BYOD, entre phobie et pragmatisme

L’avènement du Bring Your Own Device pose la question, toute logique, de la sécurité des données. En cela c’est une bonne chose, mais vous remarquerez que ce qui cristallise l’attention n’est pas la donnée, mais l’appareil, l’outil numérique.

Chose assez aisée, j’observe dans la plupart des entreprises des montages sécuritaires assez impressionnants. Ils sont principalement de deux types :

  • Blocage logique total ou partiel de l’accès Internet
  • Blocage physique des ports USB et interdiction des appareils tiers (frustrant lorsque l’on est consultant …)

Mesures justifiables lorsque le domaine et/ou le métier du personnel le justifient, une chose est certaine le cas Snowden n’a pas empêché de voir des montagnes de données classées « secret défense » déferler sur la toile. Comme quoi, une carapace globale est difficilement tenable.

Néanmoins, la plupart du temps le BYOD est tout au mieux toléré, mais génère surtout une certaine crispation. On touche là à la passion qui caractèrise le phénomène, et on ressent une gêne qui de fil en aiguille ne permet que très rarement de se poser LA vraie question :

Quelles données dois-je absolument sécuriser ?

Le fond du problème est de mon point de vue, plus philosophique que technique. Et à cela j’y ajoute quelques remarques / anecdotes, histoire d’épicer un peu le débat 🙂

Interdire les appareils connectés ? vraiment ?!

Que feriez-vous si je m’amène avec une tablette ? pour en avoir fait l’expérience, n’hésitez pas à comprendre qu’interdire une tablette équivaut à interdire l’intégralité des smartphones de vos employés.

Vous vous sentez prêt à affronter une gronde générale ? le smartphone touche à l’affect. Une telle mesure est, sauf domaines qui le nécessitent, totalement intenable. Dilemme, dilemme ! bienvenue dans un monde totalement connecté.

Interdire le Web. Et l’email dans tout ça ?

Vous agitez la fuite d’informations comme une raison suffisante pour interdire / filtrer Internet et les appareils personnels ? J’ai même observé dans un grand laboratoire pharmaceutique une coupure totale avec le monde extérieur, ne permettant l’accès au Web que via des postes eux-mêmes sécurisés et dédiés (et pas accessibles en libre-service).

Mais vous êtes-vous posé réellement la question de ce que vos employés s’envoient via mail ? Des documents sensibles sortent tous les jours de votre entreprise sans que vous le sachiez. Vous avez des logs ? super ! les analysez-vous ne serait-ce qu’une fois l’an ?

Les VIP organisent volontairement les fuites : amen !

Brancher un disque dur externe ou une clé USB ne permettra que d’accélérer le processus de fuite d’informations. Leur blocage peut donc paraître logique, mais ne résout pas le problème de fond.

Anecdote intéressante, celle d’un dirigeant décédé d’une grande entreprise qui copiait toutes les données sensibles (et secrètes) de son entreprise sous des disques durs personnels cryptés. La chose était connue et toléré (c’est le chef hein !), imaginez-vous la tête de ses successeurs lorsqu’on leur annonce que non, on ne peut absolument rien récupérer ni sur ses ordinateurs, ni sur son téléphone.

Même sujet sur le SaaS et l’usage qu’en font certains responsables. J’ai observé un étrange manège dans une entreprise très soucieuse de ne pas utiliser le Cloud pour ses employés, pour des raisons que vous pouvez facilement vous imaginer. A côté de ça, tous les comités de direction s’organisaient et se géraient sur une solution Cloud grand public …. deux poids, deux mesures !

Réfléchissez donc, messieurs les dirigeants que si vous mettez en place des mesures sécuritaires techniques et légales, d’être les premiers à les respecter. Comme je le disais dans un billet précédent, le VIP est une menace qui participe activement à l’écroulement du SI.

Et le papier dans tout ça ?

Vous souhaitez interdire les appareils personnels dans le cadre du travail ? Peur de voir un employé partir avec une somme d’informations qui vous échappe ? OK.

Mais quelle est votre politique à propos du papier ? Avez-vous l’idée de ce que vos employés photocopient ? Avez-vous une politique concernant les calepins et carnets de note papier que vos employés utilisent ? J’ai vu un prestataire extrêmement méticuleux (il notait absolument tout, informations sensibles et mots de passe système inclus), qui en froid avec son client est volontairement parti avec ses données sous le bras et ne voir personne s’en offusquer.