Loïc Guézo, secrétaire général du Clusif.
Paradoxalement, c’est une problématique de sécurité qui est de plus en plus mature chez les grands utilisateurs français, mais il n’y a pas de solution magique qui puissent répondre à leurs attentes, notamment en termes ergonomique. Ceux- ci leur préfèrent des applications grand public bien plus plaisantes à utiliser mais dont les garanties en matière de sécurité tombent les unes après les autres. Nous devons jouer ce rôle de sensibilisation et avertir les utilisateurs à chaque fois qu’une faille de sécurité est découverte. »
Difficile aujourd’hui d’interdire Whatsapp à tous les collaborateurs !
Alors que les apps grand- public se sont imposées dans les entreprises, un CISO peut- il laisser des commerciaux de son entreprise échanger des informations relatives à de gros contrats, ou les membres de son Comex échanger sur leur stratégie d’entreprise via ces logiciels ? En dehors de quelques secteurs d’activité particuliers, généralement liés à la Défense, il est impossible pour un CISO d’interdire à tous les collaborateurs l’usage d’une application mobile de messagerie, en particulier sur leurs smartphones personnels. Il doit néanmoins alerter les collaborateurs sur les apps qui sont de vraies passoires et les guider vers des applications potentiellement plus sûres. Dernièrement, la Commission européenne a tapé du poing sur la table et a demandé à ses collaborateurs de basculer sur Signal pour leurs échanges quotidiens et d’utiliser des outils plus sécurisés pour les données sensibles. Signal bénéficie de l’aura d’edward Snowden qui a déclaré en 2015 utiliser l’application tous les jours. Autre approche, celle de l’état français qui a déployé non sans mal sa « Utiliser des applications grand public pour communiquer en interne est maintenant une pratique très ancrée dans les entreprises. Des groupes sont créés de manière informelle entre les décideurs dans l’entreprise et même parfois des groupes où des membres de l’entreprise échangent en direct avec des contacts externes. »
« Entre l’approche théorique où un collaborateur de l’entreprise ne doit utiliser que les moyens de communication mis à disposition par son entreprise et ce constat, il faut trouver le juste milieu. Le RSSI doit avant tout mener une analyse de risque et cerner exactement où se situe le besoin de sécurité dans l’entreprise. Il est impossible de demander à l’ensemble du personnel d’arrêter d’utiliser Whatsapp dans l’entreprise, en revanche il est légitime d’en restreindre l’usage sur certains projets, sur certaines populations – dont les dirigeants –, mais aussi certains commerciaux chargés des contrats importants. »
« La réalité du terrain s’oppose à l’approche théorique »