La sécurité informatique face au défi d'un système d'information sans frontière Refuser les iPhone pour mieux sécuriser le système d'information ?
Si RIM, avec les BlackBerry Entreprise Serveur notamment, peut avoir les faveurs de RSSI en proposant une gestion plus facile d'un parc de Blackberry dans le respect des exigences de l'entreprise, est-il envisageable pour autant de refuser l'iPhone, voire Android ? Faut-il même empêcher l'usage professionnel des terminaux personnels ? Surtout pas, répond Michel Juvin, Group Information Officier chez Lafarge, qui estime cette tendance (BYOD) est irréversible. Il préfère donc l'accompagner, pour mieux la maîtriser.
S'inspirer des standards de sécurité du système d'information pour les smartphones personnels
Chez Lafarge, une politique a donc été définie afin d'imposer un standard. "L'idéal est de s'inspirer des solutions de sécurité déjà appliquées en entreprises, et éprouvées, pour gérer l'utilisation professionnelle des terminaux personnels. Or, faire respecter les mêmes standards qui s'appliquent pour les outils de l'entreprise sur des terminaux personnels est sans doute utopique. Il est cependant plus envisageable d'appliquer une version dégradée de ce standard d'entreprise pour le phénomène BYOD", estime Michel Juvin.
Le RSSI précise que les employés de son groupe doivent signer un engagement à respecter les règles de sécurité. Concrètement, chez Lafarge, un utilisateur qui souhaiterait accéder aux données de l'entreprise avec un terminal personnel, devra en faire la demande au service informatique. Ce dernier pourra installer un coffre fort numérique sur le smartphone pour protéger les données sensibles – mais seules certaines applications pourront se trouver dans ce bac à sable, Lotus Note par exemple. Les données étant ensuite chiffrées et protégées par un solide mot de passe.
Pour travailler sur votre terminal personnel, "amenez vos propres licences !"
Amener son smartphone personnel au service informatique avant d'en faire un usage professionnel permet également à la DSI et aux RSSI de mieux encadrer le phénomène BYOD.
"Cela permet également au service informatique de s'assurer que le terminal est sain, et par la même occasion de bien vérifier que le nombre de licences utilisées correspond au nombre de licences payées par l'entreprise", fait remarquer Michel Juvin, qui estime que l'entreprise ne doit pas payer les logiciels sur ces terminaux qui restent personnels. "Bring Your Own Device c'est aussi Bring Your Own Licence", résume-t-il.