Du BYOD, suite de l'histoire

Tout d'abord, par BYOD on entend de facto une connexion d'un appareil personnel et non maîtrisé par la DSI au réseau local (LAN) de l'établissement. Donc, la consultation de la messagerie en mode Webmail depuis le domicile d'un agent n'est pas considéré comme du BYOD, car en principe le frontal web de messagerie est positionné dans une DMZ et sert de fusible en cas d'attaques ou malware en tout genre. De plus, il existe certaines situations, qui relèvent de l'expérimentation et qui peuvent échapper à la notion de BYOD tant que l'on ne généralise pas le dispositif.

Ensuite, nous disposons aujourd'hui de ce qui nous a fait défaut pendant des années : des textes à force de loi et des bonnes pratiques. Dans la première catégorie on trouve la toute récente PSSI-E, qui est un décret, et qui stipule clairement que l'établissement doit maitriser les équipements qui se connectent au LAN interne. Dans la seconde catégorie, on trouve les recommandations de l'ANSSI, les bonnes pratiques ISO, etc.

En termes de communication le DSI ou le RSSI peuvent user à l'égard des agents qui réclament ce genre de possibilité l'argument suivant : un agent n'a pas à payer pour travailler. Il y a un siècle, si l'on avait dit aux ouvriers de la métallurgie qu'ils devaient payer de leurs deniers les machines-outils sur lesquelles ils suaient chaque jour, nul doute que la grève eut suivi de près. Le BYOD est un piège pernicieux, pour l'agent avant tout car il introduit un précédent. Qui sait si bientôt la politique des entreprises ne consistera pas à fournir du matériel tellement nul que les agents seront contraints de facto à s'équiper eux-mêmes ? Personnellement, je ne veux pas de ce monde-là : c'est à mon employeur de m'équiper, point barre. Je connais des chefs de projets dans des DSI qui refusent de communiquer leur numéro de téléphone portable personnel, au motif que si l'entreprise veut joindre l'agent pendant sa mobilité interne ou externe, il lui appartient de lui fournir un portable professionnel.

Nous ne reviendrons pas sur les conséquences en matière de sécurité, tout ou presque a déjà été dit là-dessus. Certes les fournisseurs vous expliquent qu'ils ont le produit miracle de gestion de parc BYOD hétérogènes (avec des déclinaisons de concepts de bac à sable, etc.) mais dans les faits on observe peu d'entreprises qui les ont mis en œuvre. Il est même frappant de constater qu'aux Assises de la Sécurité, lorsque l'on fait le tour des stands et des relations et que l'on demande qui autorise le BYOD dans son entreprise, on ne trouve que très peu de monde.

Mais surtout, il y a clairement un axe de réflexion sur le catalogue de services internes de la DSI. Le BYOD, quoiqu'on en dise, a pour première justification le fait que l'entreprise ne dispose pas du budget pour équiper certaines catégories de personnels d'un certain type de matériel. Mais, dans le fait, cela revient à faire de la sécurité du SI et de sa conformité la variable d'ajustement des problèmes budgétaires, et c'est ce qui me choque le plus. S'il ne s'agissait pas d'informatique mais de gestion de parc automobile, imaginerait-on un Directeur Général demandant à son responsable logistique de rogner sur les budgets d'entretiens des véhicules (vidanges mais aussi changement des pneus et des plaquettes de freins) pour être en mesure d'acquérir un ou deux véhicules supplémentaires ? Personne ne s'y risquerait car personne ne voudrait faire courir de risque et se mettre hors la loi à cause d'un problème d'arbitrage entre le budget et le périmètre de l'offre de service du département logistique. En clair, dans ce cas précis conformité et sécurité sont non négociables.

Mais alors pourquoi cette conformité et cette sécurité devrait être négociable dans le domaine SI ? Certes il arrive que des DG aient du mal à saisir ce parallèle, mais peut-être aussi que les DSI ont du mal à l'expliquer. Il est peut-être bon de rappeler un principe de base du Lean Management : chacun de nous est responsable, en partie, de rendre ses clients et ses fournisseurs meilleurs. Avant de dire que « l'on n'y peut rien », que « les DG ordonnent malgré les alertes que l'on fait remonter », rappelons-nous de ce principe.

(1) DSIH N°11 janvier 2014