Pour ce RSSI, la consumérisation c’est plutôt l’employé qui va amener ses propres outils pour travailler dans l’entreprise, phénomène que l’on appelle aujourd’hui BYOD (Bring Your Own Device). Ainsi, pour réduire ses pratiques, il a mis en place des solutions lui permettant de sécuriser ces nouveaux devices. Il a aussi réglementé les pratiques sur le Cloud de même pour les PC personnels, il a choisi de fournir des iPad à certaines catégories de personnels particulièrement mobiles. Pour Régis Rocroy, le BYOD et le Cloud sont de réels sujets de préoccupations dans les entreprises. « Actuellement, chez Atheos, nous constatons une préparation dans les entreprises pour trouver des solutions de sécurité.
Bientôt, nous trouverons des solutions de sécurité matures pour les Smartphones, en particulier du côté de la messagerie » a-t-il expliqué.
Pour ce RSSI, issu du monde de l’industrie, il y a une préparation aussi à ces mutations. Chez lui, il estime avoir loupé le tournant iPhone, iPad, car il avait 87% de satisfaction pour le BlackBerry. Ainsi, l’IT a peur de rater cette consumérisation et cherche donc dès à présent à s’y préparer.

Didier Rochereau, Zenprise, avait vu ce phénomène poindre depuis déjà quelques années surtout chez les VIP.

Le DSI de cette grande entreprise de service voit cette consumérisation par ses clients qui veulent de plus en plus de services électroniques. En interne, il a vu « débarquer » les Smartphones et tablettes personnels. En parallèle, il a eu plusieurs chantiers à mener à la fois sur le télétravail, les réseaux sociaux, tant en interne que pour ses clients finaux, ce qui a conduit sa société à penser à des nouveaux produits en e-commerce. Enfin, il est confronté aux problèmes des jeunes générations qui souhaitent venir travailler avec leurs propres outils.

Ce RSSI du monde de l’industrie estime que la France n’est pas tellement en retard par rapport aux autres pays. D’autant que dans certains pays, comme la Chine, amener son propre device au bureau est interdit. Dans d’autres pays, les salariés peuvent choisir leurs propres outils dans un cadre fixé par l’entreprise.

Selon cet autre RSSI du monde de l’industrie, le problème de la gestion des différentes plateformes à sécuriser va se poser. Dans tous les cas, pour accueillir les jeunes générations, il va falloir prévoir cette nouvelle approche.

Régis Rocroy estime qu’il faut travailler sur la politique de sécurité en parallèle avec les outils techniques existants. Bien sûr, il faut accompagner le mouvement plutôt que de l’interdire. Il constate que cet accompagnement fait gagner en moyenne près de 15% en productivité.

A l’international, reprend cet RSSI, l’iPhone ne bénéfice pas du Roaming ou du Wi-Fi dans certains hôtels, il a donc été obligé d’acquérir des routeurs Wi-Fi pour ses collaborateurs...

Nicolas Arpagian : A-t-on la possibilité de brider certaines fonctionnalités ?

Pour Didier Rochereau, le challenge pour son entreprise est d’apporter une solution pour unifier les différentes plateformes mais aussi effectivement d’avoir à brider certaines fonctionnalités en modifiant la configuration du terminal afin de répondre à la politique de sécurité d’entreprise.
Ce RSSI du monde de l’industrie explique : « avant lorsque l’on donnait un device, on disait au collaborateur qu’en cas de perte on efface ses données. Aujourd’hui, on fait la même chose avec les devices personnels et les possesseurs sont en général d’accord, car ils ne souhaitent pas non plus que leurs informations personnelles puissent être consultées. De même, lorsqu’on leur donne un antivirus, ils l’utilisent. Dans tous les cas, avant nos utilisateurs emmenaient le PC de l’entreprise partout et rien ne les empêchaient d’avoir avec eux les données de l’entreprise...

Sensibiliser les managers a un effet positif sur l’ensemble des collaborateurs

Pour cet autre RSSI, il est quasiment impossible d’interdire d’aller sur les réseaux sociaux durant les heures de travail. La charte est certes signée, mais elle rapidement oubliée. Ainsi, il est préférable de sensibiliser plutôt les managers afin qu’ils puissent répondre aux questions des utilisateurs. Dans tous les cas, il faut fixer une ligne rouge à ne pas dépasser...

Pour cet RSSI du monde des services, les utilisateurs veulent bien amener leurs propres Smartphones, mais y mettre la puce de l’entreprise avec des effets de bord comme les factures télécoms en augmentation du fait de l’activation de certaines fonctionnalités non prévues par le contrat avec l’opérateur Télécoms.

Pour Régis Rocroy, l’utilisateur est habitué à passer d’un device à un autre. Il est donc important de sécuriser les données. On sait aujourd’hui faire du chiffrement, détruire des données de façon sélective... Il est primordial de limiter le niveau de contrainte pour l’utilisateur.

Chez Zenprise, on a créé des tunnels VPN sélectifs pour chiffrer les flux, faire de la compression de données, mesurer l’activité sur chaque application, faire de la reprise sur erreur... Pour les Smartphones, chaque utilisateur est son propre administrateur, mais là Zenprise a une solution pour obliger les utilisateurs à déployer des changements d’OS si besoin. Cet RSSI n’est pas tout à fait d’accord, pour lui, il y a plus de personnes qui savent bien gérer leurs Smartphones que leurs PC. Effectivement, reprend cet autre RSSI, il n’y a pratiquement jamais d’appel à son helpdesk pour des problèmes de mise à jour des Smartphones.

Nos intervenants ont conclu ce débat en estimant que la consumérisation peut permettre de consolider la fonction de RSSI.

Luis Delabarre et Laurent Le Chatellier : les RIAMS, c’est « l’esprit Club »

Luis Delabarre de Trend Micro et Laurent Maufras du Châtellier d’IBM ont présenté leur positionnement en avant-première des prochaines RIAMS qui auront lieu du 23 au 25 mai à Saint-Tropez. La stratégie d’IBM en termes de sécurité se fait autour du Cloud. Il a rappelé que l’offre d’IBM « Service Bureau » a été construite depuis 1975.
Pour Luis Delabarre, il faut adresser la consumérisation en se concentrant sur la sécurité de la donnée, par contre sur les équipements, il est plus pessimiste. En effet, pour lui, les pirates informatiques vont s’attaquer réellement aux Smartphones et aux Tablettes. De plus, avec les NFC, les risques vont sans doute rendre le poste de travail une cible privilégiée. Il va donc falloir trouver des solutions fiables pour sécuriser ces devices.

Nicolas Arpagian : pourquoi ne pas avoir pensé à la sécurité de ces objets ?

Pour Luis Delabarre, le problème vient du fait que l’on est passé de façon extrêmement rapide d’un usage de simple téléphone à un véritable petit ordinateur. Les usages se sont très rapidement développés, ce qui a pris tout le monde de court. De plus, il n’y a plus de frontière entre le monde personnel et celui de l’entreprise. Par exemple, on va sur Facebook pour discuter avec ses amis, mais aussi faire du business... Aux Etats-Unis, le BYOD n’est plus un sujet de discussion, il est entré dans les usages pour le plus grand confort des utilisateurs. En Europe, et plus particulièrement en Europe du Sud, on se pose encore des questions.

Pour Laurent Maufras du Châtellier, 2011 a été l’année de la "Security Breach". Pour les sous-traitants qui en plus amènent leur propre device, cela ne devrait pas modifier fondamentalement les problèmes de sécurité. Par contre, pour la sécurité, c’est un investissement permanent pour contrer les actions des pirates informatiques.

Luis Delabarre estime que l’un des points positifs des RIAMS est qu’il existe une véritable interaction ente les offreurs et les RSSI présents. Ceci permet à son entreprise d’améliorer les fonctionnalités de ses produits. Effectivement, reprend Laurent Maufras du Châtellier, « l’esprit Club insufflé par Michel Van Den Berghe dans les RIAMS permet de nous faire grandir pour décider de nos choix d’investissement ».

RIAMS 2012, vers toujours plus d’échanges et de convivialité

Michel Van Den Berghe a présenté en conclusion qu’à l’inverse des autres événements du Marché, l’objectif des RIAMS n’est pas une course à la volumétrie.
Bien au contraire, la notoriété de cet événement s’est construite sur la qualité des participants et des échanges autour des problématiques de sécurité actuelles.
C’est pour cela qu’il a décidé de recentrer la 8ème édition sur l’expertise, le métier et la clientèle d’ATHEOS.
Afin de rester conforme à la déontologie et à l’éthique, les RIAMS se sont dotées d’un Comité d’Organisation dont le premier objectif a été de rédiger une charte de participation.
Mais aussi d’un Comité de Programme qui sera chargé de définir les thématiques qui seront adressées en mai prochain.
Enfin, il a promis à l’ensemble des participants une édition encore plus riche en convivialité et en particulier lors de la célèbre Soirée Blanche qui permettra de fêter les 10 ans d’Atheos.

La conférence s’est achevée sur le rendez-vous donné le 2 février prochain pour les 2èmes P’tites RIAMS sur le thème de la supervision de la sécurité du SI.