Lors de son intervention en ouverture de la 12e édition des Assises de la Sécurité, qui s’est achevée le 5 octobre à Monaco, le DG de l’Agence Nationale de la sécurité des systèmes d’information a déclenché la polémique autour du BYOD.


Il est contre, résolument et fermement : Patrick Pailloux, directeur général de l’Anssi, n’avait pas de mot assez dur contre la tendance du BYOD, affirmant au passage qu’il n’existe pas sur le marché de solution satisfaisante pour accompagner cette tendance en toute sécurité. L’audience n’a d’ailleurs pas caché son scepticisme. Et le débat n’a pas manqué de se poursuivre au-delà de la salle de conférence plénière, jusque dans les ateliers, les tables rondes ou les couloirs où, justement, le BYOD faisait partie des sujets phares de cette édition des Assises de la Sécurité.

Peu de temps après l’intervention de Patrick Pailloux, David Grout, de McAfee, qui animait justement un atelier sur le BYOD, soulignait le côté délicat du sujet après une telle prise de position. Sans s’empêcher d’affirmer toutefois que «la consumérisation peut être un facteur de gain de productivité ». Pour lui, d’ailleurs «la démonstration est faite avec les smartphones ». A titre personnel, il estime que «ce type de besoin ne doit pas être considéré comme une menace mais comme un accompagnateur de business ». Pour lui, interdire le BYOD, faire front contre la consumérisation, c’est «peut-être un manque à gagner en usages et en productivité ». Laurent Porrachia, IT Security Officer de Morpho, et client de la solution de McAfee, n’entre pas directement dans le débat. Mais il reconnaît toutefois que cette solution «remplit clairement les besoins ». François Lavaste, Pdg de Netasq, constate simplement que «Patrick Pailloux a une position assez tranchée ».

Des avis divergents


Plus disert, Jean-Michel Orozco, Directeur Général Ventes et Programmes Cyber Sécurité de Cassidian, estime qu’il n’y a pas «de solution totalement satisfaisante qui traite l’ensemble de la panoplie des problèmes» induits par le BYOD – qu’ils soient techniques ou organisationnels – mais qu’il existe toutefois «des solutions qui permettent de réduire le risque au minimum ».

A l’inverse, Fabrice Hatteville, responsable sécurisation mobilité chez Thales, venu présenter l’offre du groupe en précisant que, pour celui-ci, «le BYOD n’est qu’un sous-ensemble de la mobilité», rejoint malgré tout Patrick Pailloux : «il a raison. Il n’y a pas de sécurité en BYOD; c’est une vue de l’esprit.» Et de déplorer notamment l’absence «d’accès à la plateforme. […] Vous pouvez mettre l’e-mail, donner accès à des applications qui ont une criticité limitée mais vous n’allez pas mettre une application SAP sur le terminal d’un employé. Ce n’est pas envisageable ». Et la conteneurisation ? «Ça ne suffit pas. Il y a des questions d’hygiène comportementale des utilisateurs.»

Le mur de la réalité


Mais pour Jean-Michel Orozco, il faut surtout affronter objectivement la réalité : «c’est un mouvement de fond. On le veut ou pas, mais c’est une réalité.» Et dans ce contexte, le pouvoir de dire non, peu semblent l’avoir. Surtout, «dire non, c’est produire un interdit qui de toute façon sera contourné ». Dans un tel contexte, et face à des gens auxquels ils ne peuvent pas dire non, certains jouent alors plus ou moins avec les mots. Fabien Malbranque, RSSI du Ministère du Travail, participait ainsi à un atelier organisé par Mobiquant, dont il utilise les solutions. Mais lui affirme «ne pas faire de BYOD» : les smartphones et autres tablettes utilisés au ministère «sont la propriété de l’Etat, achetés avec les deniers du contribuable, dans le cadre d’un appel d’offre ou par un conseiller de cabinet avec la carte bleue du ministère ». Une forme de consumérisation, donc. Mais pas du BYOD.

Dans les couloirs des Assises de la Sécurité, certains responsables de la sécurité du système d’information ne sont pas tendres avec Patrick Pailloux, l’invitant même à venir se confronter à la réalité. Ils soulignent même qu’alors que le directeur général de l’Anssi insiste sur le fait que l’exemple doit venir « du patron », en fait,  c’est surtout « l’exemple de toutes les mauvaises postures qui vient d’en haut. »

Un brin provocateur comme à son habitude, Patrick Pailloux est peut-être, cette fois-ci, avec une position aussi tranchée, allé un peu trop loin, prenant le risque de compromettre la crédibilité de l’administration qu’il représente en adoptant une posture trop éloignée des réalités de ses interlocuteurs.

En complément, sur LeMagIT :

Le dessin de François Cointe – Interdire le BYOD

Patrick Pailloux (Anssi) enjoint les RSSI à dire «non»

 

Egalement sur le MagIT :

Cloud : avec vCider, Cisco se fraie un chemin dans les réseaux programmables

Le véritable saut quantique du Big Data ? Intégrer les données externes