Messageries au gouvernement : l’arrogance avant la responsabilité

Selon le Canard Enchaîné, « la plupart des ministres n’ont aucune intention d’obtempérer » et de se plier à la demande de la première d’entre eux. Souvenez-vous : le 22 novembre, Élisabeth Borne appelait le gouvernement à renoncer aux messageries instantanées grand public au profit d’Olvid et de Tchap.

Cité par nos confrères, un « réfractaire » l’assume sans ambages : « nous allons continuer à utiliser WhatsApp, Telegram et Signal parce que c’est beaucoup plus simple ». 

Cette situation, les RSSI la connaissent bien : le passage à quelque chose de plus sécurisé, dès qu’il est un tant soit peu contraignant, ne passe facilement qu’auprès des populations déjà convaincues. Convaincre et faire progresser l’adoption au-delà de ce cercle initial s’avère long et difficile. 

À moins de proposer une carotte alléchante. Par exemple, les projets de déploiement de l’authentification à facteurs multiples (MFA) s’accompagnent ainsi régulièrement de la mise en œuvre de l’authentification unique (SSO).

La promesse est alors simple : l’ouverture de session est certes un peu plus lourde, en raison des facteurs d’authentification additionnels, mais il n’est plus nécessaire de s’y plier à chaque ouverture de nouvelle application ! 

Mais ce n’est pas parce que le deal est là gagnant-gagnant que le déploiement peut se faire en mode « big bang ». Ça ne suffit pas. Traditionnellement, les projets commencent par s’appuyer sur des champions, le cercle des convaincus. La population concernée est ensuite élargie graduellement, pour multiplier les chances d’une adoption heureuse. Voire simplement d’une adhésion. 

Dans le cas présent, s’ajoute un autre facteur : l’arrogance de populations auxquelles il est généralement impossible de dire non. Certains se souviendront peut-être ainsi de la manière dont l’iPhone a très vite remplacé les BlackBerry de RIM dans les poches des grands patrons du CAC40, au grand dam des DSI et responsables de la sécurité informatique de l’époque. Ce fut un véritable rouleau compresseur, le début de ce que l’on appelait alors la consumérisation de l’IT.

C’est de là que sont apparus les débats autour du Bring Your Own Device (BYOD). Prenons l’exemple d’un atelier qui lui était ainsi consacré lors des Rencontres de l’identité, des accès et du management de la sécurité (RIAMS) de 2013. Hervé Dubillot, alors responsable de la sécurité des systèmes d’information de Danone, était alors sans illusion : « le BYOD est surtout apporté par des personnes qui ont un certain pouvoir » et auxquelles, de fait, il s’avère impossible de dire « non ». 

Parce que leur dire « non » ne les empêchera pas d’essayer à tout prix d’utiliser leur smartphone flambant neuf ou leur tablette personnelle à l’insu de la DSI. Et même si celle-ci explique au préalable que l’utilisateur ne bénéficiera d’aucun support, « ils appelleront le support technique et celui-ci ne pourra s’interdire de leur répondre, quitte à y passer des jours ». 

Fin 2013, lors des Assises de la Sécurité, Patrick Pailloux, alors directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), ne s’était pas attiré que des louanges en fustigeant le BYOD, affirmant notamment qu’il n’existait pas sur le marché de solution satisfaisante pour accompagner cette tendance en toute sécurité.

À l’époque, dans les couloirs des Assises, certains RSSI n’étaient pas tendres avec Patrick Pailloux, l’invitant même à venir se confronter à la réalité. Ils soulignaient qu’alors que le directeur général de l’Anssi insistait sur le fait que l’exemple devait venir « du patron », en fait, c’était surtout « l’exemple de toutes les mauvaises postures qui vient d’en haut ».

Pour Olvid, que certains soient rebutés par l’application n’est pas surprenant : l’ajout de contacts n’a rien de la simplicité des applications de messagerie instantanée grand public. C’est un choix délibéré très bien justifié qui, initialement, faisait d’abord de l’application un outil de communication pour groupes restreints. Mais cela ne vaut pas pour Tchap. 

Accessoirement, si Madame Borne voulait vraiment pousser à l’utilisation d’Olvid, sans se heurter au problème de l’enrôlement des utilisateurs, elle le pourrait. Pour les entreprises, Olvid supporte désormais le déploiement via MDM et l’utilisation d’un annuaire interne, privé, en s’intégrant avec les mécanismes d’authentification en place. Une configuration qui n’a rien d’incompatible au niveau des échanges avec des tiers extérieurs à l’organisation. 

C’est un projet dont pourrait sûrement se charger la direction interministérielle du numérique (DINUM), service de la Première ministre. Mais bon, en même temps, elle s’occupe déjà de Tchap, qui compte déjà quelques centaines de milliers d’utilisateurs dans les administrations et ne semble pas vraiment avoir besoin de remplaçant.