Sécurité des Réseaux Sociaux d'Entreprise : quels sont les risques ?

Si le Réseau Social d’Entreprise est considéré comme un moyen particulièrement important pour développer l’agilité des entreprises, un projet de RSE n’est pas anodin. Le volet de la sécurité de l’information doit y être pleinement intégré, et ce à plusieurs titres.

Les Réseaux Sociaux d'Entreprise (RSE) se portent bien et le secteur est particulièrement dynamique : rachat de Yammer et ensuite de Linkedin par Microsoft, lancement de «  Workplace by Facebook » conçu spécialement pour les besoins des entreprises, on notera la présence d’acteurs comme SalesForce qui proposent des fonctions de RSE intégrées dans leur plateforme de CRM (service de gestion de la relation client ou Customer Relationship Management).

Il existe aussi des solutions logicielles de RSE à déployer en interne du réseau d’une entreprise. Les solutions commerciales comme celles de Microsoft SharePoint ou encore Jive, pour ne citer que celles-ci, sont souvent utilisées, mais il existe aussi des technologies OpenSource comme par exemple Diaspora.

Ne pas avoir de RSE « officiel » c'est jouer le jeu du Shadow IT

Ne pas avoir de stratégie de RSE c'est encourager le développement du shadow IT ou l'informatique dite "grise". La DSI, et de façon plus large l'entreprise, va perdre le contrôle des applications utilisées par ses collaborateurs, et ultimement perdre le contrôle sur des informations potentiellement confidentielles ou critiques à ses activités.

Proposer à ses collaborateurs un RSE « officiel » est donc la première étape, que celui-ci soit externalisé ou opéré en interne. Ne rien faire c’est laisser se développer des « usages sauvages » de services externes avec tous les risques que cela peut comporter : fuite d’informations sensibles, propos ou comportements déplacés, absence d’animation ou de formation aux usages …

Modèle de déploiement

Faire le choix d’utiliser un RSE basé sur un service Cloud, c'est faire le choix de confier des informations particulièrement sensibles à un tiers. En effet, sur un réseau social d'entreprise, vous retrouverez rapidement une masse d'informations (dont certaines confidentielles) comme nulle part ailleurs dans votre entreprise. D’ailleurs, certaines entreprises voient le RSE comme un moyen de remplacer la messagerie électronique (email). Dans ce cas, le RSE doit être aussi sécurisé, voire même plus sécurisé que les serveurs de messagerie.

En termes d’adoption, les RSE d’acteurs comme Facebook ou de Microsoft feront facilement l’unanimité, simplement car leurs services sont déjà connus et utilisés depuis fort longtemps par leurs collaborateurs à titre privé. La courbe d'apprentissage pour passer à la version "Workplace" de Facebook est donc très douce. Cet argument aura un poids non négligeable lors du choix de la plateforme (réduction des couts liés à la formation des personnes, adoption de l’outil extrêmement rapide, si ce n’est immédiate, …). Néanmoins, il revient aux dirigeants de rester lucide dans leurs choix.

Concentration des données

Le déploiement et la promotion généralisés d’un RSE a pour effet de déclencher un phénomène de concentration d’informations de l'entreprise. L’accès à ces informations étant facilité via des fonctions de recherche modernes.

Pour les collaborateurs, c'est un « nirvana informationnel » : c'est l'accès à un océan de données sans avoir besoin de jongler entre plusieurs sites ou divers moteurs de recherche de sites intranet, dans de multiples directions.

Pour les personnes chargées de la sécurité de l’information, un RSE le parcours est plus complexe. En effet, les informations étant auparavant distribuées sur plusieurs sites, il était plus difficile pour un attaquant d'y accéder car il devait les localiser (au même titre qu’un collaborateur). En cas de compromission d’un RSE, un attaquant aura accès à l’ensemble des informations du fait de leur concentration. Les informations les plus sensibles ne devraient pas y être déposées ni discutées, ou alors via des mécanismes de sécurité dignes de ce nom (chiffrement, authentification renforcée, etc..).

Sur le plan réglementaire, la concentration de données sur un RSE peut poser problème. Le RSE peut héberger une quantité infinie de données non structurées potentiellement visibles pour de nombreuses années. Il est donc important de définir la durée de conservation des informations, de quelle façon les fichiers ou informations devenus caduques seront localisés pour être remplacés ou effacés …

La plateforme de RSE doit donc être couplée à une solution de gestion documentaire efficace, et non grâce à un simple moteur de recherche, aussi évolué soit-il. Parmi les fonctions importantes, il devra être possible de localiser les données clairement marquées comme étant sensibles ainsi que celles non marquées, mais étant sensibles, ceci afin de les retirer du réseau ou de procéder à leur sécurisation (changement des droits, chiffrement …)

De la nécessaire implication des utilisateurs

Les règlements intérieurs et chartes d’utilisation de l'outil informatique d'un nombre croissant d'entreprises intègrent désormais un volet relatif au "do et don't" sur les réseaux sociaux publics comme Twitter, Facebook, etc...

Dans le cadre d'un RSE, il est essentiel de fixer des règles de bon comportement, de dissocier les usages interdits des pratiques à encourager. Gardons à l’esprit que, même avec une charte en place, les risques que les personnes déposent sur le RSE des informations sensibles, voire confidentielles continuent d’exister. Les activités de sensibilisation et de formation à la sécurité de l’information dans le cadre du réseau social d’entreprise sont donc primordiales. Ces actions doivent être menées « dans la philosophie » d’un réseau social. Proximité, aspects pratiques, simplicité et bonne humeur sont donc de mise.

Entre aspects techniques, gestion de l’information et utilisateurs

La sécurité d’un réseau social d’entreprise ne s’improvise pas. Le choix de la plateforme (externalisé ou en interne) est la première décision clef. Au même titre que tout projet, une analyse de risques devra être réalisée pour définir les mesures de sécurité devant être mises en place (supervision sécurité, authentification renforcée …). Outre les fonctionnalités cœurs de la plateforme, les fonctions de découverte et de cartographie des informations sont à considérer avec attention – sans celles-ci il y a une forte probabilité que le RSE de deviennent un « monstre informationnel » difficilement contrôlable. L’implication des utilisateurs dans la gestion sécurisée de l’information est un volet essentiel et non trivial.

Jeff

Pour aller plus loin

Comment l'espace numérique de travail révolutionne l'expérience employé ?
Cloud Access Security Brokers (CASB) – Episode 1 : à la découverte du Shadow IT
Orange Cyberdefense protège vos essentiels
RSE : quelle place pour le manager ?

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens