Peut-on faire confiance aux enceintes connectées en entreprise  ?

Les enceintes connectées intelligentes pourraient prochainement pénétrer le monde de l’entreprise ; il est légitime de se poser la question des dangers que peuvent faire peser ces dispositifs sur les données du système d'information (SI). Forts de l’expérience acquise dans le cadre du BYOD, nous pouvons esquisser quelques pistes simples pour permettre une adoption en toute sécurité des enceintes connectées en entreprise.

Les enceintes connectées sont aujourd’hui essentiellement utilisées par des particuliers. Selon Médiamétrie, 1,7 million de Français ont adopté ces assistants vocaux[1]. De l’autre côté de l’Atlantique, Gartner prédit un taux d’équipement de 75% chez les foyers américains[2] à l’horizon 2020.

Si elles visent un marché grand public, les enceintes connectées devraient aussi rapidement se faire une place en entreprise. Au travers d’applications B2C tout d’abord, comme le marché des hôtels, où ces assistants permettront de faciliter l’accès à différents services depuis le hall d’accueil ou les chambres.

Mais également en environnement business, avec des scénarios de webconférences par exemple, pour lesquels l’enceinte connectée pourrait faire office d’interface, ainsi que de gestionnaire de la logistique des réunions et des agendas.

Il faut s’attendre à une multiplication rapide de services qui rendront ces terminaux indispensables, et donc de plus en plus difficiles à éteindre : commande de fournitures, appel au help desk IT, demande d’intervention, réservation de parking…

L’enceinte connectée pose divers problèmes de sécurité, dont certains sont inhérents au mode voix utilisé. Avec de l’échange de texte, il est possible de vérifier que des informations sensibles ne sont pas transmises. En revanche, cela est plus difficile avec la voix, qui nécessite une analyse d’autant plus précise que la tonalité d’une phrase peut aussi avoir une conséquence sur son sens. Sans parler de l’évolution déjà initiée vers des enceintes vidéo...

D’autres dangers sont liés à l’ouverture des enceintes connectées. Avec un assistant vocal comme Siri, l’utilisateur sait toujours quand il lui parle et les échanges ne se font qu’entre Siri et l’utilisateur. Et donc sans oreille indiscrète (sauf éventuellement en mode mains libres).

La multiplication des enceintes connectées dans des espaces ouverts, voire publics, pose plusieurs défis :

• l’utilisateur ne saura pas toujours qu’il est écouté par un tel dispositif, ce qui peut poser un problème de consentement ou de confidentialité des données;
• lorsque l’assistant vocal livrera des données personnelles à l’utilisateur, rien ne garantira qu’un tiers n’entendra pas cette réponse ;
• dans les cas extrêmes, des pirates pourraient directement modifier la configuration matérielle ou logicielle de ces objets puisqu’ils sont accessibles.

Tous ces problèmes deviendront d’autant plus cruciaux que la multiplication des services rendra les enceintes connectées de plus en plus présentes. Une approche « security by design » est donc indispensable pour réduire les risques de piratage. La gestion du consentement de l’utilisateur sera possible dans des espaces privés (chambre d’hôtel, salle de réunion), mais devrait rester un défi dans les lieux publics.

Les capacités des enceintes connectées sont de plus en plus étendues, avec tout un écosystème de services et de partenaires. Mais, contrairement à un smartphone, ces terminaux ressemblent à des boîtes noires, dont les services sont proposés directement, sans installation préalable d’applications de la part de l’utilisateur.

Ceci peut avoir un impact pour les entreprises mettant à disposition ces dispositifs. C’est immanquablement vers elles que vont se tourner les utilisateurs en cas de fuite de données chez l’un des partenaires (par exemple un service de messagerie). L’impact sur l’image de marque du fournisseur en cas de dérapage risque alors d’être important.

Le fournisseur de l’enceinte connectée doit donc choisir avec soin ses prestataires, afin de limiter les risques d’incident. Il doit valider les services de chacun de ses partenaires et faire attention au respect des données personnelles.

Pour des enceintes connectées à usage professionnel, un vrai business model pourrait apparaître autour des fournisseurs de services, allant jusqu’à la fourniture d’applications qui se connecteront au SI de l’entreprise. L’entreprise devra alors avoir la capacité d’influer sur les prestataires et services proposés. Ce contrôle pourra passer par une solution de protection des enceintes, extension de la gestion des terminaux mobiles, associée à un App Store privé, dont le contenu sera placé sous le contrôle de l’entreprise ou de son prestataire informatique de confiance, à l’instar d’IBM.

Dans le cadre d’environnements critiques, un traitement local de la voix (ou sur un Cloud privé) peut être envisagé. C’est la solution que tentent de proposer certaines start-up. Mais ce mode de fonctionnement deviendra difficile à répliquer lorsque ces assistants passeront à la vidéo, très gourmande en matière de puissance de traitement.

Quid des enceintes connectées grand public en entreprise ? 

De la même façon que les salariés ont apporté leur smartphone en entreprise, certains installent des enceintes connectées dans les bureaux. Faute de mieux, car il n’existe pas encore d’alternatives B2B.

Mieux vaut prendre en compte ce phénomène dès aujourd’hui. Tout comme avec les smartphones et tablettes, une stratégie d’interdiction n’est pas viable sur le long terme. Il faut accompagner plutôt qu’interdire. Tout d’abord en recensant les enceintes connectées installées, puis en menant une analyse des risques. Et enfin en n’oubliant pas que l’enceinte connectée est… connectée. Elle constitue donc un nouveau point d’entrée sur le réseau, qu’il faut gérer et sécuriser.

Les enceintes connectées apportent de vrais services utiles aux particuliers comme aux entreprises. Il n’est donc pas question de méfiance vis-à-vis de ces assistants, mais plutôt de prudence et de contrôle. Et aussi d’anticipation des risques. Il est rassurant à ce propos de constater que la CNIL s’est déjà penchée sur le phénomène des enceintes connectées. Elle propose ainsi un dossier détaillé[3] expliquant le mode de fonctionnement de ces assistants vocaux, les risques encourus, mais aussi les actions qu’elle entreprend afin de mieux encadrer l’exploitation des données privées des utilisateurs.