Les smartphones professionnels des agents publics privés de récréation
Par Bertrand Lemaire | Le | Management
Les restrictions d’usage de TikTok dans plusieurs pays ont amené le gouvernement français à prendre une mesure de cybersécurité de bon sens : l’interdiction de toutes les « applications récréatives » sur les smartphones des agents publics. L’espionnage américain ne vaut pas mieux que l’espionnage chinois.
Par un communiqué publié le 24 mars 2023, le cabinet de Stanislas Guerini, le ministre de la Transformation et de la Fonction publiques, a indiqué que, désormais, il serait interdit aux agents publics d’installer et d’utiliser des « applications récréatives » sur leurs smartphones professionnels. La DINUM (Direction interministérielle du numérique) et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) sont chargées de veiller à la bonne application de cette règle. Il est prévu une exception : l’usage des dites « applications récréatives » pour la communication institutionnelle et sous réserve de la délivrance d’une autorisation spécifique.
Il s’agit là de simple bon sens comme tout RSSI/CISO ne pourra que le constater. Le problème est que cette règle n’avait simplement jamais été édictée expressément. La justification de ce réveil tardif est liée à l’interdiction de plus en plus fréquente de TikTok sur les smartphones des fonctionnaires dans les pays occidentaux sous le prétexte d’un possible espionnage chinois. Hypocritement, les applications de Facebook, Twitter ou autres réseaux sociaux américains dans le Cloud et soumises aux lois extra-territoriales américaines (impliquant un espionnage possible) ne semblent pas visées dans la plupart des pays. Au moins, en France, ce sont bien l’ensemble des « applications récréatives » qui sont clairement interdites.
D’une manière générale, comme le rappelle le communiqué, les « applications récréatives » ne disposent pas d’une sécurité avérée. Leur présence sur des smartphones professionnels implique donc une mise en danger des données qui s’y trouveraient. Aucune liste des « applications récréatives » n’est fournie et il semble clair qu’il faut non seulement y inclure les réseaux sociaux mais aussi les jeux et, plus généralement, tout ce qui n’a rien à faire sur un smartphone professionnel susceptible de traiter des données sensibles. Les community managers ont évidemment besoin de telles applications mais leur smartphone peut être dédié à cette tâche et ne pas contenir de données sensibles, d’où l’exception prévue. En cas d’usage professionnel d’un smartphone personnel, il convient de prendre des précautions habituelles en matière de cybersécurité comme l’absence de données professionnelles localement.