Protéger ses données à l'ère de la "Gig Economy "

Bien que ce développement de la Gig Economy puisse profiter à de nombreuses entreprises qui en ont besoin, il est important que celles-ci évaluent les risques d'utiliser des travailleurs indépendants.

Alors que la main-d'œuvre continue d'évoluer et de s'adapter à la pandémie de COVID-19, la porte est ouverte aux entreprises qui souhaitent embaucher des travailleurs de toutes les régions du pays pour utiliser leurs compétences à distance selon les besoins, souvent en tant qu’indépendant ou en tant que travailleur intérimaire. Bien que ce développement de la Gig Economy puisse profiter à de nombreuses entreprises qui en ont besoin, il est important que celles-ci évaluent les risques d'utiliser des travailleurs indépendants.

La "Gig Economy" fait référence à la tendance des travailleurs à devenir des entrepreneurs indépendants qui utilisent leurs compétences pour travailler pour différentes entreprises en même temps. La croissance des plateformes en ligne et l'acceptation des travailleurs à distance par les entreprises font qu'il est plus facile que jamais de travailler pour plusieurs entreprises en même temps. La Gig Economy représente un grand changement dans la façon dont nous pensons et gérons les travailleurs à distance. En France, près de 3 millions de personnes exercent déjà aujourd’hui une activité indépendante, à titre principal ou en complément d’une activité salariée. L’indépendance à laquelle il est fait référence est purement formelle et relève d’une approche juridique liée au statut de ces travailleurs : n’étant pas salariés, ils ne sont pas engagés par un quelconque contrat de travail et, en conséquence, n’entretiennent pas de lien de subordination avec un employeur dans le cadre de leur activité. Cette modalité d’emploi concerne aujourd’hui 12% des personnes en emploi. Le monde entier se demande à quoi ressemblera la "nouvelle normalité", mais la plupart s'accordent à dire que nous ne verrons pas 100 % du personnel retourner dans les bureaux. Compte tenu de l'accélération du travail à distance et de la croissance du Gig Economy, il faut changer de stratégie en matière de protection des données.

Uber a créé un secteur industriel entièrement nouveau en utilisant des "free-lances" pour constituer la main-d'œuvre. Ces entrepreneurs indépendants (actuellement en conflit en Californie) fixent leurs propres horaires et utilisent la plateforme Uber pour se connecter avec les clients. Cela a entraîné un changement fondamental dans la répartition des travailleurs, qui sont passés de chauffeurs de taxi à temps plein à une armée de chauffeurs à temps partiel d'Uber et Lyft.

Changer les préoccupations concernant l'accès et le contrôle

En quoi la Gig Economy diffère-t-elle de la situation actuelle ? Du point de vue de l'accès et des contrôles, il peut sembler qu'il n'y ait pas beaucoup de différences. Ou bien y en a-t-il une ? 

Par le passé, nous avons engagé des contractants d'une entreprise de sous-traitance que nous avons contrôlée et pour laquelle nous exigeons une vérification de leurs antécédents. Contrairement aux fournisseurs ou entrepreneurs habituels, dont nous exigeons la mise en place de contrôles de sécurité des terminaux tels que la Endpoint détection & response (EDR), les disques durs cryptés, la gestion des correctifs, les mots de passe forts et l'utilisation de tunnels cryptés pour accéder à nos systèmes, les travailleurs de la nouvelle Gig Economy n'ont souvent pas ces contrôles sur leurs systèmes. En effet, ils utilisent leur appareil personnel pour travailler pour plusieurs entreprises, et ne respectent aucune des exigences de sécurité et causent des maux de tête aux équipes de sécurité.

Dans le cadre de la Gig Economy, les travailleurs disposent d'une certaine flexibilité en ce qui concerne leur emploi du temps et leur charge de travail, et les entreprises peuvent bénéficier de l'expertise de travailleurs qualifiés dans un contexte de numérisation des entreprises qui évolue rapidement. Cependant, il y a plusieurs préoccupations et défis majeurs en matière de sécurité à prendre en compte, tels que : Dans quelle mesure les indépendants ont-ils accès à des informations sensibles ? Accèdent-ils aux données nécessaires en toute sécurité ? Comment les équipes de sécurité surveillent-elles les menaces qui pèsent sur les travailleurs qui peuvent également travailler pour leur concurrent ?

Les indépendants travaillent probablement avec de nombreuses entreprises différentes en même temps. Avec chacune de ces entreprises et projets, ils peuvent stocker des informations sensibles sur leurs systèmes.  S'il s'agit d'un spécialiste que l’on engage, il peut réutiliser les recherches, les idées de programmation, les concepts de marketing, etc. pour une autre entreprise, peut-être même pour un concurrent. Cette tendance à utiliser les travailleurs de la Gig Economy est en augmentation, et la pandémie n'a fait qu'accélérer les choses.

Travailler en free-lance sur site

Par ailleurs, il est possible que des employés à temps plein participent également à la Gig Economy. En combinant la main-d'œuvre de la Gig Economy et la main-d'œuvre éloignée qui est également en croissante, un nouveau vecteur de menaces apparaît. Lorsque les collaborateurs d’une entreprise travaillent dans un bureau traditionnel, il existe une barrière naturelle qui les empêche de travailler sur d'autres projets de l'entreprise pendant la journée. Les contrôles de sécurité du réseau local limiteront leur capacité à accéder aux systèmes d'une entreprise externe. Dans les bureaux de type "open space", il est difficile d'avoir une conversation avec un autre employeur. Mais s'ils travaillent à domicile, comment savoir s'ils travaillent pour d'autres entreprises ou même pour un concurrent ? Pour revenir à l’exemple précédent, il est fréquent que les chauffeurs de Uber conduisent aussi pour Lyft, un concurrent direct.

La croissance de la Gig Economy, où le travail en free-lance est devenu la norme, soulève la question suivante : comment les entreprises vont-elles appréhender le travail de leur personnel en télétravail ? Un véritable entrepreneur travaillera à partir d'un dispositif BYOD et les contrôles appropriés seront mis en place autour de leur accès et de leurs capacités à accéder à des données sensibles. Mais qu'en est-il de l'employé à temps plein qui décide de gagner un peu d'argent supplémentaire à la maison en travaillant en free-lance ?  Comment détecter qu'un employé passe désormais une part importante de son temps à travailler sur les projets d'une autre entreprise ? 

La Gig Economy représente une nouvelle menace pour les systèmes qui fonctionnent dans l'environnement de travail à distance. Comment les entreprises peuvent-elles s’assurer que leurs secrets ou leur propriété intellectuelle ne sont pas accidentellement ou délibérément utilisés pour améliorer les produits et services d'entreprises concurrentes ?

Sécuriser son information dans la Gig economy

Il n'existe pas de stratégie parfaite, mais il existe certainement des capacités essentielles pour gérer la sécurité des travailleurs de la Gig Economy : l'accès au réseau ZTNA (Zero Trust Network Access) et la surveillance active en ligne des clouds et la protection des données. Avec le ZTNA, l’entreprise peut gérer l'accès aux ressources clés et ajuster les droits d’accès en fonction du comportement, du dispositif, de l'emplacement et de la sensibilité des données. Grâce à la surveillance en ligne et en temps réel des clouds et à l'analyse du comportement des utilisateurs, il est possible de détecter les changements d'utilisation et d'empêcher la circulation de données sensibles. La mise en œuvre d'une solution de service d'accès au cloud (CASB) avec prévention avancée des fuites de données (DLP) fournira la visibilité et la protection nécessaires aux données sensibles de l’entreprise.

Il est temps de réorganiser les règles de lutte contre les délits d'initiés. Les entreprises doivent s’attendre à ce que leurs projets sensibles soient confiés à des indépendants qui auront accès à leurs données sensibles et qui travailleront pour des concurrents. Il est donc important de changer la façon dont les collaborateurs d’une entreprise accèdent et manipulent les données en limitant l'accès aux systèmes de collaboration dans le Cloud.  Les organisations pourront avantageusement mettre en place des contrôles étroitement liés à vos informations sensibles, limiter l'édition, la création et la copie dans le cadre du système de collaboration en ligne approuvé par l'entreprise. Et surtout, il va être important de ne pas autoriser le téléchargement.