Comme chaque année, les Assises de la Sécurité ont accueilli à Monaco le gratin des RSSI français. Au lendemain de ce rendez-vous, on retiendra essentiellement le débat engendré par le Keynote d’ouverture du Directeur de l’ANSSI, Patrick Pailloux, autour des dangers du BYOD et du Cloud.

Si l’objectif principal de Patrick Pailloux était d’éveiller les consciences et de susciter des débats, son intervention en ouverture des Assises aura bien atteint sa cible. Ses propos ont été largement commentés et même caricaturés par les RSSI et les journalistes présents. Force est de constater que le Directeur de l’ANSSI a une étonnante faculté à appuyer là où cela fait mal. Ces cibles du moment ? D’une part, le déploiement incontrôlé du BYOD : sous prétexte de satisfaire des volontés insouciantes et personnelles, voire égoïstes, de quelques PDGs (et utilisateurs) en mal de nouveaux jouets, celui-ci se fait au détriment des principes les plus élémentaires de sécurité. D’autre part, un Cloud Public terriblement séduisant et pratique qui voit s’échapper les identités des employés et les données de l’entreprise entre les mains de quelques géants américains.

Le BYOD est incomplet

Même si Patrick Pailloux n’est pas un fanatique du BYOD, ni un « early adopter » de cette tendance, il est suffisamment réaliste pour savoir qu’il est impossible d’aller à son encontre. Ce qu’il engage les entreprises à faire, c’est de ne pas l’adopter sans règles : « il est autorisé d’interdire » et de dire non aux pratiques et comportements à même de mettre à mal la sécurité du Système d’Information.

Pour Philippe Courtot, le charismatique patron de Qualys : « Le BYOD engendre une certaine complexité pas toujours bien perçue (par les RSSI). Et il n’existe aujourd’hui aucune solution complète qui englobe cette complexité. Mais il existe des briques. Le problème c’est que le BYOD ne se gère pas comme les ordinateurs fixes ou les flottes de mobiles d’entreprise. Il faut changer d’approche et anticiper. »

Un point de vue partagé par Manish Gupta, nouveau VP Sécurité de CISCO. « Le BYOD est une ‘mega tendance’ qui rend ‘mega complexe’ les aspects de sécurité. La connaissance des cinq contextes ‘Où, Qui, Quand, Quoi, Comment’ est la clé de gestion du BYOD. Chez Cisco, nous pensons que le réseau est aujourd’hui le mieux placé pour appréhender ces contextes ».

S’il manque encore aujourd’hui des briques pour offrir une gestion transversale efficace et complète du BYOD, les Assises ont confirmé au travers de solutions comme celles de l'encapsulation des Apps de Good Technology ou de Symantec que les RSSI n’étaient pas totalement désarmés. Laurent Heslault, Directeur des Stratégies de Sécurité chez Symantec, précise l'approche de cet éditeur : « nous avons introduit des solutions de Mobile Application Management qui ne consistent plus à protéger les Devices mais les applications et les données de l’entreprise dans des conteneurs sécurisés dont on contrôle les droits et les Entrées/Sorties. Pour nous, avec ces nouvelles solutions, il nous paraît évident que l’on peut faire du BYOD réfléchi sans tomber dans le ‘Bring Your Own Disaster’. »

Le Cloud manque de bonnes pratiques

Le Cloud (et plus particulièrement le Cloud Public) est l’autre grande cible des propos de Patrick Pailloux. Il reproche l’usage de services qui finalement facilitent la fuite de données (SkyDrive, DropBox et consorts) et entraînent une diffusion des identités à des géants (login via Facebook, Twitter, Google Account). Une vision un peu caricaturale destinée à faire réfléchir les DSI sur les usages de leurs utilisateurs.

Mais pour Bernard Ourghanlian (Microsoft), « qu’on le veuille ou non, il y a un Cloud Entreprise et un Cloud grand-public, même s’ils reposent sur les mêmes services. Grâce aux mécanismes de fédération, en entreprise, les mots de passe ne sont pas stockés dans le Cloud. Si on prend l’exemple d’Azure Active Directory, tout n’est pas synchronisé. Seuls les attributs essentiels le sont. Les mots de passe ne le sont pas ». Les solutions de fédérations d’identités avaient d’ailleurs le vent en poupe durant ces Assises avec, par exemple, des acteurs comme Ilex (Meibo et Sign&Go), comme Safenet (Unified Identity Federation for SaaS) ou même Symantec (Ozone). Pour Laurent Heslault : « aujourd’hui, il ne faut pas rêver, tous les employés, toutes les entreprises utilisent des services Cloud. Il y a plein de choses qu’on peut faire dans le Cloud parce qu’elles ne sont pas sensibles. Mais à partir du moment où l’entreprise utilise plusieurs services Cloud, elle doit mettre en place des outils de solutions de Fédération des identités. Les identités et les mots de passe restent en local et gérés par l’entreprise. Et les identités professionnelles ne sont nullement livrées aux services Clouds ».

Au final, BYOD et Cloud découlent d’une même conception de services et finalement ne sont que deux illustrations des nouveaux usages de l’informatique mobile. Pour Bernard Ourghanlian, le Directeur Technique et Sécurité de Microsoft France « l’idée qui consiste à dire ‘non le BYOD ne passera pas par moi’ est totalement irréaliste. La logique qui consiste à dire ‘par défaut, j’interdis tout’ n’est pas tenable. Je pense qu’il est impératif que les entreprises et plus particulièrement les DSI et les RSSI se posent tout le temps la question des nouveaux usages. C’est essentiel. Les nouveaux usages c’est un enfer pour ceux qui n’ont pas préparé leur arrivée… ». On ne peut aller à l’encontre des usages. Mais on peut les anticiper et les adopter en les maîtrisant.

Loic Duval




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143916
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI