Assises de la sécurité : à chacun sa démarche BYOD

Dossier par Bertrand LEMAIRE, 615 mots

• Sommaire
• Imprimer

Déployer le BYOD n'est pas un long fleuve tranquille.  Deux responsables de la sécurité informatique de grandes entreprises ont témoigné des enjeux lors des Assises de la Sécurité, à Monaco, le 3 octobre 2012.

L'Institut National de l'Audiovisuel (INA) a un rôle de conservation et d'exploitation des fonds nationaux d'archives audiovisuelles (ce qui représente un peu moins de 8 Po de données) ainsi que de formation. Le groupe Accor réunit, pour sa part, 4400 hôtels avec 180 000 collaborateurs dans le monde (avec des marques comme IBIS Budget à Sofitel) pour 6 milliards d'euros de chiffre d'affaires.

« Le projet BYOD a commencé par une pression ambiante croissante des utilisateurs finaux, notamment VIP » se souvient Philippe Chiu, réseau sécurité des infrastructures du groupe Accor. Un tel projet, selon lui, doit être co-porté par de nombreuses directions et ne pas être seulement informatique. Les besoins exprimés ont été avant tout de type PIM (personal information manager), c'est à dire "la messagerie/l'agenda/les contacts".

La démarche BYOD peut aussi profiter aux clients de l'entreprise.  C'est d'ailleurs de plus en plus le cas dans la grande distribution. Les clients sont utilisateurs de smartphones et peuvent bénéficier de nouveaux services qui sont actuellement en pleine ébullition. Pour Philippe Chiu, « une telle démarche révolutionne l'informatique tant côté front que côté back-office ».

Une difficulté particulière surgit toutefois quand on a 180 000 collaborateurs : les moyens humains pour gérer une telle flotte à usage interne ou vers les clients.  Côté sécurité, le BYOD provoque un bouleversement philosophique. « Il faut intégrer les externes dans un espace bien plus large en termes de contenus » explique Philippe Chiu.

Illustration D.R.



La démarche suivie est classique dans une situation d'innovation. Il s'agit de mener ainsi des tests et des pilotes. Cela permet de tenter de répondre à des questions qui n'ont pas toujours eu de réponses satisfaisantes ou complètes, notamment sur le plan juridique. 

A l'INA, la DSI n'était pas favorable au BYOD pour des raisons de sécurité. Elle a opté pour une consumérisation de l'IT afin d'éviter une pénétration anarchique de terminaux personnels. La DSI met donc à disposition des tablettes professionnelles. « Nous évitons ainsi que des tablettes non-maîtrisées téléchargent des contenus que nous conservons de manière non-contrôlée » explique Ludovic Bey, RSSI de l'INA. L'INA analyse également l'intégrité de ses terminaux (jailbreak, etc.). Il fait d'ailleurs signer une charte d'usage à ses utilisateurs où les utilisateurs s'engagent à certaines bonnes pratiques (comme l'absence de jailbreak).

Malgré tout, certains terminaux externes ne peuvent pas être évités à cause des activités mêmes de l'INA. Ainsi, des stagiaires et des producteurs exploitant les fonds accèdent aux contenus avec leurs propres matériels. Mais ceux-ci ont, du coup, un accès limité au système d'information. 

Comme l'intégrateur Nomios qui a accompagné l'INA et Accor, l'a souligné, les questions juridiques sont loin d'être entièrement tranchées. Le flou, par exemple, sur la répartition de responsabilité civile entre les individus et l'entreprise est loin d'être éclairci.

Enfin, le BYOD n'est pas nécessairement une source d'économies : administrer ou exploiter un parc hétérogène peut être fort coûteux, exactement comme des développements pour permettre à des terminaux nouveaux d'accéder au système d'information. 

Même si les utilisateurs finaux poussent tous, en général, dans le sens de l'adoption massive du BYOD.

• I. Remettre à plat la sécurité grâce au prétexte de la mobilité et du BYOD
• II. Assises de la sécurité : face au BYOD, il faut apprendre à dire non
• III. Sécurité : les opérateurs télécoms ont-ils les moyens de leurs ambitions?
• IV. Les utilisateurs sont négligents avec leurs tablettes et smartphones
• V. Le renforcement de la sécurité au Ministère de l'Intérieur passe par une PKI
• VI. Assises de la sécurité : à chacun sa démarche BYOD
• VII. Anonymiser ses données pour les transmettre chez Sanofi-Pasteur
• VIII. La Société Générale CIB unifie les accès informatiques et physiques via un badge
• IX. Microsoft veut une nouvelle philosophie de sécurité pour intégrer le BYOD
• X. La révolution numérique possède sa face sombre
• XI. La sécurité n'échappe plus à l'optimisation des budgets
• XII. Jean-Marie Bockel : « mon rapport est un point d'étape »
• XIII. Le BYOD, préoccupation et déclencheur aux Assises de la Sécurité