L’atelier intitulé « la sécurisation des communications mobiles » de ce premier jour au FIC était plutôt animé ! Et on peut dire que les avis étaient partagés… Les intervenants (gendarmerie nationale, Bull, Orange, Thales) n’y sont pas allé de main morte. En revanche, ils se sont tous accordés sur un point : la technique sans l’usage n’est que ruine du RSSI.
sécurité des mobiles : trop de technique tue l’usage
Selon Fabrice Hatteville de Thales, le principal problème que l’on rencontre en France est notre culture d’ingénieur. Nous sommes très (trop ?) axés sur la technique. En effet, il nous racontait que bien que ses équipes faisaient du bon boulot en termes de développement technique, leurs clients se tournaient régulièrement vers des solutions américaines en raison d’un manque de compatibilité entre les usages et la technique (chez les solutions françaises donc).
En effet, et je crois personnellement que tout le monde a expérimenté ça au moins une fois en entreprise, les applications de sécurité sont souvent un obstacle aux usages quotidiens voulus. Typiquement, vous souhaitez utiliser tel terminal (disons un iPhone) alors que l’entreprise ne vous le propose pas mais vous impose un autre terminal.
Suite logique oblige, on tombe dans des travers (en termes de sécurité) type BYOD. Normal ! Et là, l’entreprise perd la main sur la sécurité de ses terminaux et des données présentes sur ceux-ci.
après le BYOD, voici le COPE !
Humainement (et non pas techniquement donc) on se retrouve donc face à un problème. La solution selon plusieurs membres du panel est donc de faire des compromis. Entre le fait d’imposer un terminal spécifique et le BYOD, ils favoriseraient un entre-deux : le COPE, pour « Corporate Owned, Personally Enabled ».
King Fisher avait ainsi mis en place cette philosophie il y a quelques temps et en était satisfait. Les employés se retrouvaient avec de belles possibilités pour choisir leur propre terminal (marque, OS, clavier ou non, taille, couleur, etc.) et ne jonglaient donc pas entre terminal personnel et terminal professionnel ou, pire, ne délaissaient plus les terminaux pro ! Bref, on mariait pro et perso parfaitement.
De son côté, King Fisher était libre d’insérer des conteneurs chiffrés et de sécuriser les données pros tout en en sécurisant l’usage.
la solution parfaite ?
On pourrait penser que l’idylle avec le COPE est là mais non. Et oui, King Fisher en est revenu. Et rapidement : il y a 3 ans, il implémentait cette solution, aujourd’hui elle n’existe plus ! Car oui, les RSSI ne sont pas seuls dans l’histoire : les directions RH et juridiques notamment s’en sont mêlées et ont fait stopper la chose. Pourquoi ça ? Tout simplement à cause de questions classiques du type « qui est responsable de la sécurité ? L’utilisateur ou l’entreprise ? » ou encore « si le portable tombe et se casse, qui est responsable ? ». Celles –ci ont été les plus fortes, le COPE n’y a pas survécu !
Bref, le sujet n’a pas fini de créer des remous : King Fisher est de nouveau en réflexion, les autres intervenants y allaient tous de leur solution miracle… bref l’histoire continue et l’encre coule toujours !
Rémi
Crédit photo : © lichtmeister - Fotolia.com
Les autres articles/vidéos du #FIC2014 :