Comment professionnaliser l'informatique grand public

Jusque dans les années 2000, l'informatique d'entreprise montrait la voie aux usages de l'informatique dans le grand public. Les utilisateurs découvrait souvent, en effet, la bureautique et Internet au bureau avant d'investir pour leur usage personnel. Désormais, avec la généralisation du haut débit, l'apparition de nouveaux appareils téléphoniques puissants (les fameux smartphones) et la baisse du prix d'achat du matériel grand public, la logique s'est inversée. Les nouveaux usages de l'informatique se font d'abord dans le grand public (généralisation des réseaux sociaux, consultation de son courrier électronique sur smartphone ou tablettes, synchronisation des données entre plusieurs appareils) et s'importe dans le monde de l'entreprise sous la pression des salariés. C'est le fameux BYOD [1] dont tous les éditeurs de sécurité nous rebattent les oreilles depuis quelques mois.

BYOD et consumérisation touchent aussi les banques

Les banques doivent-elles se sentir concernées ? Cédric Martin, Senior Sales Architect pour Acronis, constate : « Nous en discutons régulièrement avec nos clients bancaires, mais ils sont très discrets sur des questions de sécurité. C’est un gros axe de développement. Ils ont compris qu’ils n’allaient pas réussir à contenir le BYOD, et ils décident de fournir des appareils à leurs utilisateurs en leur donnant le meilleur, pour les dissuader d’utiliser leurs produits personnels au sein de l’entreprise. Dans le milieu de la banque, je ne pense pas que le BYOD soit facilement implémentable dans les mois qui viennent. Il faudrait des plates-formes capables de démarrer dans deux environnements différents suivants l’heure du jour. Android y arrive avec des sessions différentes sur une tablette (seulement sur la Nexus 10 pour l’instant, NDLR). Les autres devraient suivre. Il faudra suivre également Firefox OS et Ubuntu for Mobile, annoncés au Mobile World Congress. » Pour Paul Dominjon, directeur des solutions stratégiques chez Symantec, « la consumérisation de l’IT n’avait jusqu’à présent qu’un impact limité dans les banques, mais la mise en avant de solutions mobiles pour les clients force les établissements financiers à accélérer l’adoption de solutions à base de tablettes et de smartphones, et ce sous l’impulsion des directions métier. Bien qu'ils se méfient toujours des problèmes de sécurité potentiels liés à l'utilisation de terminaux mobiles, les Responsables de la sécurité des systèmes d'information (RSSI) se retrouvent confrontés à d’autres responsables métier qui sont de plus en plus nombreux à considérer l'informatique personnelle dans l'entreprise comme un moyen d'améliorer l'efficacité, de favoriser l'innovation et d'accroître la satisfaction des employés. La protection des terminaux mobiles doit être intégrée dans la stratégie de sécurité globale et il est essentiel de se concentrer sur l'information plutôt que sur le matériel ou l'emplacement. L'utilisateur d'un smartphone est généralement moins conscient des problèmes de sécurité que l'utilisateur d'un PC, car les smartphones sont intrinsèquement plus sécurisés et présentent donc moins de risques. Il n'en reste pas moins que des menaces gravitent autour d'eux et que leur nombre augmente. »

Encadrer et anticiper les besoins

Comment se prémunir des risques liés à ces nouveaux usages ? Il existe plusieurs solutions qui ne doivent pas être opposées les unes aux autres.

La première est d'utiliser des outils proches de ceux du grand public, mais adaptés pour l'entreprise. Vos salariés utilisent leurs comptes Dropbox personnels pour synchroniser des documents de travail entre le bureau et la maison ? Proposez leur plutôt une solution d'entreprise équivalente [2] qui surveillera qui accède aux données sorties de l'entreprise et ne laissera sortir que les données auxquelles, de toute façon, la personne aurait accès à l'intérieur de l'entreprise. Cette solution peut aussi limiter ce qu'on peut faire des données : les consulter, les imprimer ou les modifier. C'est la solution que propose Google avec ses produits Google Entreprise. « En entreprise, Gmail, c'est une messagerie, un calendrier, un carnet d'adresses et des solutions de collaboration à plusieurs, le tout encadré par une console d'administration qui définit qui à droit à quoi » explique Eric Haddad, directeur Europe du Sud de Google Entreprise. Le tout n'est accessible qu'avec un double mot de passe (un classique et un temporaire, fourni à l'aide d'un logiciel ou d'un token). « Google Apps pour entreprise est complètement séparé et fermé de l'entreprise Google. Ainsi, chez BBVA, 107 000 personnes utilisent les Google Apps, mais elles sont sur le domaine bbva.com, pas google.com ou gmail.com. »

Une autre solution, valable pour les téléphones mobiles et les tablettes, est de proposer des applications dédiées, via une appstore d'entreprise. Celles-ci, même téléchargée sur l'appareil personnel du salarié, fonctionnent comme des coffres-forts. Il faut que le salarié s'identifie comme s'il était dans la société, et il n'accède qu'aux applications et données nécessaires à son métier. En cas de vol ou de perte de l'appareil, non seulement les données ne sont plus lisibles, mais le service informatique de la banque peut également effacer à distance les applications. Si la SSII Atos avait présenté la première son offre MyMarket au Mobile World Congress de 2012, de nombreux éditeurs l'ont suivi.

Enfin, il y a toujours la possibilité de brider son réseau et de contrôler ce qu'il s'y passe. C'est notamment utile pour éviter qu'une nouvelle mise à jour d'iOS viennent avaler toute la bande passante de la société, au cas où tous les salariés équipés décidaient de la faire en utilisant le réseau Wifi du bureau ou leurs connexions Internet.

1 Bring Your Own Device. 2 Tous les éditeurs de sécurité ont la leur et même Dropbox vient de sortir une offre professionnelle.