de logiciels tiers par les utilisateurs a pour objectif principal de faciliter leur travail et donc améliorer leur productivité.

Il me parait donc bon de profiter des expériences des utilisateurs pour enrichir la gamme d'outil proposée par l'IT à l'ensemble des employés plutôt que de chercher le bridage et la répression.

Brider pour brider n'a donc pas de pertinence sauf dans des scénarios très spécifiques imposants une forte standardisation et contrôle des postes de travail.

- Stanislas Quastana – aussi sur Facebook (consumérisation oblige Winking smile)