Publicité en cours de chargement...
Du BYOD, suite de l'histoire
Tout d'abord, par BYOD on entend de facto une connexion d'un appareil personnel et non maîtrisé par la DSI au réseau local (LAN) de l'établissement. Donc, la consultation de la messagerie en mode Webmail depuis le domicile d'un agent n'est pas considéré comme du BYOD, car en principe le frontal web de messagerie est positionné dans une DMZ et sert de fusible en cas d'attaques ou malware en tout genre. De plus, il existe certaines situations, qui relèvent de l'expérimentation et qui peuvent échapper à la notion de BYOD tant que l'on ne généralise pas le dispositif.
Ensuite, nous disposons aujourd'hui de ce qui nous a fait défaut pendant des années : des textes à force de loi et des bonnes pratiques. Dans la première catégorie on trouve la toute récente PSSI-E, qui est un décret, et qui stipule clairement que l'établissement doit maitriser les équipements qui se connectent au LAN interne. Dans la seconde catégorie, on trouve les recommandations de l'ANSSI, les bonnes pratiques ISO, etc.
En termes de communication le DSI ou le RSSI peuvent user à l'égard des agents qui réclament ce genre de possibilité l'argument suivant : un agent n'a pas à payer pour travailler. Il y a un siècle, si l'on avait dit aux ouvriers de la métallurgie qu'ils devaient payer de leurs deniers les machines-outils sur lesquelles ils suaient chaque jour, nul doute que la grève eut suivi de près. Le BYOD est un piège pernicieux, pour l'agent avant tout car il introduit un précédent. Qui sait si bientôt la politique des entreprises ne consistera pas à fournir du matériel tellement nul que les agents seront contraints de facto à s'équiper eux-mêmes ? Personnellement, je ne veux pas de ce monde-là : c'est à mon employeur de m'équiper, point barre. Je connais des chefs de projets dans des DSI qui refusent de communiquer leur numéro de téléphone portable personnel, au motif que si l'entreprise veut joindre l'agent pendant sa mobilité interne ou externe, il lui appartient de lui fournir un portable professionnel.
Nous ne reviendrons pas sur les conséquences en matière de sécurité, tout ou presque a déjà été dit là-dessus. Certes les fournisseurs vous expliquent qu'ils ont le produit miracle de gestion de parc BYOD hétérogènes (avec des déclinaisons de concepts de bac à sable, etc.) mais dans les faits on observe peu d'entreprises qui les ont mis en œuvre. Il est même frappant de constater qu'aux Assises de la Sécurité, lorsque l'on fait le tour des stands et des relations et que l'on demande qui autorise le BYOD dans son entreprise, on ne trouve que très peu de monde.
Mais surtout, il y a clairement un axe de réflexion sur le catalogue de services internes de la DSI. Le BYOD, quoiqu'on en dise, a pour première justification le fait que l'entreprise ne dispose pas du budget pour équiper certaines catégories de personnels d'un certain type de matériel. Mais, dans le fait, cela revient à faire de la sécurité du SI et de sa conformité la variable d'ajustement des problèmes budgétaires, et c'est ce qui me choque le plus. S'il ne s'agissait pas d'informatique mais de gestion de parc automobile, imaginerait-on un Directeur Général demandant à son responsable logistique de rogner sur les budgets d'entretiens des véhicules (vidanges mais aussi changement des pneus et des plaquettes de freins) pour être en mesure d'acquérir un ou deux véhicules supplémentaires ? Personne ne s'y risquerait car personne ne voudrait faire courir de risque et se mettre hors la loi à cause d'un problème d'arbitrage entre le budget et le périmètre de l'offre de service du département logistique. En clair, dans ce cas précis conformité et sécurité sont non négociables.
Mais alors pourquoi cette conformité et cette sécurité devrait être négociable dans le domaine SI ? Certes il arrive que des DG aient du mal à saisir ce parallèle, mais peut-être aussi que les DSI ont du mal à l'expliquer. Il est peut-être bon de rappeler un principe de base du Lean Management : chacun de nous est responsable, en partie, de rendre ses clients et ses fournisseurs meilleurs. Avant de dire que « l'on n'y peut rien », que « les DG ordonnent malgré les alertes que l'on fait remonter », rappelons-nous de ce principe.
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...