TABLE RONDE TÉLÉTRAVAIL ET BYOD - François-Xavier Baude, Directeur des ressources humaines et des affaires médicales au CH de Blois Vincent Trély ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
François-Xavier Baude, Directeur des ressources humaines et des affaires médicales au CH de Blois Vincent Trély, Président de l’APSSIS Tristan Savalle, ADVENS TABLE RONDE TÉLÉTRAVAIL ET BYOD
François-Xavier Baude, Directeur des ressources humaines et des affaires médicales au CH de Blois EXPÉRIENCE DU TÉLÉTRAVAIL AU CH DE BLOIS TÉLÉTRAVAIL ET BYOD
Expérience du télétravail au CHB
Contexte juridique
Introduction du télétravail dans le droit de la fonction
publique :
Article 133 de la loi n° 2012-347 du 12 mars 2012
« Les fonctionnaires [….] peuvent exercer leurs fonctions dans
le cadre du télétravail tel qu'il est défini au premier alinéa de
l'article L. 1222-9 du code du travail. L'exercice des fonctions
en télétravail est accordé à la demande du fonctionnaire et
après accord du chef de service. […]
Le présent article est applicable aux agents publics non
fonctionnaires et aux magistrats.
Un décret en Conseil d'Etat fixe, après concertation avec les
organisations syndicales représentatives de la fonction
publique, les conditions d'application du présent article,
notamment en ce qui concerne les modalités d'organisation du
télétravail »Expérience du télétravail au CHB
Contexte juridique
Le décret n’a jamais été publié cadre juridique flou
Le CHB a donc défini lui-même les modalités d’application du
télétravail après avis de ses instances consultatives
Loi de 1983 portant droits et obligations des fonctionnaires :
« Les fonctionnaires sont tenus au secret professionnel […], ils
doivent faire preuve de discrétion professionnelle pour tous les
faits, informations ou documents dont ils ont connaissance
dans l'exercice ou à l'occasion de l'exercice de leurs
fonctions ».Expérience du télétravail au CHB
Contexte
Mise en place au CHB en juin 2013
Motivations :
Amélioration des conditions de travail :
Conciliation vie professionnelle / vie personnelle
Qualité de vie au travail (prévention des risques psychosociaux)
Développement durable
HandicapExpérience du télétravail au CHB
Modalités pratiques
Télétravail fondé sur le volontariat
Nombre de jours de télétravail défini dans le protocole
propre à chaque agent
L’environnement personnel de travail doit être propice au
travail et à la concentration (possibilité de visite)
Principe de réversibilité moyennant un délai de
prévenance d’un mois
Le télétravailleur bénéficie des mêmes droits et avantages
que les autres professionnels (pas d’incidence sur la
rémunération, entretien annuel d’évaluation, même
déroulement de carrière,…)Expérience du télétravail au CHB
Modalités pratiques
Le CHB fournit, installe et entretient les équipements
nécessaires au télétravailleur
Ces équipements restent la propriété du CHB et seront
restitués le jour de la cessation des fonctions ou de l’arrêt
du télétravail
Le CHB prend en charge les coûts liés à l’installation des
logiciels et à la maintenance de l’équipement de travail
Le télétravail bénéficie d’une assistance technique à
distance assurée par le service informatique du CHB qui
devra pouvoir prendre la main sur le poste informatique
mis à disposition,
Les lignes téléphoniques et internet utilisées sont celles du
télétravailleur qui assume les frais de communication et
d’abonnementExpérience du télétravail au CHB
Modalités pratiques
Le télétravailleur doit se conformer aux règles relatives à
la protection des données utilisées et traitées à des fins
professionnelles
Le professionnel doit absolument veiller à ce que personne
d’autre que lui ne puisse avoir accès aux données
contenues dans son ordinateur
Le télétravailleur s’engage à prendre connaissance et à
respecter la charte d’utilisation du système d’information
qu’il aura signé
L’assurance du CHB couvre les vols et détériorations de
l’équipement mis à disposition, sauf négligence grave de
la part du professionnelExpérience du télétravail au CHB
Bilan d’étape
La mise en œuvre du télétravail au sens strict concerne
4 personnes :
un technicien du service informatique,
un technicien d’information médicale,
un médecin DIM,
un agent administratif de la DRH.
Mais beaucoup d’agents travaillent à distance hors temps
de travail (directeurs, cadres administratifs techniques ou
soignants, médecins)Expérience du télétravail au CHB
Bilan d’étape
Peu de demandes de télétravail
Pourquoi ?
La catégorie administrative et le personnel d’encadrement
sont les seuls directement concernés (mais cela représente
au moins 200 agents)
Frein culturel (le cadre doit être disponible, proche de ses
équipes donc forcément sur place, celui qui reste chez lui en
profite forcément pour moins travailler, perte de contrôle de
l’encadrement)
Les secrétaires médicales ne sont pas encore concernées
(mise en place de la dictée numérique au préalable)Expérience du télétravail au CHB
Points de vigilance en matière de GRH
Gestion du temps de travail :
Accroissement des plages de disponibilité personnelle,
difficulté pour contrôler le travail effectif
Nécessité de réguler temps de travail/temps personnel
Préserver l’esprit d’équipe :
les contacts entre salariés peuvent devenir plus rares, les
discussions par mail se développent
Difficultés pour préserver le collectif
Management :
Modalités de contrôle du salarié ?
Projets et objectifs plus précis pour évaluer le télétravailleurVincent Trély, Président de l’APSSIS GÉRER LES RISQUES TÉLÉTRAVAIL ET BYOD
BYOD et Télétravail : gérer les risques
Quelques chiffres :
En 2013, 71% des collaborateurs interrogés utilisent à titre
professionnel des matériels et solutions non mises à disposition
par leur employeur (étude Markess International)
Lors de la 12e édition des Assises de la Sécurité de Monaco
(octobre 2012), Patrick PAILLOUX, DG de l’ANSSI, s’est
fermement opposé au BYOD, argumentant qu’il n’existe aucune
solution fiable pour répondre à la tendance.
En 2012, selon le Ministère de l’Economie, 17% des salariés
pratiquaient le travail à domicile (contre 20% chez nos voisins
d’Europe du Nord). 5% le font en télétravail « nomade » (durant
des déplacements). Les grandes entreprises favorisent plus le
télétravail que les Administrations, puisque 40% des entreprises
du CAC 40 disposaient en 2012 d’un accord de télétravail.BYOD et Télétravail : gérer les risques
Les problèmes :
Dissémination de l’information
Déficit de contrôle sur l’information
Perte d’informations
Fuite d’informations
Introduction de virus ou malwares
Surcharge technique pour les équipes avec la multiplication
des supports
=> Déficit de management de l’information et
problèmes de sécuritéBYOD et Télétravail : gérer les risques
Le télétravail :
Peut être encadré (réglementation, conventions et chartes) –
Comme nous l’avons vu dans la présentation précédente
Mise à disposition de matériel propriété de l’Etablissement et
managé par la DSI
Nécessité de cadrage précis avec les usagers (unicité d’usage,
sécurité, respect de certaines règles)
=> Insertion dans le processus de management
global de la DSI et application des règles
associéesBYOD et Télétravail : gérer les risques
Le BYOD :
Difficile à encadrer !
Souvent initié par les VIP…
Très large panel de matériel
MAIS
Ne doit pas rester hors contrôle du SI !
Ni fatalisme, ni lutte perdue d’avanceBYOD et Télétravail : gérer les risques
Le BYOD : quelques principes
Si BYOD il y a, c’est qu’un besoin existe
Si un besoin existe, la réponse doit venir de l’Institution
Alors pourquoi ne pas couvrir le besoin ?
Exemples : si besoin d’un DD ou d’une clé USB => justification
du besoin, réponse au besoin exprimé, sous contrôle de la DSI
Cas des Smartphones : logiciel déterminant les zones privées /
professionnellesBYOD et Télétravail : gérer les risques
Le BYOD : quelques principes
Le BYOD dans le biomédical ?
Il existe depuis des années… L’adjonction de composants
matériels ou logiciels hors contrôle de la DSI est un vrai
problème de gouvernance et de sécurité, sans doute le premier à
régler
Un article de Cédric CARTAU, RSSI du CHU de Nantes, dans le
dernier DSIH – www.dsih.fr
En conclusion : OUI, MAIS…Tristan Savalle, Responsable des offres santé, ADVENS ANTICIPER PLUTÔT QUE SUBIR ! TÉLÉTRAVAIL ET BYOD
Des cas différents à gérer
BYOM : Bring Your Own Device
L’utilisateur amène son matériel
CYOM : Choose Your Own Device
L’utilisateur choisit son matériel dans une liste
COPE : Corporate Owned, Personnaly enabled
L’utilisateur peut utiliser son matériel professionnel pour
un usage personnel
TélétravailEtudier, encadrer et faciliter les usages
Quels usages ? exemple …
Accès nomade / VIP à la messagerie … oui mais que peuvent-ils contenir ?
et l’agenda ?
Accès nomade à des applications ? Depuis où et Quoi ?
Ex : information, référentiels,
N’importe où ?
saisie de donnée, déport de prise
de note… A la maison ?
Médicales ou non médicales ?
Au travail ?
Bureau déporté
Un poste de travail pro chez soi
(télétravail)
Quelles données ? Un poste de travail perso au travail
Des mails ou des agendas par Un smartphone / une tablette…Les bonnes pratiques (1/2) Connaître les usages & encadrer les usages Définir ce qui est acceptable et ce qui ne l’est pas Définir des règles d’éligibilité … avec les RH ! Prévoir les scénarios de risques et les procédures adaptées Départ d’un utilisateur Perte d’un terminal Exposition d’un terminal à un tiers Installation d’un malware sur le terminal Respect & suivi de l’évolution des réglementations Etc. Responsabiliser l’utilisateur Nécessité d’une charte d’usage … voire d’avenant aux contrats de travail Sensibilisation aux risques, formation à l’usage Gérer le changement
Les bonnes pratiques (2/2)
Sécuriser le terminal ou le système… bof !
Impossible si le terminal est propriété de l’utilisateur, voire banalisé
Sécuriser l’application
Soit par développement de ses propres applications … peu envisageable
Soit pas adaptation sur un framework sécurisé d’applications existantes … pas
évident
Sécuriser la donnée professionnelle
En fonction des usages
Nécessite des applications adaptées : non à l’application de messagerie
standard de Apple ou de Android
Sans nuire à la productivité et avec le moins d’impact possible sur les usages
personnels
Protéger le réseau
Chiffrement de bout en bout, authentification mutuelle
Pas d’accès sur le même réseau que le LAN
Prévoir un support minimal adaptéUn grand oublié …. le support !
Les solutions industrielles … de quoi parle-t-on ?
MDM : Mobile Device Management
Gestion distante et centralisée des terminaux mobiles (parc, conf…)
Gestion des politiques de sécurité
“Nettoyage” du terminal distant
MAM : Mobile Application Management
Gestion des applications autorisées/non autorisées
Gestion des versions des applications (upgrade, …)
Containerisation
Les applications tournent dans une bulle virtuelle sécurisée
Ce qui se passe dans la bulle est géré (idem MDM)
Tout ce qui est en dehors de la bulle n’est pas concerné
Fournit souvent les services essentiels (mails, agendas tâches, partage…)
Nécessite probablement une adaptation des autres applications !
Virtualisation du poste de travail
Peu adapté aux usages smartphones
Bien adapté aux usages postes de travailVous pouvez aussi lire