Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
A l’occasion des RIAMS, qui se déroulaient la semaine dernière à Saint-Tropez, le responsable de la sécurité des systèmes d’information de Danone a souligné des risques liés au BYOD rarement évoqués : ceux qui touchent aux équilibres sociaux dans l’entreprise.
Le Bring Your Own Device, tendance qui consiste en la prolifération des équipements informatiques personnels dans l’environnement professionnel, continue de nourrir les débats des événements liés à la sécurité. C’est sans surprise qu’un atelier lui était ainsi consacré lors des Rencontres de l’identité, des accès et du management de la sécurité (RIAMS), qui se déroulaient la semaine dernière à Saint-Tropez.
Hervé Dubillot, responsable de la sécurité des systèmes d’information de Danone, part d’un constat simple, montrant, s’il le fallait encore, que le phénomène s’avère incontournable : «le BYOD est surtout apporté par des personnes qui ont un certain pouvoir» et auxquelles, de fait, il s’avère impossible de dire «non». Parce que leur dire «non» ne les empêchera pas d’essayer à tout prix d’utiliser leur smartphone flambant neuf ou leur tablette personnelle à l’insu de la DSI. Et même si celle-ci explique au préalable que l’utilisateur ne bénéficiera d’aucun support, «ils appelleront le support technique et celui-ci ne pourra s’interdire de leur répondre, quitte à y passer des jours ».
Dans l’assistance, un participant ironise, évoquant le cas de matériels offerts par les constructeurs : même s’il ne s’agit pas d’un appareil personnel dans la mesure où il n’a pas été acheté personnellement, la problématique n’est pas différente pour autant. Et il n’est question là que de considérations techniques parmi de nombreuses autres : «RH, légales, etc.» Bref, pour les participants, la situation semble claire : «en informatique, il y a des usages, des transformations sociologiques qui s’imposent d’elles-mêmes et contre lesquelles il ne sert à rien de lutter. [...] Le numérique joue un rôle dans nos vies, dans nos sociétés. On ne peut pas faire comme si cela n’existait pas.»
Un défi technique et... social
Mais embrasser le BYOD n’est pas trivial pour autant. Pour Hervé Dubillot, l’offre ad hoc - entre solutions de gestion des terminaux mobiles (MDM) ou de contrôle des accès au réseau (NAC) - est désormais vaste. Mais la mise en oeuvre apparaît comme un passage délicat, l’occasion d’une douloureuse prise de conscience : «on se rend compte que le poste de travail a été négligé pendant des années », qu’il souffre d’un empilement de technologies pas forcément actualisées - «on retrouve même des traces de Windows NT4 et 2000 parce que le nettoyage nécessaire n’a jamais été accompli ». Certaines applications métiers ont encore besoin d’Internet Explorer 6 ou 7, d'anciennes versions de Java... Dès lors, les coûts cachés liés à la mise à niveau de l’existant peuvent être conséquents. Et si la virtualisation du poste de travail peut apparaître comme une solution, elle n’a rien d’idéal : «le coût est énorme.»
Mais Hervé Dubillot relève un autre risque : «l’entreprise a l’obligation légale de fournir au salarié un outil de travail. En adoptant le BYOD, on crée une discrimination» entre les personnes qui ont des moyens élevés et ceux dont les budgets personnels sont contraints. Quant à fournir une enveloppe pour l’achat d’une machine, comme certaines entreprises le font outre-Atlantique... : «on ne peut pas proposer la même enveloppe au VIP, au chef de service ou à l’ouvrier sur la chaîne d’assemblage.» Certaines susceptibilités pourraient ne pas l’apprécier, est-on tenté de comprendre en filigrane. En outre, certains salariés pourraient être tentés de se sous-équiper pour garder à d’autres fins une partie de l’enveloppe. Du coup, chez Danone, «on résiste deux ou trois semaines pour gagner du temps et... après, on avance ».
Accepter la réalité d’une sécurité imparfaite
Reste que, pour embrasser, encore faut-il se préparer. Bernard Ourghanlian, Directeur technique et sécurité de Microsoft France, dresse la liste des étapes du processus. En tête de liste : la classification du patrimoine numérique de l’entreprise et la segmentation des utilisateurs - «deux points fondamentaux», essentiels à une approche pragmatique de la sécurisation et de l’ouverture du SI. Une ouverture indispensable car, pour lui, «un système d’information qui n’est pas ouvert sur le reste du monde ne sert à rien. La logique du château-fort a vécu ». Et de donner la mesure de l’effort de pragmatisme consenti par Microsoft : «il y a des logiciels malveillants dans notre système d’information. On le sait. On essaie de les éradiquer mais c’est impossible. Les mathématiques ont montré qu’il est impossible de créer un anti-virus parfait. Alors si supprimer la menace est impossible, il faut apprendre à vivre avec.» Ce qu’il traduit concrètement par une protection par niveaux des éléments à protéger en fonction de l’impact sur l’activité de l’entreprise. Et très logiquement, «ce qui a un impact élevé sur l’activité n’a pas le droit de fuiter ». Une approche qui a manifestement convaincu Danone qui a opéré une classification par enjeux économiques, avec les métiers : «on ne peut pas classifier à contre-courant des métiers; ça ne fonctionne pas.»