Pendant des décennies, la TI d’entreprise reposait sur une certitude tranquille: l’organisation contrôlait les appareils. Un parc d’ordinateurs identiques, achetés, configurés, verrouillés par l’équipe technique. Tu savais exactement ce qui se connectait à ton réseau parce que tu l’avais toi-même installé. En avril 2011, cette certitude-là est en train de s’effriter: le bureau perd le contrôle des appareils. Pis ça change pas mal de choses dans la façon de penser la sécurité.

Le coupable, c’est la consumérisation. Les gens ont maintenant, dans leur poche pis leur sac, des appareils personnels souvent plus modernes que ceux du bureau. Un téléphone intelligent, une tablette, un portable acheté à la maison. Pis ils veulent s’en servir pour travailler — lire leurs courriels, accéder aux documents, rester connectés. Le mouvement vient d’en bas, des employés eux-mêmes, pas d’une décision de la TI. Pis quand une demande vient d’en bas avec autant de force, la bloquer complètement, c’est juste pousser le monde à contourner.

flowchart TD
    A[Ancien monde] --> A1[La TI achete les appareils]
    A --> A2[Tous identiques, verrouilles]
    A --> A3[Securite = controler la machine]
    B[Nouveau monde] --> B1[Appareils personnels varies]
    B --> B2[iPhone, Android, tablettes]
    B --> B3[La TI ne les possede plus]
    A3 -.le pivot.-> C[Securite = controler<br/>l'identite, pas l'appareil]
    B3 --> C

Le vrai bouleversement, c’est ce déplacement du point de contrôle. Avant, on sécurisait la machine: on la verrouillait, on contrôlait ce qu’on installait dessus, on la gardait dans nos murs. Mais quand les appareils sont personnels, variés, hors de notre portée, on ne peut plus miser sur la machine. Il faut sécuriser autre chose — pis cette autre chose, c’est l’identité. Qui es-tu, peu importe l’appareil que tu utilises? La question n’est plus « est-ce que cette machine est sûre » mais « est-ce que cette personne a le droit d’accéder à ça, pis comment je le vérifie ».

C’est un changement de philosophie profond. L’identité devient la nouvelle frontière. Plutôt que de bâtir un mur autour des machines, on bâtit des contrôles autour des gens: authentification forte, droits d’accès liés à la personne, vérification à chaque connexion. L’appareil devient presque secondaire — ce qui compte, c’est de prouver qui se cache derrière. Dans les environnements sensibles où je travaille, cette idée a un poids particulier: on ne peut plus présumer qu’un appareil est de confiance juste parce qu’il est dans le réseau.

Ce qui me frappe, c’est que ce passage n’est pas brutal — il est tranquille. Personne n’a annoncé un grand jour où la TI a perdu le contrôle. C’est arrivé un appareil à la fois, une demande raisonnable à la fois: « est-ce que je peux juste lire mes courriels sur mon téléphone? ». Pris isolément, chaque cas semble anodin. Mis ensemble, ils dessinent un monde où l’organisation ne maîtrise plus le matériel qui touche à ses données. La diversité des appareils ne demande pas la permission; elle s’installe par la petite porte.

Ce que je retiens en avril 2011, c’est qu’il ne sert à rien de résister à ce mouvement de front. Le bureau a perdu le contrôle des appareils, pis il ne le reprendra pas. La bonne réponse, ce n’est pas de s’accrocher à un monde où on possédait toutes les machines, mais d’accepter le nouveau monde pis d’y adapter sa défense. Si on ne peut plus faire confiance à l’appareil, alors investissons dans ce qu’on peut encore contrôler: l’identité, les accès, la preuve de qui fait quoi.

La suite, je la vois dans cette bascule assumée vers une sécurité centrée sur l’identité. C’est moins intuitif qu’un bon vieux pare-feu autour de machines connues, mais c’est la seule approche qui tient quand les appareils deviennent personnels, mobiles, incontrôlables. Le bureau perd le contrôle des appareils — pis en le perdant, il est forcé de redécouvrir que la vraie question de sécurité n’a jamais été la machine, mais la personne assise derrière.