Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité des Réseaux Sociaux d'Entreprise : quels sont les risques ?

Sécurité des Réseaux Sociaux d'Entreprise : quels sont les risques ?
2017-01-052017-01-05bonnes pratiquesfr
Si le Réseau Social d’Entreprise est considéré comme un moyen particulièrement important pour développer l’agilité des entreprises, un projet de RSE n’est pas anodin. Le volet de la sécurité de l’information doit y être pleinement intégré, et ce à plusieurs titres.
Publié le 5 Janvier 2017 par Jean-François Audenard dans bonnes pratiques
Visuel d'illustration

Si le Réseau Social d’Entreprise est considéré comme un moyen particulièrement important pour développer l’agilité des entreprises, un projet de RSE n’est pas anodin. Le volet de la sécurité de l’information doit y être pleinement intégré, et ce à plusieurs titres.

Les Réseaux Sociaux d'Entreprise (RSE) se portent bien et le secteur est particulièrement dynamique : rachat de Yammer et ensuite de Linkedin par Microsoft, lancement de «  Workplace by Facebook » conçu spécialement pour les besoins des entreprises, on notera la présence d’acteurs comme SalesForce qui proposent des fonctions de RSE intégrées dans leur plateforme de CRM (service de gestion de la relation client ou Customer Relationship Management).

Il existe aussi des solutions logicielles de RSE à déployer en interne du réseau d’une entreprise. Les solutions commerciales comme celles de Microsoft SharePoint ou encore Jive, pour ne citer que celles-ci, sont souvent utilisées, mais il existe aussi des technologies OpenSource comme par exemple Diaspora.

Ne pas avoir de RSE « officiel » c'est jouer le jeu du Shadow IT

Ne pas avoir de stratégie de RSE c'est encourager le développement du shadow IT ou l'informatique dite "grise". La DSI, et de façon plus large l'entreprise, va perdre le contrôle des applications utilisées par ses collaborateurs, et ultimement perdre le contrôle sur des informations potentiellement confidentielles ou critiques à ses activités.

Proposer à ses collaborateurs un RSE « officiel » est donc la première étape, que celui-ci soit externalisé ou opéré en interne. Ne rien faire c’est laisser se développer des « usages sauvages » de services externes avec tous les risques que cela peut comporter : fuite d’informations sensibles, propos ou comportements déplacés, absence d’animation ou de formation aux usages …

Modèle de déploiement

Faire le choix d’utiliser un RSE basé sur un service Cloud, c'est faire le choix de confier des informations particulièrement sensibles à un tiers. En effet, sur un réseau social d'entreprise, vous retrouverez rapidement une masse d'informations (dont certaines confidentielles) comme nulle part ailleurs dans votre entreprise. D’ailleurs, certaines entreprises voient le RSE comme un moyen de remplacer la messagerie électronique (email). Dans ce cas, le RSE doit être aussi sécurisé, voire même plus sécurisé que les serveurs de messagerie.

En termes d’adoption, les RSE d’acteurs comme Facebook ou de Microsoft feront facilement l’unanimité, simplement car leurs services sont déjà connus et utilisés depuis fort longtemps par leurs collaborateurs à titre privé. La courbe d'apprentissage pour passer à la version "Workplace" de Facebook est donc très douce. Cet argument aura un poids non négligeable lors du choix de la plateforme (réduction des couts liés à la formation des personnes, adoption de l’outil extrêmement rapide, si ce n’est immédiate, …). Néanmoins, il revient aux dirigeants de rester lucide dans leurs choix.

Concentration des données

Le déploiement et la promotion généralisés d’un RSE a pour effet de déclencher un phénomène de concentration d’informations de l'entreprise. L’accès à ces informations étant facilité via des fonctions de recherche modernes.

Pour les collaborateurs, c'est un « nirvana informationnel » : c'est l'accès à un océan de données sans avoir besoin de jongler entre plusieurs sites ou divers moteurs de recherche de sites intranet, dans de multiples directions.

Pour les personnes chargées de la sécurité de l’information, un RSE le parcours est plus complexe. En effet, les informations étant auparavant distribuées sur plusieurs sites, il était plus difficile pour un attaquant d'y accéder car il devait les localiser (au même titre qu’un collaborateur). En cas de compromission d’un RSE, un attaquant aura accès à l’ensemble des informations du fait de leur concentration. Les informations les plus sensibles ne devraient pas y être déposées ni discutées, ou alors via des mécanismes de sécurité dignes de ce nom (chiffrement, authentification renforcée, etc..).

Sur le plan réglementaire, la concentration de données sur un RSE peut poser problème. Le RSE peut héberger une quantité infinie de données non structurées potentiellement visibles pour de nombreuses années. Il est donc important de définir la durée de conservation des informations, de quelle façon les fichiers ou informations devenus caduques seront localisés pour être remplacés ou effacés …

La plateforme de RSE doit donc être couplée à une solution de gestion documentaire efficace, et non grâce à un simple moteur de recherche, aussi évolué soit-il. Parmi les fonctions importantes, il devra être possible de localiser les données clairement marquées comme étant sensibles ainsi que celles non marquées, mais étant sensibles, ceci afin de les retirer du réseau ou de procéder à leur sécurisation (changement des droits, chiffrement …)

De la nécessaire implication des utilisateurs

Les règlements intérieurs et chartes d’utilisation de l'outil informatique d'un nombre croissant d'entreprises intègrent désormais un volet relatif au "do et don't" sur les réseaux sociaux publics comme Twitter, Facebook, etc...

Dans le cadre d'un RSE, il est essentiel de fixer des règles de bon comportement, de dissocier les usages interdits des pratiques à encourager. Gardons à l’esprit que, même avec une charte en place, les risques que les personnes déposent sur le RSE des informations sensibles, voire confidentielles continuent d’exister. Les activités de sensibilisation et de formation à la sécurité de l’information dans le cadre du réseau social d’entreprise sont donc primordiales. Ces actions doivent être menées « dans la philosophie » d’un réseau social. Proximité, aspects pratiques, simplicité et bonne humeur sont donc de mise.

Entre aspects techniques, gestion de l’information et utilisateurs

La sécurité d’un réseau social d’entreprise ne s’improvise pas. Le choix de la plateforme (externalisé ou en interne) est la première décision clef. Au même titre que tout projet, une analyse de risques devra être réalisée pour définir les mesures de sécurité devant être mises en place (supervision sécurité, authentification renforcée …). Outre les fonctionnalités cœurs de la plateforme, les fonctions de découverte et de cartographie des informations sont à considérer avec attention – sans celles-ci il y a une forte probabilité que le RSE de deviennent un « monstre informationnel » difficilement contrôlable. L’implication des utilisateurs dans la gestion sécurisée de l’information est un volet essentiel et non trivial.

Jeff

Pour aller plus loin

Comment l'espace numérique de travail révolutionne l'expérience employé ?
Cloud Access Security Brokers (CASB) – Episode 1 : à la découverte du Shadow IT
Orange Cyberdefense protège vos essentiels
RSE : quelle place pour le manager ?

2 Commentaires

  • 9 Janvier 2017
    2017-01-09
    par
    JF Audenard
    Bonjour,
    Merci pour votre message et votre question.
    Pour les contenus mis en ligne sur un RSE (Réseau Social d'Entreprise), il ne devrait normalement (en théorie du moins) pas y avoir de contenu "très sensibles" (car sur un RSE les contenus sont à priori accessibles à toutes et à tous en interne de l'entreprise) - ces contenus de niveau de sensibilité "internes" pourraient tout à fait être traduits par des sociétés externes - sous couvert de clauses de confidentialité adaptées stipulées au contrat. Mais il est évident que cela ne pourra être systématiquement réalisé (trop couteux, certains contenus ne méritant pas d'être traduits, ...).
    L'autre option est d'utiliser un "logiciel de traduction automatisée" - et oui, il est exclu d'utiliser des outils externes (par exemple un Google Translate) car en faisant de la sorte les informations "fuiteraient". La traduction doit donc être réalisée via des outils "privés" (internes à l'entreprise) ou opérés par un "tiers de confiance". Dans l'éventail des solutions logiciels déployables en interne, on retrouve notamment la solution "Reverso" (http://www.reverso.net/) mais il en existe d'autres.
    Au-delà de proposer un tel service de traduction interne, l'entreprise doit le faire connaitre à ses utilisateurs (afin qu'ils ne se précipitent pas sur des outils externes dont ils ont l'habitude) - la "clef du succès" étant d'intégrer un bouton "traduction" directement dans les pages du Réseau Social d'Entreprise - ainsi une personne ne maitrisant pas la langue dans laquelle le contenu a été initialement créé pourra simplement (d'un clic) accéder à une version en Anglais, Allemand ou toute autre langue. Le "top du top" (cela existe-t-il, je ne le sait pas), serait que la traduction doit "transparente" pour l'utilisateur.
    Dans tous les cas, il faut passer et repasser le message vers les utilisateurs du RSE afin d'éviter des fuites d'information - causées par la barrière de la langue - un copier/coller est si vite arrivé... :-)
    Bonne continuation et à très bientôt.
    JF.
  • 6 Janvier 2017
    2017-01-09
    par
    Bob Froger
    Bonjour,
    Merci pour cet article très intéressant.
    A propos de sécurité, je me posais la question de la gestion du contenu multilingue, notamment dans le cadre d'une compagnie multinationale (comme Orange par exemple). D'un côté il est intéressant de rendre l'information accessible au plus grand nombre (donc si possible dans différentes langues), d'un autre côté le volume de données concernées est tel qu'il est exclu de recourir à des traducteurs, d'autant plus que ceux-ci sont fort probablement extérieurs à l'entreprise, et donc pas forcément habilités à manipuler les documents en question.
    Ceci laisse de la place pour le recours au Machine Translation - encore faut-il que cette machine soit elle-même bien contrôlée en termes de sécurité.
    Qu'en pensez-vous?
    Merci de votre point de vue,
    Cordialement,
    Bob

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage