BYOD : l’Anssi s’enferme dans l’autisme
Bis-repetita. A l’automne dernier, Patrick Pailloux, directeur général de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi) avait lancé la polémique en affichant une opposition frontale et sans nuance à la tendance du BYOD. L’agence récidive aujourd’hui dans une recommandation marquée par l’esprit de son patron.
Cette fois-ci, ce n’est pas officiellement Patrick Pailloux, directeur général de l’Anssi, qui s’exprime, c’est l’agence elle-même, au travers d’une note technique assortie de nombreuses recommandations. Mais il est difficile de ne pas y lire l’esprit de son patron tant l’argumentaire rappelle celui qu’il avait développé à l’automne, lors des Assises de la Sécurité, au risque de compromettre sa crédibilité.
Car Patrick Pailloux n’est pas favorable au BYOD; il y est même fermement opposé. Jusqu’à affirmer qu’il n’existe pas, sur le marché, de solutions satisfaisantes pour accompagner cette tendance - les spécialistes de la gestion et de la sécurisation des parcs de terminaux mobiles (MDM) apprécient sans doute. Certes, certains, comme Fabrice Hatteville, responsable sécurisation mobilité chez Thalès, confortaient toutefois Patrick Pailloux dans ses affirmations, au moins dans une certaine mesure : «il a raison; il n’y a pas de sécurité en BYOD; c’est une vue de l’esprit ». Même son de cloche lorsque l’on parle de conteneurisation et, notamment, du fait de «l’absence d’accès à la plateforme», affirmait-il à l’automne dernier.
Aujourd'hui, la question porte de moins en moins sur une sécurité absolue, jugée de plus en plus comme illusoire sinon utopique, que sur une sécurité raisonnable. L'an passé, sur Hack in Paris, Winn Schwartau, avait expliqué ainsi qu'il était temps de se rendre à l’évidence : «nous ne sommes pas assez intelligents pour construire des ordinateurs sûrs.» Notamment parce qu’en tant qu’entreprises ou qu’utilisateurs, «nous voulons de la simplicité, nous voulons l’accès. Et l’accès et la protection sont mutuellement exclusifs ». Pour lui, le véritable sujet est celui des délais de la chaîne de protection : «si percer mes défenses prend plus de temps que la détection et la réaction réunies, alors je suis protégé.» Il interrogeait alors son audience : «les systèmes de détection des intrusions supervisent l’activité réseau. Mais combien de temps leur faut-il pour détecter une activité suspecte ? Le savez-vous ?» Devant le mutisme général, il enchaînait, un brin provocateur : «mais alors pourquoi les avez-vous déployés ?»
Des recommandations au réalisme douteux
La lecture des recommandations de l’Anssi sur le déploiement «d’ordiphones» en entreprise s’avère toutefois éclairante sur les raisons qui motivent de telles affirmations. Ainsi, l’agence conseille par exemple «d’interdire l’utilisation du magasin d’applications par défaut» et même d’interdire l’utilisation des applications pré-installées sur le terminal tant qu’elles n’ont pas «fait l’objet d’une étude de réputation», comme toute autre application. Et c’est sans surprise qu’elle arrive à la conclusion : «du fait des recommandations précédentes, la cohabitation des usages privés et professionnels sur un terminal doit être étudiée avec attention. Le respect des exigences du présent document n’est en tout état de cause pas compatible avec une politique de BYOD au sein d’un organisme.» Aucun salut, donc, dans cette voie, responsables de la sécurité des systèmes d'information et DSI, il faut apprendre à dire non !
Reste la question de la réalité des entreprises, voire des administrations. Dans les couloirs des Assises de la Sécurité, certains responsables de la sécurité du système d’information n’étaient pas tendres avec Patrick Pailloux, l’invitant même à venir se confronter à la réalité. Ils soulignaient en particulier que, l'exemple venant du sommet de la hiérarchie, il ne plaide guère en faveur de l'interdiction du BYOD et rend difficile la revendication, auprès des utilisateurs, d'une quelconque autorité légitime.
Dans ce contexte, le patron de l’Anssi peut avoir le sentiment de prêcher seul dans le désert, mais il risque surtout d’apparaître comme un Don Quixote moderne. D’autant plus que le très sérieux Pentagone vient d’autoriser l’usage des BlackBerry 10 et du Samsung Knox, et s'apprêterait à valider celui des terminaux iOS 6 - dont le module de chiffrement a déjà reçu la certification FIPS 140-2. Ce qui n’empêche pas l’Anssi d’affirmer que, «en tout état de cause, il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage ». Les ingénieurs du NIST américain apprécieront sûrement le regard ainsi porté, indirectement, sur leurs travaux.
Une obstination qui confine à l’aveu d’impuissance
L’agence française va même jusqu’à affirmer que «les solutions de sécurisation actuelles sont peu efficaces pour assurer une protection correcte des données professionnelles.» Et de recommander l’utilisation de solutions de sécurité «idéalement labellisées par l’Anssi». Mais l’agence intervient-elle là en mission commandée pour sauver la crédibilité du soldat-chef Pailloux ou pour masquer sa propre impuissance ? Car l’agence ne référence aucune solution de sécurisation et d'administration des terminaux mobiles dans ses listes de produits certifiés CC, certifiés CSPN ou encore qualifiés Anssi.
Autant de listes dont on pourra regretter au passage qu’elles ne laissent - pour la protection du poste de travail - que très peu de place à des acteurs venant d’au-delà des frontières de l’Europe et dont sont totalement absents des SAP avec Afaria, des MobileIron, des Good Technologies, AirWatch, ou même Citrix avec Zenprise qu'il a récemment racheté et intégré à son offre. Une absence d’autant plus préoccupante que de nombreuses solutions de MDM ont reçu la certification FIPS 140-2, pour le chiffrement des applications mobiles et de leurs données, ou encore de la messagerie. C’est notamment le cas d’AirWatch, de BoxTone, de Good Technology, de MaaS360 de Fiberlink, de Fixmo SafeZone, de Mocana, pour n’en citer que quelques uns.
En fait, à travers des affirmations catégoriques, l’Anssi apparaît surtout impuissante à sonder et à étudier un marché en pleine effervescence. Avec le risque de compromettre sa propre crédibilité auprès de sa cible car, au final, face de telles recommandations, une seule issue s’impose aux entreprises concernées : prendre le temps d’évaluer soi-même l’offre existante et de la confronter à ses besoins, loin des dogmes et des diktats, fussent-ils énoncés par l'Anssi.