Assises de la sécurité : à chacun sa démarche BYOD
Déployer le BYOD n'est pas un long fleuve tranquille. Deux responsables de la sécurité informatique de grandes entreprises ont témoigné des enjeux lors des Assises de la Sécurité, à Monaco, le 3 octobre 2012.
Dans une entreprise sur deux, les DSI et les RSSI sont persuadés que les salariés utilisent leurs propres outils personnels pour travailler et se connecter au système d'information.
Cette démarche BYOD (Bring Your Own Device) peut être soit illicite, soit tolérée soit encouragée. Elle peut être un projet clairement assumé, comme à l'INA (Institut National de l'Audiovisuel) ou au sein du groupe hôtelier Accor. Un atelier a permis d'aborder les bonnes pratiques en la matière lors des Assises de la Sécurité à Monaco le 3 octobre 2012.
L'Institut National de l'Audiovisuel (INA) a un rôle de conservation et d'exploitation des fonds nationaux d'archives audiovisuelles (ce qui représente un peu moins de 8 Po de données) ainsi que de formation. Le groupe Accor réunit, pour sa part, 4400 hôtels avec 180 000 collaborateurs dans le monde (avec des marques comme IBIS Budget à Sofitel) pour 6 milliards d'euros de chiffre d'affaires.
« Le projet BYOD a commencé par une pression ambiante croissante des utilisateurs finaux, notamment VIP » se souvient Philippe Chiu, réseau sécurité des infrastructures du groupe Accor. Un tel projet, selon lui, doit être co-porté par de nombreuses directions et ne pas être seulement informatique. Les besoins exprimés ont été avant tout de type PIM (personal information manager), c'est à dire "la messagerie/l'agenda/les contacts".
La démarche BYOD peut aussi profiter aux clients de l'entreprise. C'est d'ailleurs de plus en plus le cas dans la grande distribution. Les clients sont utilisateurs de smartphones et peuvent bénéficier de nouveaux services qui sont actuellement en pleine ébullition. Pour Philippe Chiu, « une telle démarche révolutionne l'informatique tant côté front que côté back-office ».
Une difficulté particulière surgit toutefois quand on a 180 000 collaborateurs : les moyens humains pour gérer une telle flotte à usage interne ou vers les clients. Côté sécurité, le BYOD provoque un bouleversement philosophique. « Il faut intégrer les externes dans un espace bien plus large en termes de contenus » explique Philippe Chiu.
Illustration D.R.
La démarche suivie est classique dans une situation d'innovation. Il s'agit de mener ainsi des tests et des pilotes. Cela permet de tenter de répondre à des questions qui n'ont pas toujours eu de réponses satisfaisantes ou complètes, notamment sur le plan juridique.
A l'INA, la DSI n'était pas favorable au BYOD pour des raisons de sécurité. Elle a opté pour une consumérisation de l'IT afin d'éviter une pénétration anarchique de terminaux personnels. La DSI met donc à disposition des tablettes professionnelles. « Nous évitons ainsi que des tablettes non-maîtrisées téléchargent des contenus que nous conservons de manière non-contrôlée » explique Ludovic Bey, RSSI de l'INA. L'INA analyse également l'intégrité de ses terminaux (jailbreak, etc.). Il fait d'ailleurs signer une charte d'usage à ses utilisateurs où les utilisateurs s'engagent à certaines bonnes pratiques (comme l'absence de jailbreak).
Malgré tout, certains terminaux externes ne peuvent pas être évités à cause des activités mêmes de l'INA. Ainsi, des stagiaires et des producteurs exploitant les fonds accèdent aux contenus avec leurs propres matériels. Mais ceux-ci ont, du coup, un accès limité au système d'information.
Comme l'intégrateur Nomios qui a accompagné l'INA et Accor, l'a souligné, les questions juridiques sont loin d'être entièrement tranchées. Le flou, par exemple, sur la répartition de responsabilité civile entre les individus et l'entreprise est loin d'être éclairci.
Enfin, le BYOD n'est pas nécessairement une source d'économies : administrer ou exploiter un parc hétérogène peut être fort coûteux, exactement comme des développements pour permettre à des terminaux nouveaux d'accéder au système d'information.
Même si les utilisateurs finaux poussent tous, en général, dans le sens de l'adoption massive du BYOD.
