Quand les usages personnels s’immiscent dans la vie professionnelle
« Dans le monde mobile, les nouveaux usages et applications sont souvent créés en réponse aux besoins grand public, pour être déclinés, plus tard, dans la sphère professionnelle. Mais leur déploiement ne tient pas toujours compte des politiques de sécurité de l’entreprise. Pourtant les menaces sont multiples : erreurs de manipulation, vols de données, accès aux informations confidentielles de l’entreprise… », explique Jean-François Audenard.
La DSI doit gérer les conséquences du « shadow IT » : des usages « fantômes » déployés à son insu et qu’elle ne maîtrise pas, d’applications qu’elle n’a pas sélectionnées ni validées et pour lesquelles elle n’a pas d’alternative. Deux exemples typiques : les applications de stockage dans le Cloud, comme Dropbox, GDrive, Box, etc., ou encore les applications de messagerie instantanée comme WhatsApp, Signal, etc.
1 application SaaS sur 3 environ est déployée sans l’accord de la DSI
Selon une étude Frost & Sullivan, plus de 80 % des employés reconnaissent qu’ils utilisent des outils informatiques non homologués par leur DSI. Sur 20 applications SaaS utilisées en moyenne par une entreprise, 7 n'ont pas été choisies et validées par la DSI ! Ces applications sont disponibles dans le Cloud, peuvent être utilisées depuis un sur mobile ou un desktop, et sont souvent choisies par les utilisateurs dans une version basique et gratuite. Des outils sont disponibles pour gérer au mieux cette situation comme le « Mobile Device Management » qui détecte les applications non conformes installées sur mobile ou encore le « Mobile Application Management » qui isole les applications d’entreprises dans un container sécurisé.
Des politiques de sécurité plus difficiles à maîtriser en mobilité
Pour éviter les risques engendrés par des comportements inadaptés de l’utilisateur, un processus d’éducation aux bonnes pratiques est nécessaire.
« S’il est possible de référencer l’ensemble des services Cloud et applications utilisés depuis des postes de travail et ordinateurs portables de l’entreprise et connectés au réseau interne, l’exercice devient plus compliqué pour des périphériques mobiles : smartphones et tablettes, appartenant ou non à l’entreprise mais utilisés à titre professionnel, qui se connectent à des réseaux divers : 3G/4G, hotspots Wifi, réseau du domicile de l’utilisateur, partage de connexion, etc. », souligne Jean-François Audenard.
Il faut avant tout sensibiliser, informer et former pour :
- faire prendre conscience à l’utilisateur de son rôle clé dans la sécurité de ses données, et de celles de l’entreprise.
- limiter le nombre d’applications téléchargées au strict nécessaire.
« Le discours doit être simple mais pas simpliste, et très concret. Par exemple, on pourra rappeler que lorsque l’on se connecte via un wifi public, il faut toujours utiliser un logiciel de VPN pour éviter le risque d’écoute passive. Impliquer l’utilisateur, en s’appuyant sur des usages personnels qui lui parleront davantage, est aussi une bonne idée. Par exemple ? Prouver à un utilisateur que l’on parvient à accéder à des informations confidentielles hébergées sur un réseau social. C’est le meilleur moyen de l’initier aux enjeux du paramétrage des outils, à l’importance des mots de passe, etc. », explique Jean-Luc Moliner.
Écouter les utilisateurs et cadrer les usages
L’entreprise ne pourra reprendre le contrôle des applicatifs utilisés qu’en restant à l’écoute des utilisateurs, pour proposer une solution à chaque besoin. Ces applications « validées » seront proposées via un « store applicatif privé », interne, sur lequel les collaborateurs pourront télécharger des applications selon leurs besoins. La DSI sélectionnera les applicatifs selon des critères stricts, exigeant par exemple le chiffrement systématique des fichiers dans l’application avant qu’ils ne soient envoyés vers le Cloud.
« Les usages se développent rapidement. Les DSI peinent à suivre la cadence pour proposer des alternatives viables aux applications grand public. Si l’entreprise ne souhaite pas que les collaborateurs utilisent WhatsApp ou Dropbox pour communiquer et échanger des informations internes, que proposez-vous comme alternative ? Cette question est loin d’être simple ! », insiste Jean-Luc Moliner.
La DSI peut, lorsqu’un terminal de l’entreprise (smartphone, tablette…) est utilisé à la fois pour des usages personnels et professionnels, opter par exemple pour une solution de containerisation, qui isole données professionnelles et personnelles. « Une solution de containerisation modère les risques, car les données de l’entreprise restent cloisonnées. L’utilisateur ne peut pas, par exemple, transmettre un fichier interne à l’entreprise vers un service de stockage externe non répertorié. Pour que la containerisation soit efficace sur le plan de la sécurité, le store applicatif de l’entreprise doit être suffisamment riche, et pertinent », explique Jean-François Audenard.
Des alternatives sécurisées, souvent méconnues
Les collaborateurs ne connaissent que très peu les alternatives fiables aux outils les plus fréquemment utilisés. « Par exemple, Doodle, application très plébiscitée pour organiser des réunions, est facile à pirater. Pourtant, une association loi 1901, Framasoft, propose avec Framadate un équivalent totalement sécurisé, dont les serveurs sont hébergés en Allemagne. C’est aussi à la DSI de rechercher, et proposer, ces alternatives sûres », conclut Jean-Luc Moliner.