Patrick Pailloux, ANSSI : BYOD, réseaux sociaux, pour la sécurité, "il est autorisé d’interdire"

Apport de terminaux mobiles « non-professionnels » au sein de l'entreprise, utilisation des réseaux sociaux, l'Agence nationale de la sécurité des systèmes d'information délivre ses bons conseils. Patrick Pailloux, son directeur-général estime que l'utilisation de terminaux nomades dans l'environnement informatique d'une entreprise doit se faire sous certaines conditions et les professionnels doivent conserver la maîtrise des usages.

« Il existe des solutions permettant de s'équiper pour entrer en résistance contre la liberté totale dans l'utilisation des technologies de l'information. Il est autorisé d'interdire car non, dans une entreprise on ne travaille pas avec son terminal privé ». En guise d'introduction aux Assises de la Sécurité (évènement rassemblant les professionnels de la sécurité informatique), les propos de Patrick Pailloux, le directeur général de l'ANSSI ont le mérite de recadrer le débat.

Nombre d'éditeurs ont en effet dévoilés leurs solutions permettant de gérer les flottes de terminaux mobiles (smartphones, tablettes...) apportées par les employés dans l'environnement de travail. Cette tendance baptisée BYOD (pour Bring Your own Device) est d'ailleurs un des centres d'attentions des fournisseurs de sécurité.

S'il ne récuse pas l'apport de ces outils pour les professionnels, le dirigeant de l'ANSSI précise que quelques règles doivent tout de même être respectées. « Quand on connecte une tablette tactile à un système d'information, doit-on passer par les fourches caudines de l'authentification et de la gestion d'identité de Google ou d'Apple ? Je dis clairement non », explique Patrick Pailloux.

L'enjeu est identique en ce qui concerne les systèmes industriels. Le responsable répond au rapport du sénateur Bockel (demandant le retrait des routeurs d'origine chinoise du cœur des réseaux critiques) et précise que son administration n'utilise que des appareils dont les composants sont faits en France (par exemple le téléphone Téorem édité par Thales). En ce sens, il invite les sociétés à mieux maîtriser les règles d'interconnexion entre réseaux industriels et informatiques. « Il est absolument impératif que les entreprises qui disposent de systèmes industriels vérifient bien l'isolation de ces derniers à l'Internet, et si ce n'est pas le cas, je n'ai pas d'autre recommandation à faire que de les déconnecter, et je suis extrêmement sérieux », précise-t-il.

Il invite ainsi chaque professionnel à suivre plusieurs règles afin, tout d'abord, d'évaluer son niveau de sécurisation. Ce dernier devra par exemple, rédiger des procédures d'arrivée et de départ des utilisateurs décrivant la gestion des équipements mobiles. Il est également fortement recommandé de chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables. Le document explique ainsi que « la perte ou le vol d'équipements (ou de supports) mobiles ou nomades peut être lourd de conséquences pour l'entreprise : en l'absence de chiffrement les données stockées sur le terminal (patrimoine technologique de l'entreprise, base de données clients) seront en effet compromises, et ce même si le terminal est éteint ou que la session utilisateur est fermée ».

Des mesures non-contraignantes et qui ont vocation à être amendées par les sociétés concernées. 40 points sont ainsi publiés sur le site de l'ANSSI en « version 0 » et une mouture améliorée devrait voir le jour prochainement.