Remettre à plat la sécurité grâce au prétexte de la mobilité et du BYOD
BYOD et mobilité font peur. Tant mieux ! Les risques sont ainsi de nouveau regardés.
« La mobilité et le BYOD [Bring your own device] sont l'occasion de se reposer toute une série de questions sur le risque » a expliqué Lazaro Pejsachowicz, président du Clusif, lors d'un atelier des Assises de la Sécurité, à Monaco, le 3 octobre 2012. En effet, c'est parce que l'on connecte au système d'information de nouveaux terminaux, parfois personnels (BYOD), que les RSSI remettent à plat la sécurité.
Or de bonnes questions auraient dû être posées depuis longtemps. Par exemple, comme Lazaro Pejsachowicz l'a rappelé, une erreur dans l'envoi d'un mail peut aboutir à une diffusion inappropriée d'informations. « Ce n'est pas le BYOD qui a ouvert aux quatre vents le système d'information mais le mail » a-t-il asséné.
Chez Bouygues Télécom, les données sont classifiées. Si le classement l'exige, tel fichier ne peut être stocké dans un terminal mobile ou envoyé par mail que chiffré. Ainsi, une perte de terminal ou une erreur de manipulation ne peut pas avoir de conséquence grave : au pire, un destinataire inapproprié reçoit ou dispose d'un fichier illisible. La démarche est également appliquée dans des entreprises comme Alstom. Chez Orange Business Services, la pression des utilisateurs était telle qu'une interdiction du BYOD était inenvisageable. Il fallait donc « faire avec » et gérer le risque.
En fait, l'ouverture du système d'information, à la mobilité ou au BYOD, relève d'un calcul de risques. « Dans une situation en tous points similaires, deux banques espagnoles ont eu des attitudes opposées : ouverture ou fermeture, selon le calcul de risques fait » a noté Lazaro Pejsachowicz.
Une sécurisation excessive peut compliquer le travail quotidien inutilement. Lazaro Pejsachowicz, également RSSI à la CNAM-TS (caisse nationale d'assurance maladie des travailleurs salariés), se souvient ainsi : « un organisme nous transmettait un fichier de médecins avec un triple chiffrement... avant que nous n'imprimions le fichier pour l'afficher sur les murs de la CNAM-TS ». L'opposition à la réception du dit fichier sur un terminal personnel n'avait pas plus de sens que ce triple chiffrement.
Il faut donc savoir quel risque on prend quand on autorise un usage. Le risque se calcule aussi bien sur le plan du système d'information lui-même que sur le plan juridique (responsabilité, accessibilité...). Pour simplifier la question juridique, on peut n'autoriser l'utilisation d'un terminal personnel que sous réserve d'un accord précis sur les procédures et droits d'accès.
Mais a-t-on déjà vu un utilisateur s'étant fait voler son smartphone s'opposer à l'effacement de ses données personnelles en même temps que les données de l'entreprise par l'utilitaire installé obligatoirement ? De ce fait, l'atteinte aux données personnelles par l'entreprise n'est, en général, pas un véritable problème.
De plus, le BYOD a l'immense avantage de responsabiliser les utilisateurs finaux sur le bon usage de son terminal mobile. Si un utilisateur se fait voler un terminal par imprudence, la perte est pour lui et elle n'est souvent pas négligeable.