BYOD : l’Enisa plus précise et plus pragmatique que l’Anssi
Au cours d’un atelier consacré au BYOD dans le cadre des RIAMS, Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, a attiré l’attention sur les travaux de l’Enisa relatifs à la consumérisation de l’IT. Avec d’autant plus raison que ces travaux s’avèrent bien plus complets et éclairants que ceux de l’agence française pour la sécurité des systèmes d’information.
Fin septembre dernier, l’agence européenne de la sécurité des réseaux et de l’information, Enisa, a publié une étude détaillant les risques et les opportunités qu’elle identifie en matière de BYOD et, plus généralement, de consumérisation de l’IT, «la récente tendance selon laquelle les équipements et logiciels informatiques orientés grand public et propriété des salariés se répandent dans les environnements professionnels ». Cette étude réalisée par des experts indépendants d’Irlande, d’Espagne, d’Italie et des Pays-Bas, aux côtés de Claire Vishik d’Intel, et de Jeremy Ward de HP Enterprise Services, liste quatre risques économiques, trois risques légaux, quatre risques de sécurité et quatre bénéfices potentiels. Et les met les uns en regard des autres afin de fournir un tableau complet du sujet.
Mais l’agence ne s’est pas contentée de ce travail qu’elle n’a considéré que comme un point de départ pour une étude plus approfondie. Loin d’enjoindre aux DSI et RSSI de résister à la pression de la consumérisation, l’Enisa a produit un guide visant à «identifier les stratégies, les règles et les contrôles permettant de limiter la portée des risques identifiés dans ce domaine ». Et de commencer par six messages clés à destination des décideurs IT : définir une gouvernance basée sur les processus métiers avant de toucher à la technologie; impliquer et sensibiliser les utilisateurs finaux aux enjeux de sécurité; évaluer régulièrement les programmes de BYOD pour vérifier la compatibilité des règles avec l’évolution des technologies; ne pas appréhender le chiffrement comme une alternative à la gestion stratégique du risque; avancer progressivement et ne complexifier les règles de sécurité qu’une fois qu’un niveau d’expérience suffisant a été acquis; et enfin identifier les risques nécessitant d’être pris en compte alors que la fenêtre d’opportunité est encore ouverte.
Pas question ici de n’appréhender le sujet que dans la perspective des outils ou des technologies : le guide de l’Enisa accorde une large place à la gouvernance ainsi qu’aux volets juridiques, ressources humaines et finances. Mais elle ne fait pas pour autant l’impasse sur les terminaux et leurs outils d’administration. Dans une approche manifestement ouverte, l’agence renvoie même sur les recommandations du NIST américain pour la gestion et la sécurisation des parcs de terminaux mobiles. Et pas question non plus de faire aveuglément confiance : l’Enisa recommande une approche de type «faire confiance mais vérifier», basée sur des audits périodiques de l’efficacité du programme de BYOD.
L’agence européenne va même jusqu’à élaborer trois scénarios de protection suivant le degré de confidentialité des informations traitées sur le terminal mobile. Chaque scénario est assorti de règles de sécurité qui, combinées, doivent permettre de répondre aux impératifs de protection des données. L’ensemble des règles étudiées sont regroupées dans un tableau; chacune est assortie d’une appréciation de l’efficacité, de la capacité d’adoption par les utilisateurs, du coût de mise en oeuvre et du coût d’exploitation. Par exemple, le contrôle de la configuration du terminal dans le cadre de l’accès à des applications critiques est évalué comme hautement efficace, peu onéreux à l’implémentation, mais coûteux en administration récurrente et peu susceptible de remporter l’adhésion spontanée des utilisateurs finaux. Pour autant, l’Enisa recommande cette mesure pour les cas d’usage associés à des données hautement confidentielles.
En définitive, le travail de l’agence tranche avec la récente note technique de l’Anssi française sur l’usage des ordiphones. Il brille par le pragmatisme d’une approche plus large, englobant des composantes organisationnelles, telles que l’implication des utilisateurs ou la vérification régulière de l’adaptation des règles de sécurité à la réalité de la menace. Une approche également plus nuancée qui permet de proposer des réponses différenciées en fonction de la sensibilité des applications et des données à considérer.