Le nomadisme ravive la question de la confidentialité des données

Au-delà des abus de la NSA révélés par Edward Snowden, les écoutes sont une réalité dans de multiples lieux publics. Il est urgent de considérer le smartphone comme une extension du système d’information de l’entreprise.



Dans le monde du business, tout le monde est aujourd’hui habitué à respecter des règles de sécurité à l’intérieur des murs de l’entreprise. Quelle entreprise ne songerait pas à sécuriser ses accès avec un vigile, en distribuant des cartes d’accès à ses salariés ? C’est la même chose pour son informatique où un minimum est d’installer des firewalls pour empêcher l’accès aux informations internes de l’entreprise à tous. Tout le monde l’admet et tout chef d’entreprise, même dans une PME, même un particulier, est conscient du risque d’intrusion à partir du moment où un ordinateur est connecté à Internet. Ce risque, pourtant parfaitement compris dans le monde « sédentaire », est encore totalement ignoré en situation de mobilité. Or aujourd’hui, les managers, les cadres, les commerciaux sont de plus en plus nomades et ce besoin de confidentialité des données doit être étendu d’urgence aux terminaux mobiles.

Au changement des usages doivent répondre de nouvelles règles de confidentialité

C’est une évidence, les salariés passent désormais une énorme part de leur temps non plus assis derrière un bureau, mais à l’extérieur. 70% des cadres français ont adopté un mode de travail décentralisé[1].

Plusieurs raisons expliquent cela, notamment les outils de mobilité qui sont de plus en plus performants. Les capacités des applications mobiles vont désormais bien au-delà de ce que l’on peut réaliser sur un PC. Un autre élément fondamental et auquel personne ne peut rien, c’est le phénomène du BYOD (Bring Your Own Device). Les forteresses sont en train de tomber. Jusqu’à peu, un DSI pouvait encore imposer un modèle de smartphone à l’ensemble du personnel et un autre modèle haut de gamme pour la direction. Aujourd’hui, un tel dirigisme est totalement hors de propos. Tout le monde veut apporter son propre device dans son environnement professionnel. Tout le monde veut pouvoir se connecter au système d’information avec son smartphone, sa phablet ou la tablette de son choix.
La barrière entre outils professionnels et outils personnels a désormais totalement disparue.

Des salariés plus libres, mais mieux armés face aux enjeux de la confidentialité

Face à ce mouvement qui semble inéluctable, certains vont continuer à imposer à leurs employés des mesures drastiques et continuer à leur imposer le téléphone de l’entreprise. D’autres, comme  McKinsey récemment, choisissent d’ouvrir une conciergerie mobile et de donner des conseils à leurs salariés pour les aider à connecter leurs propres devices à l’entreprise. L’approche qui semble la plus intelligente reste encore de fixer des règles du jeu simples aux employés puis les aider à les appliquer.

Il faut absolument leur donner les moyens de protéger les données qui doivent rester confidentielles. Or on sait que les soucis liés à la confidentialité des données sont bien réels. On connait aujourd’hui les écoutes mises en place par la NSA. Que les Etats-Unis écoutent mes conversations téléphoniques n’a pas tellement d’importance si cela nous permet de prendre l’avion en toute sécurité. Néanmoins, il y a aujourd’hui de nombreux abus en matière d’écoutes. Quand vous êtes un exportateur, que vous vous déplacez dans le monde entier, on sait très bien que les accès Wifi de certains aéroports sont systématiquement écoutés. C’est vrai en Asie, dans le Maghreb et les révélations d’Edward Snowden ont montré que c’était aussi le cas de l’aéroport international de Toronto[2].
Quand vous vous connectez au Wi-Fi invité chez un client, un fournisseur, vous prenez aussi le risque de voir vos données interceptées. Tout récemment, un malware nommé Darkhotel a été détecté par les experts en sécurité informatique. Celui-ci venait s’installer sur les ordinateurs portables des hommes d’affaires habitués à fréquenter des hôtels de luxe afin de siphonner leurs mots de passe et leurs données confidentielles. Darkhotel a ainsi été signalé au Japon, à Taiwan, en Chine, en Russie et en Corée du sud. La nouvelle édition 2014 de l’étude Trustwave Global Security Report montre que le secteur hôtelier est tout particulièrement visé par les pirates informatiques. Il représente 11 % de l’ensemble des fuites de données recensées dans le monde, un taux en forte progression [3]. C’est bien plus que le monde de la finance par exemple.

Faire le tri entre ce qui est confidentiel et ce qui ne l’est pas

Lorsqu’on fait du business, que l’on doit échanger des données sensibles avec le siège, c’est un paramètre dont il faut absolument tenir compte. Une grande partie de nos conversations personnelles peuvent être écoutées, mais à certains moments, certaines doivent être absolument confidentielles. Quand vous allez négocier un contrat en Asie, connecter son ordinateur dans sa chambre d’hôtel pour travailler sur sa présentation PowerPoint ou sur le contrat, c’est prendre le risque qu’il soit intercepté et, pourquoi pas, revendu à votre concurrent avant même que vous ayez eu le temps de conclure l’affaire. C’est à ce moment qu’il faut absolument disposer des moyens techniques performants qui vont permettre d’assurer la confidentialité de cet échange. On doit pouvoir transposer les règles de sécurité et de confidentialité qui ont été mise dans l’entreprise auprès de tous les employés en situation de mobilité. Le smartphone est aujourd’hui, qu’on le veuille ou non, une extension du système d’information de l’entreprise et il faut pouvoir en assurer la confidentialité comme tel.


----------
[1] Etude Apec Janvier 2014 / http://www.fedoffice.fr/nomadisme-au-travail-les-salaries-se-decentralisent
[2] Canadian spy agency gleaned passengers’ data from airport’s Wi-Fi: CBC, The Star, 30 janvier 2014
[3] 2014 Trustwave Global Security Report / http://www2.trustwave.com/rs/trustwave/images/Trustwave_GSR_ExecutiveSummary_4page_Final_Digital.pdf

Asie / Etats-Unis