BYOD : L’Anssi infléchit son discours
Intervenant en ouverture des Assises de la Sécurité, qui se déroulent actuellement à Monaco, Patrick Pailloux, directeur général de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), a légèrement affiné une position souvent vue comme trop dure pour être réaliste sur la tendance du BYOD.
Intervenant en ouverture des Assises de la Sécurité, qui se déroulent actuellement à Monaco, Patrick Pailloux, directeur général de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), a légèrement affiné une position souvent vue comme trop dure pour être réaliste sur la tendance du BYOD.
Cela commence par un subtile satisfecit. En ouverture des Assises de la Sécurité, Patrick Pailloux, directeur général de l’Anssi, est revenu sur le passé. Deux ans plus tôt, à l’occasion du même événement, il avait appelé à un «retour aux fondamentaux», égratignant toute une série d’erreurs ou de négligences qui seraient très répandues, dans la gestion des droits, l’utilisation de droits élevés pour des activités ne le nécessitant pas, la non application de mises à jour, etc. Tout y était passé, ou presque. Deux ans plus tard, Patrick Pailloux veut «dire merci» aux responsables de la sécurité des systèmes d’information devant lesquels il s’exprime à nouveau : «Non pas que les règles [détaillées dans le guide d’hygiène de l’Anssi, NDLR] soient appliquées partout [...] non pas non plus que ces mesures soient l’alpha et l’oméga applicables partout [...] mais vous vous êtes appropriés le concept. Je vois les sociétés de conseil rappeler ces mesures, des DSI de grands groupes mettre en place des plans d’action.»
Le BYOD... oui mais !
Mieux, la polémique lancée l’an passé par lui-même autour du BYOD ne serait plus qu’un lointain souvenir : «A l’époque, que n’a-t-on pas entendu : position intenable, ridicule, passéiste... Vous noterez comme moi, sans doute, que depuis quelques mois ces critiques se font moins, voire plus du tout, entendre.» Et pour Patrick Pailloux, «l’actualité récente a probablement plus fait pour convaincre les récalcitrants que les discours enflammés du directeur de l’Anssi ». Reste que son discours fait encore sourire dans les couloirs des Assises de la Sécurité, certains intervenants lors d’atelier ne manquant pas d’ailleurs d’y faire ponctuellement référence avec une pointe d’espièglerie. Pas surprenant, dès lors, que Patrick Pailloux ait subtilement infléchi son discours. Pour lui, si sa position n’a pas changé «d’un iota», elle n’en est pas moins exprimée différemment : «ce n’est pas à l’employé de définir les règles de sécurité qui doivent s’appliquer aux données informatiques de l’entreprise. Question de souveraineté de l’entreprise !»
Lors d’un point avec la presse à l’issue de son intervention, il a même souligné ne pas être opposé à l’introduction d’appareils grand public dans l’entreprise pour peu qu’ils passent par la DSI et que celle-ci se charge de les configurer de manière sécurisée. Alors que fin mai, l’Anssi assurait dans une note sur le sujet «qu'en tout état de cause, il est illusoire d’espérer un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage ». Non, aujourd’hui, de manière pragmatique, Patrick Pailloux est «opposé à la démission des entreprises sur le contrôle de leurs données ». Et «oui, bien sûr, il y a des solutions techniques ». Une position qui se rapproche de celle de l’Enisa.