C&ESAR 2011 - Mobilité et Sécurité
Par Patrick Langrand – La Poste.
La poste, c’est pas que le bureau de poste local, bien qu’on y soit attaché (bienvenue chez les chti ?), c’est aussi un grand groupe, avec un grand nombre de filiales, du courrier à la banque en passant par la logistique et les services de proximité. Ce qui engendre un SI extrêmement complexe et un défi constant pour ses équipes de sécurité.
L’analyse se base sur les menaces: pannes, sinistres accidentels (inondations & disques durs?), malveillances, pertes de données stratégiques, atteintes à l’image, atropie des NTICs (sous-exploitation).
Les données du SI sont de plus en plus éclatées, et le Cloud/SaaS accentue cette tendance, et il est difficile de maîtriser leur diffusion (les slides de l’Orateur sont denses !!!). Le parallèle est fait entre le Smartphone et le PC lors de son arrivée dans l’entreprise, c’est l’histoire qui se répète mais avec une dimension géographique forte. L’entreprise n’ayant pas réussi à répondre au challenge de la sécurité du poste client, est-ce qu’elle arrivera à relever ce défi similaire, qui est de sécuriser ces devices.
La question de la position des données vis à vis du device est intéressante, doivent elles être sur le mobile, ou doivent elles êtres uniquement consultables sur le mobile ? iCloud, synchronisation des données et iPhone professionnel posent un gros problème de confidentialité. La position de Mr Langrand est que les données Pro doivent rester dans le milieu Pro, et les usages mobiles grand public doivent se cantonner à la sphère privée. Tout en répondant aux besoins de mobilité des salariés pour ne pas se priver d’un tel outil de travail, et éviter que l’employé ne glisse des usages pro dans son mobile personnel.
Quelques anecdotes amusantes sur les factures téléphoniques et autre Wi-Fi « gratuits », lié à la mobilité, comme le changement de la sim perso à la sim pro nécessitant un jailbreak du terminal, ou l’utilisation en mode modem du mobile sans le forfait adéquat engendrant pour l’entreprise une explosion des factures.
Le caractère latin des usagers et leur tendance à abuser de leur droits sans forcément se conformer à leur devoir de respect des chartes & PSSI de l’entreprise ou tout simplement de leur contrat de travail. Et donc lorsque le RSSI contrôle les usages fait des privilèges administrateur, il constate un grand nombre de dérives des usages faits, et un rappel à l’ordre surprend toujours l’employé dans ce cas.
Le groupe la poste à mis en place un Observatoire de la SSI au sein de son groupe, pour constater de ces usages, prendre en compte les nouvelles menaces et participer activement au process de sécurisation de son SI (on leur souhaite bien du courage).