Il est contre, résolument et fermement : Patrick Pailloux, directeur général de l’Anssi, n’avait pas de mot assez dur contre la tendance du BYOD, affirmant au passage qu’il n’existe pas sur le marché de solution satisfaisante pour accompagner cette tendance en toute sécurité. L’audience n’a d’ailleurs pas caché son scepticisme. Et le débat n’a pas manqué de se poursuivre au-delà de la salle de conférence plénière, jusque dans les ateliers, les tables rondes ou les couloirs où, justement, le BYOD faisait partie des sujets phares de cette édition des Assises de la Sécurité.
Peu de temps après l’intervention de Patrick Pailloux, David Grout, de McAfee, qui animait justement un atelier sur le BYOD, soulignait le côté délicat du sujet après une telle prise de position. Sans s’empêcher d’affirmer toutefois que «la consumérisation peut être un facteur de gain de productivité ». Pour lui, d’ailleurs «la démonstration est faite avec les smartphones ». A titre personnel, il estime que «ce type de besoin ne doit pas être considéré comme une menace mais comme un accompagnateur de business ». Pour lui, interdire le BYOD, faire front contre la consumérisation, c’est «peut-être un manque à gagner en usages et en productivité ». Laurent Porrachia, IT Security Officer de Morpho, et client de la solution de McAfee, n’entre pas directement dans le débat. Mais il reconnaît toutefois que cette solution «remplit clairement les besoins ». François Lavaste, Pdg de Netasq, constate simplement que «Patrick Pailloux a une position assez tranchée ».
Des avis divergents
Plus disert, Jean-Michel Orozco, Directeur Général Ventes et Programmes Cyber Sécurité de Cassidian, estime qu’il n’y a pas «de solution totalement satisfaisante qui traite l’ensemble de la panoplie des problèmes» induits par le BYOD – qu’ils soient techniques ou organisationnels – mais qu’il existe toutefois «des solutions qui permettent de réduire le risque au minimum ».
A l’inverse, Fabrice Hatteville, responsable sécurisation mobilité chez Thales, venu présenter l’offre du groupe en précisant que, pour celui-ci, «le BYOD n’est qu’un sous-ensemble de la mobilité», rejoint malgré tout Patrick Pailloux : «il a raison. Il n’y a pas de sécurité en BYOD; c’est une vue de l’esprit.» Et de déplorer notamment l’absence «d’accès à la plateforme. [...] Vous pouvez mettre l’e-mail, donner accès à des applications qui ont une criticité limitée mais vous n’allez pas mettre une application SAP sur le terminal d’un employé. Ce n’est pas envisageable ». Et la conteneurisation ? «Ça ne suffit pas. Il y a des questions d’hygiène comportementale des utilisateurs.»
Le mur de la réalité
Mais pour Jean-Michel Orozco, il faut surtout affronter objectivement la réalité : «c’est un mouvement de fond. On le veut ou pas, mais c’est une réalité.» Et dans ce contexte, le pouvoir de dire non, peu semblent l’avoir. Surtout, «dire non, c’est produire un interdit qui de toute façon sera contourné ». Dans un tel contexte, et face à des gens auxquels ils ne peuvent pas dire non, certains jouent alors plus ou moins avec les mots. Fabien Malbranque, RSSI du Ministère du Travail, participait ainsi à un atelier organisé par Mobiquant, dont il utilise les solutions. Mais lui affirme «ne pas faire de BYOD» : les smartphones et autres tablettes utilisés au ministère «sont la propriété de l’Etat, achetés avec les deniers du contribuable, dans le cadre d’un appel d’offre ou par un conseiller de cabinet avec la carte bleue du ministère ». Une forme de consumérisation, donc. Mais pas du BYOD.
Dans les couloirs des Assises de la Sécurité, certains responsables de la sécurité du système d’information ne sont pas tendres avec Patrick Pailloux, l’invitant même à venir se confronter à la réalité. Ils soulignent même qu’alors que le directeur général de l’Anssi insiste sur le fait que l’exemple doit venir « du patron », en fait, c’est surtout « l’exemple de toutes les mauvaises postures qui vient d’en haut. »
Un brin provocateur comme à son habitude, Patrick Pailloux est peut-être, cette fois-ci, avec une position aussi tranchée, allé un peu trop loin, prenant le risque de compromettre la crédibilité de l’administration qu’il représente en adoptant une posture trop éloignée des réalités de ses interlocuteurs.
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Il serait intéressant de citer des cas d’accidents pour montrer à quel point la consumérisation de l’IT est une menace pour l’entreprise.
Et même si on en trouvait, il faudrait aussi prouver que les sociétés qui ne pratiquent pas le BYOD et celles qui le pratiquent ont des taux de problèmes différents.
Il est irresponsable de marginaliser le RSSI en le poussant à dire non à un raz de marée. L’IT qui dit non tout le temps, surtout au nom de la sécurité, est une IT rétrograde empêcheuse de tourner en rond.
J’attends de mon RSSI qu’il se positionne en accompagnateur, expert, apporteur de solution, et pas en castrateur d’innovation, retord au changement, systématiquement criant au loup.
Je pratique et promeus l’usage de tous les périphériques, pas seulement ceux fournis par l’entreprise, pour accéder à tous les pans de mon système d’information. Exactement le cauchemar de Patrick Pailloux. Et celà d’une manière sécurisée.
Pour cela, non seulement ce point de vue m’attriste – ce qui n’est en soit pas bien grave, mais en plus il dessert la cause que son auteur veut servir. Les RSSI peuvent être de vrais atouts ou alors peuvent être ceux que personne n’écoutent.
Wow, j’ose espérer que votre entreprise compte sur d’autres personnes que vous pour protéger son système d’information. Car vous faites peur à lire…
Les RSSI comme accompagnateurs de business, oui. Mais nous n’avons pas à plier sur des exigences de confort. Le BYOD, c’est du confort, la mobilité sur des terminaux maîtrisés, c’est autre chose.
heu c’est quoi le BYOD ?
BYOD : « Bring Your Own Device », un modèle selon lequel les utilisateurs sont autorisés à utiliser leurs outils informatiques personnels dans le cadre de leurs activités professionnelles.
Ping : Patrick Pailloux (Anssi) déclenche une polémique autour du BYOD - LeMagIT | management des SI | Scoop.it
Pour avoir assister aux assises à des discussions à ce sujet dont une table ronde, j’ai pu constaté la confusion permanente qui existe entre BYOD et l’utilisation des tablettes, smartphones et autres terminaux de ce type au sein de l’entreprise. Avant d’aller plus loin, il serait donc utile de savoir de quoi on parle. Qu’une entreprise ou une administration décide d’équiper leurs employés avec ce type de terminaux, de préférence de façon « cadrée » afin de limiter les risques, ce n’est pas la même chose que de laisser n’importe qui accéder à n’importe quoi avec un terminal personnel, quelqu’il soit.
Ping : Patrick Pailloux (Anssi) déclenche une polémique autour du BYOD - LeMagIT | La sécurité Informatique : Une assurance pour des services numériques de confiance | Scoop.it
Ping : Patrick Pailloux (Anssi) déclenche une polémique autour du BYOD - LeMagIT | Tablettes iPad - conseils généraux (+ autres environnements professionnels) | Scoop.it
Ping : Patrick Pailloux (Anssi) déclenche une polémique autour du BYOD - LeMagIT | IT (Systems, Networks, Security) | Scoop.it
Ping : BYOD : la France encore très frileuse - LeMagIT