« N’écris jamais dans un email ce que tu n’écrirais pas au dos d’une carte postale ». Le dicton est bien connu des vieux briscards de la sécurité et il vient, en substance, d’être remis au goût du jour par le président américain élu Barack Obama.

Ce dernier a ainsi confirmé son intention de ne pas sacrifier son terminal mobile lors de son arrivée à la Maison Blanche, alors que l’ancestral Presidential Records Act stipule que tout ce que le Président couche par écrit doit être archivé. Barack Obama a tenté de rassurer son entourage en expliquant qu’il considérait chacun de ses emails comme susceptible d’apparaître sur CNN dès le lendemain. Une gymnastique qui, de son propre aveu, pousse à y réfléchir à plusieurs fois avant d’envoyer un courrier.

Serait-il possible de généraliser un tel état d’esprit dans l’entreprise ? Assurément bon nombre de RSSI en rêvent. Mais voilà, ce qu’un individu peut décider pour lui-même se mue généralement en casse-tête dès que l’on tente de l’appliquer à une population plus importante.

Car la notion de ce qui pourrait être embarrassant de voir étalé sur CNN ou ailleurs change radicalement selon les individus. Le problème rappelle l’une des difficultés à déployer une solution de prévention des fuites de données (DLP). Lorsque l’on tente de laisser chaque utilisateur étiqueter au quotidien ses propres documents (afin de délester la SSI d’une mission quasi-impossible), une même production pourra être déclarée confidentielle par l’un, et sans intérêt par l’autre.

Alors on ruse : on verrouille les outils mobiles ou on chiffre les courriers des Blackberry, par exemple (ce qui fait au moins un beau projet !)

Parfois aussi on verrouille un VLAN : tout ce qui est produit ou traité sur des systèmes appartenants à ce VLAN est automatiquement classé confidentiel et ne doit pas sortir.

A l’occasion, on raisonne plutôt en terme de projet : toute la matière relative à tel projet est confidentielle. Cela peut fonctionner lorsqu’on privatise aussi les équipes (demandez aux avionneurs qui participent à des projets communs avec la concurrence). Mais dès qu’un collaborateur doit traiter simultanément des informations confidentielles et non-confidentielles, le faux-pas guette à chaque opération.

Alors pourquoi s’encombrer d’autant de pis-allers lorsqu’il suffirait de faire adopter la Obama attitude à ses collaborateurs ?

La différence essentielle entre Barack Obama et le salarium vulgus de l’entreprise, c’est que le le Président américain sait probablement faire la différence entre des propos publics et des informations confidentielles (la sensibilisation), et qu’il est très bien conseillé (le support). Enfin, lorsqu’il devra échanger de manière sécurisée (il est responsable), il disposera alors des meilleurs outils pour le faire (les moyens).

Sensibilisation, support, responsabilité et disponibilité des (bons) moyens de chiffrement seraient-ils alors les ingrédients essentiels au respect de la confidentialité dans l’entreprise ? Si c’est le cas, il y a de quoi frémir : ce sont aussi, accessoirement, les projets les moins bien lotis (sensibilisation, chiffrement) ou les plus impopulaires (responsabilisation).