Fini l’eMail, les échanges migrent massivement vers les apps
Ces incidents sont le reflet de l’intérêt croissant porté par les services d’espionnage pour ces applications de messagerie instantanée. Alors que les États ont mis en place des moyens conséquents pour intercepter le trafic des e-mails, ces applications sécurisées sont devenues une priorité pour les agences car on assiste à un important report des communications vers ce type d’applications.

Difficile aujourd’hui d’interdire WhatsApp à tous les collaborateurs !
Alors que les apps grand-public se sont imposées dans les entreprises, un CISO peut-il laisser des commerciaux de son entreprise échanger des informations relatives à de gros contrats, ou les membres de son ComEx échanger sur leur stratégie d’entreprise via ces logiciels ? En dehors de quelques secteurs d’activité particuliers, généralement liés à la Défense, il est impossible pour un CISO d’interdire à tous les collaborateurs l’usage d’une application mobile de messagerie, en particulier sur leurs smartphones personnels. Il doit néanmoins alerter les collaborateurs sur les apps qui sont de vraies passoires et les guider vers des applications potentiellement plus sûres. Dernièrement, la Commission européenne a tapé du poing sur la table et a demandé à ses collaborateurs de basculer sur Signal pour leurs échanges quotidiens et d’utiliser des outils plus sécurisés pour les données sensibles. Signal bénéficie de l’aura d’Edward Snowden qui a déclaré en 2015 utiliser l’application tous les jours. Autre approche, celle de l’État français qui a déployé non sans mal sa propre application de messagerie chiffrée, Tchap. L’objectif était de maîtriser l’intégralité de la solution pour s’assurer de son niveau de confiance. « Tchap correspond à une logique de système maîtrisé », souligne Gérôme Billois, « On sait par qui il est développé, qui l’héberge, qui opère la plateforme. Ce type d’approche permet d’atteindre un haut niveau de confiance si on veut se protéger de services étrangers notamment. En revanche, cette approche a aussi montré qu’elle n’était pas exempte de tout défaut et qu’il y a des failles dans toutes les applications et que l’éditeur doit être très actif à pouvoir y répondre.» En entreprise, le CISO va devoir s’armer de beaucoup de courage pour interdire à son ComEx d’utiliser ces applications directement venues du grand public. Pourtant des solutions typées entreprises existent depuis des années, à commencer par BlackBerry BBM, mais aussi la messagerie CryptoPass et CryptoSmart d’Ercom (Thales), Citadel édité par Thales ou encore le fameux téléphone sécurisé Teorem de Thales, notamment utilisé dans les plus hautes sphères de l’État français. Ces applications et ces smartphones blindés qu’il s’agisse du Teorem ou de son rival Hoox d’Atos, constituent l’arme quasi ultime pour éviter toute fuite de données et pourtant… personne n’en veut. L’image d’un Emmanuel Macron au début de son quinquennat utilisant son iPhone plutôt que son Teorem officiel a fait le tour du Web. Les utilisateurs leur préfèrent bien souvent les applications à la mode dont tout le monde parle. « Si ces solutions professionnelles sont, par nature, préférables pour les entreprises qui souhaitent garder la maîtrise de leur sécurité, ces applications ne parviennent pas à rivaliser du point de vue ergonomie », souligne Loïc Guézo, secrétaire général du Clusif. Une nouvelle génération d’apps fera-telle changer d’avis les utilisateurs ?« Les CISO sont mis devant le fait accompli »
Loïc Guézo, secrétaire général du Clusif

« La réalité du terrain s’oppose à l’approche théorique »
Gérôme Billois, partner chez Wavestone
