Accueil > En savoir plus > BYOD, cloud, réseaux sociaux… Attention à la sécurité !

BYOD, cloud, réseaux sociaux… Attention à la sécurité !

BYOD, cloud, réseaux sociaux… Attention à la sécurité !

De plus en plus de collaborateurs utilisent leurs appareils personnels en entreprise et se connectent au cloud et aux réseaux sociaux dans un contexte professionnel. Comment garantir la sécurité de ces nouveaux usages ? Mauro Israel, consultant formateur Demos et responsable du pôle audit sécurité et tests d’intrusion chez Fidens, dresse la liste des risques et donc des bonnes pratiques à adopter.

Nouveaux usages : la fin de l’étanchéité entre vie privée et vie professionnelle

Les nouveaux usages remettent en question les modèles classiques de protection des systèmes d’information et des infrastructures réseaux et télécoms.

    ● Facebook, Twitter, Linkedin, Viadeo… Vous le savez, les réseaux sociaux ont envahi notre quotidien, privé comme professionnel.

    ● L’utilisation des smartphones et des tablettes explose en France : en 2012, en moyenne, 29 % des Français étaient ainsi équipés d'un smartphone et 8 % d'une tablette (+ 12 points chez les cadres supérieurs et + 11 points chez les revenus les plus élevés en un an)[1].

    ● Cette explosion est parallèle à celle de la tendance BYOD (pour « Bring Your Own Device »), qui désigne la pratique consistant à utiliser ses équipements personnels (téléphone, ordinateur portable ou encore tablette électronique, donc) dans un contexte professionnel.

    ● Le télétravail et les situations de mobilité connaissent un essor sans précédent : avec le « cloud », il est désormais possible d’accéder aux données via des applications Web, à des services comme la messagerie, la bureautique et certaines applications métier (paie, comptabilité, gestion de la relation clients…). Une connexion Internet et un simple navigateur Web suffisent pour travailler en tout lieu et à tout moment.

 

Portés par la génération « Y » (les jeunes adultes), qui représentera pas moins de 40 % des actifs en 2015, ces nouveaux usages tendent tous vers le même dénominateur commun : le floutage entre vie privée et professionnelle et une interaction permanente entre ses deux univers auparavant étanches.

La question, dès lors, n’est pas de s’opposer à ces usages (qui le pourrait ?), mais plutôt de se demander comment faire pour qu’ils répondent à un niveau de sécurité et de contrôle supérieur – ou au moins égal – à celui qui était possible avant leur avènement.

De nouveaux usages = de nouveaux modes de sécurisation

Pour déterminer de quelle manière instituer de nouveaux modes de sécurisation, il est nécessaire d’observer sur quels éléments repose la sécurité du SI. Ces critères, au nombre de quatre, peuvent être compris sous l’acronyme DICP (disponibilité, intégrité, confidentialité, preuve – ou traçabilité).

La disponibilité

Les nouveaux usages augmentent-ils ou diminuent-ils la disponibilité des données ? Que se passera-t-il si la connexion Internet tombe ? Dans le cadre de l’informatique traditionnelle, pas le choix : il faudra arrêter de travailler, puisque la quasi-totalité du travail repose sur la réception et l’envoi d’e-mails nécessitant une connexion Internet. Sauf qu’avec le cloud, les terminaux permettant d’y accéder (via une connexion 3G, par exemple) ou encore les moyens externes de se connecter (cybercafé, point d’accès WiFi, connexion domestique personnelle), il est tout de même possible de travailler.

Conclusion : les nouveaux usages augmentent donc la disponibilité des données. Si on ne fait rien pour en assurer la sécurité, cette dernière se verra donc inéluctablement diminuée. La première action à mettre en place : un chiffrement des données et des flux, auparavant optionnel, qui devient désormais obligatoire sur les supports amovibles et portables. Les ordinateurs portables, clés USB ou encore disques durs externes doivent pouvoir être chiffrés pour que les informations sensibles et confidentielles dont ils assurent le transport et le stockage soient bien rendues inaccessibles à un tiers en cas de vol ou de perte du matériel. Dans ce dernier cas, on notera également la possibilité d’utiliser des logiciels aptes à géolocaliser les appareils et éventuellement à détruire les données à distance en cas de vol ou de perte, sécurisant très nettement la mobilité tout en garantissant un taux très faible d’interruption de service.

La confidentialité

Comment s’assurer que les données stockées dans le cloud soient consultées uniquement par les personnes qui y sont autorisées ? En matière de confidentialité, ce sont les accès qui doivent être protégés. On commencera par vérifier que l’écran d’authentification aux fournisseurs de messagerie et aux services de cloud est bien apporté en « https » (le flux est chiffré) et non en « http » (en clair).

On considérera ensuite la confidentialité sur les serveurs du fournisseur. Ces derniers sont-ils bien protégés des attaques de piratage ? Un simple « login-passoire » (constitué d’un identifiant et d’un mot de passe souvent très facile à trouver) ne saurait en être garant. Un système d’authentification forte « double canal » saura quant à lui garantir la confidentialité et l’intégrité des données transmises. Le principe (obligatoire pour les banques depuis 2008, lors du protocole sécurisé de paiement par internet 3-D Secure) : envoyer à l’utilisateur, par SMS, un mot de passe valable une seule fois, lui permettant alors de se connecter via son navigateur Internet. Pour pirater le compte, il faudra non plus avoir uniquement la crédentité (login-mot de passe) d’accès au compte, mais aussi avoir simultanément accès au téléphone portable ou au smartphone de l’utilisateur contenant le SMS valable une fois. Le fait d’envoyer un élément par Internet et l'autre par le réseau téléphonique GSM, en mode « double canal » rend l’attaque bien plus difficile. Face à ces moyens de double canal ou bien également biométriques (empreinte digitale) ou de possession physique (carte à puce, clef USB, token, etc.), autant dire que les pirates voient leurs chances fortement diminuées d’aboutir dans leur démarche nuisible.

La preuve (ou traçabilité)

Cela va sans dire, il serait fort dommageable qu’un salarié de l’entreprise puisse récupérer des données sensibles et confidentielles et les fournir, par exemple, à la concurrence ou aux médias. Pour contrer ce phénomène de « trahison interne », il existe pourtant une possibilité : être capable de suivre et de tracer les données (« data leak prevention »). Il s’agira dès lors d’ajouter des services de sécurité comme la preuve d’identité et la traçabilité (quand, avec quoi) de la personne qui a copié des fichiers, la délivrance de crédentités (identité numérique) par des systèmes d'interaction avec les ressources humaines seules garantes de la réalité de l'utilisateur, ou encore la détection de fraudes ou d'accès anormaux (par exemple la recopie de toute la base clients par un commercial ou un informaticien)… L’installation de tatouages numériques (ou « watermarking »), consistant à insérer une signature invisible et permanente à l’intérieur des images numériques transitant par les réseaux, permet de lutter avec une grande efficacité contre la fraude et le piratage, et d’assurer la protection des droits de propriété intellectuelle.

En conclusion, si l’ensemble de ces mesures de gestion et de réduction des risques est respecté, les nouveaux usages peuvent être intégrés de manière aussi sûre, voire meilleure, qu’auparavant. Au niveau juridique ou informatique, il est clair que la séparation nette entre la vie privée et les données de l’entreprise n’est plus envisageable : sur la base de ce constat, les entreprises ont pour devoir de sensibiliser la génération suivante (la génération « Z », à savoir les « ados » d’aujourd’hui), née avec Internet, les smartphones et hyper-connectée, pour éviter les dérives qui pourront être occasionnées à sa prise de pouvoir en entreprise à l’horizon 2025.

[1] Selon les résultats de la 10ème enquête annuelle sur la diffusion, en France, des technologies de l’information et de la communication, présentés le 10 décembre 2012 par l’Arcep, le régulateur des télécoms, et le CGEIET (Conseil général de l’économie, de l’industrie, de l’énergie et des technologies).