Assises de la sécurité : face au BYOD, il faut apprendre à dire non

Dossier par Bertrand LEMAIRE, 756 mots

La douzième édition des Assises de la Sécurité se tient à Monaco au Palais Grimaldi du 3 au 5 octobre 2012. Le "Bring Your Own Device" occupe le devant de la scène avec l'intervention de Patrick Pailloux, directeur général de l'ANSSI. L'arrivée du Cloud Computing impose également de revoir ses fondamentaux.

Assises de la sécurité : face au BYOD, il faut apprendre à dire non « Les enjeux que nous avons à relever tous ensemble sont extraordinaires » a déclaré Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en ouvrant la douzième édition des Assises de la Sécurité. 

Celles-ci se tiennent à Monaco au Palais Grimaldi du 3 au 5 octobre 2012. Mais le directeur général s'est désolé que toutes les entreprises n'ont pas encore une « hygiène informatique », même si tous les patrons seraient plus ou moins conscients de l'importance de la cybersécurité.

Le thème fédérateur de cette édition est le BYOD (Bring Your Own Device). Cette notion est ici prise au sens le plus large, c'est à dire davantage dans le sens de la consumérisation de l'informatique, c'est à dire de l'usage professionnel d'outils grand public, que ce soit des outils personnels ou non.

Un guide pour l'hygiène informatique

Or ce BYOD est au coeur d'importantes failles dans la sécurité des entreprises. L'ANSSI s'en inquiète tant on est ici à l'opposé de la bonne « hygiène informatique ».

Face à la situation, l'ANSSI publie un « précis d'hygiène informatique » de 40 règles à appliquer en 13 étapes pour aider les entreprises à mettre en oeuvre l'hygiène informatique. Patrick Pailloux a affirmé : « plus personne n'a désormais d'excuse pour dire qu'il ne sait pas quoi faire. Ceux qui n'ont pas appliqué ces mesures n'auront désormais qu'à s'en prendre à eux-mêmes si il leur arrive des problèmes. Ce document est cependant une version 0. » L'ANSSI a appelé à la collaboration de la communauté pour améliorer ce document avant une version définitive d'ici un mois.

Les mauvaises excuses ne tiennent plus

Les excuses des cybernégligents se résument en général en deux catégories : c'est trop compliqué ou c'est trop contraignant pour être accepté par les utilisateurs. Pour la première catégorie, le précis est la réponse. Reste la seconde. « Quand vous voulez dépasser la vitesse sur autoroute, les gendarmes vous rappellent à l'ordre ; quand vous sortez de chez vous, vous fermez à clé la porte après avoir saisi le code de l'alarme et mis au coffre les choses de valeur » a constaté Patrick Pailloux.

Pourquoi être plus négligent dans la vie numérique que dans la vie réelle ? Il existe des règles. Il existe des exigences. Il existe des contraintes. Pour Patrick Pailloux, « ceux qui ne respectent pas les règles doivent être sanctionnés, même sur les tablettes. Je récuse le discours ambiant sur la convivialité et la productivité : une bonne sécurité n'empêche pas la mobilité, bien au contraire. ».

Il faut respecter les règles

(...)

Photo : Patrick Pailloux (à droite) et Gérard Rio, fondateur des Assises.



Il faut respecter les règles

Les fameuses tablettes, au coeur du BYOD, contiennent des données sensibles lorsqu'elles sont utilisées à des fins professionnelles. Or, pour le directeur général de l'ANSSI : « Non, on ne connecte pas un terminal personnel au système d'information ; non, je ne mets pas mes données dans un cloud public ; non, on n'accepte pas les fourches caudines de Google ou d'Apple. Il est autorisé d'interdire. »

Cependant, plutôt qu'un « non », il convient de prononcer un « non mais » qui favorise les industriels proposant des outils sécurisés. Car « toute bataille contre une technologie, telle que la tablette, est perdue d'avance » reconnaît Patrick Pailloux.

Sécuriser même au prix de la convivialité

Sur une question de la salle au sujet du Rapport Bockel déconseillant l'usage des outils chinois, Patrick Pailloux a rappelé la nécessité de maîtriser les outils que l'on utilise même s'il s'est refusé à commenter le rapport sénatorial en lui-même. Les smartphones et les tablettes peuvent être sécurisées, certes au prix de contraintes mais pas si lourdes que certains le craignent.

Pour les cas les plus sensibles, l'ANSSI a ainsi fait développer par Thalès un smartphone, Théorème, 100 % français. Il a soupiré : « un tel téléphone est évidemment moins convivial qu'un smartphone sous Androïd ou iOS. Mais il vous appartient de définir votre niveau de sécurité, pas d'accepter une sécurité définie par un tiers. ». De la même façon, pour Patrick Pailloux, le Cloud n'est qu'une forme d'externalisation et il faut discuter la sécurité avec le prestataire.

Mais il admet : « le principal défi des années à venir sera pour nous les systèmes industriels ». L'ANSSI est ainsi passé en quelques années d'un organisme orienté vers les administrations à une agence qui se consacre essentiellement au secteur privé.

Photo : Patrick Pailloux (à droite) et Gérard Rio, fondateur des Assises.

Sommaire du dossier