Pocket

Lors des récentes Assises de la Sécurité, qui se tenaient à Monaco du 3 au 6 octobre, Patrick Pailloux, le directeur général de l’Anssi, n’a pas eu de mots assez dur contre la tendance du BYOD, affirmant au passage qu’il n’existe pas sur le marché de solution satisfaisante pour accompagner cette tendance en toute sécurité. Un pavé dans la mare, alors que le BYOD faisait partie des sujets phares de cette édition des Assises de la Sécurité.

Dave Martin, présentant sa vision du BYOD lors du CIO Summit à l’occasion d’EMC World 2012.

La semaine suivante, SolutionITPME a rencontré Dave Martin, le vice-président et Chief Security Officer d’EMC. L’occasion de revenir avec lui sur la position de Patrick Pailloux, mais aussi sur les façons de permettre l’introduction d’équipements de type BYOD, dans l’entreprise, dans un contexte sécurisé à même de satisfaire les utilisateurs. Car s’il y a bien un autre consensus, c’est que la seule réponse non n’est pas tenable. La consumérisation de l’IT est une lame de fond. Dire non, c’est aujourd’hui avoir la quasi-certitude que l’interdit sera tôt ou tard contourné. Ce qui est sans doute un pire danger que de ne rien faire.

BYOD : passer du non au « oui, mais »

Interrogé sur la position de Patrick Pailloux, Dave Martin explique : « Je pense qu’il a raison. Dans la situation actuelle, il faut que nous disions non. Mais je crois qu’il est aussi nécessaire de clarifier pourquoi on peut quand même travailler sur une approche BYOD. (…) Patrick Pailloux a mis l’accent sur les raisons pour lesquelles il ne faut pas utiliser le BYOD. Mais je crois qu’il faut clarifier ce que l’on entend par BYOD ».

EMC, par exemple, laisse ses utilisateurs utiliser leur mobile personnel au bureau, explique Dave Martin. « Certains pensent que c’est cela le Bring Your own Device. Si l’on entend donc par BYOD la possibilité d’amener au bureau un terminal potentiellement bourré de malware, et de lui laisser un libre accès au réseau corporate la réponse est bien évidemment non. En cela, Patrick Pailloux à raison, c’est un même un non absolu ».

Pour Dave Martin, il est donc très important de bien définir les contours de ce que l’on entend par BYOD : « Ce que l’on va proposer à terme est d’amener votre équipement personnel. Nous vous fournirons une connexion réseau sécurisée et un environnement sécurisé d’entreprise. Dans la première génération, ce sera sans doute un environnement de type Virtual Desktop lié à notre infrastructure de VDI ». Cet environnement de base permettra par exemple d’accéder de façon sécurisée à l’e-mail, à un App Store et à des possibilités minimales d’échanges d’informations. Avec toutefois un bémol. Pour Dave Martin, il est hors de question de laisser circuler des données d’entreprise n’importe comment : « elles seront de toute façon dans un conteneur de stockage chiffré ». En fait, pour Dave Martin, il est essentiel de faire la différence entre la dissémination des données sur les périphériques mobiles et une vraie politique BYOD, qui couple device management, virtualisation et maîtrise de la circulation des données…

Se contenter de dire non aux demandes des utilisateurs est une position intenable 

Pour Dave Martin, dire non au BYOD est une position intenable à terme.

Pour autant, le CSO d’EMC se fait peu d’illusions sur son aptitude « à dire non » : « J’ai des utilisateurs avec des technologies puissantes, prêts à adopter la 4G et à faire du partage de connexion et qui n’ont pas de limites sur leur réseau opérateur. Si je tente de les bloquer, c’est une bataille perdue. (…) Il y a trop de façons pour un utilisateur qualifié de contourner les blocages. Je n’entends pas dire non. J’entends fournir le meilleur environnement d’entreprise autour de ces nouveaux périphériques, pour garantir que mes utilisateurs ont ce qu’il faut pour faire leur travail de façon sûre. (…) Il faut que les salariés aiment leurs appareils car c’est une façon d’être plus productif ».

Comment parvenir à un environnement de sécurité acceptable ? Pour Dave Martin, c’est une question d’arbitrage et d’équilibre. « Il faut discuter app par app, et device par device : quelle application se justifie ? Quel niveau de contrôle a-t-on, notamment en matière de données ? Et si il n’existe pas pas de contrôle aujourd’hui, la question est : combien de temps il me faudra pour supporter une plate-forme dans un mode contrôlé ? Jamais, dans 3 mois, 6 mois, 9 mois … ? ». Cette approche, selon lui, permet de donner une visibilité aux utilisateurs en leur fournissant une roadmap application par application. « Ils savent alors quelle application sera accessible ou non. S’ils veulent déployer des devices Android en Asie Pacifique parce que c’est ce qui est populaire là-bas, ils savent qu’il leur faudra attendre 9 mois pour avoir un meilleur contrôle de cette plate-forme ». Cette approche pragmatique et méthodique permet ainsi de dire oui plus souvent que non, explique Dave Martin.

Quel avenir voit-il pour le BYOD à court terme ? Pour Dave Martin, le plus simple aujourd’hui est de déployer les applications mobiles dans un conteneur sécurisé de type VDI. Cela permet de fournir très vite les applications de workflow, par exemple. Mais pour lui, il est essentiel de réfléchir dès maintenant à développer des applications avec des interfaces optimisées pour les mobiles. « On peut acheter un MacBook Air maintenant, mais ça ne sert à rien de payer trois fois le prix d’un PC, si c’est pour le transformer en un terminal passif », explique-t-il. Et de se vouloir optimiste : « A terme, on pourra de toute manière trouver bien des façons de dire oui, en tout cas plus que ce que les tenants de la sécurité traditionnelle ne le pensent ».

Pocket