Collaboration : le dilemme entre facilité d’utilisation et sécurité
Avec l’adoption des outils collaboratifs, les employés partagent, sans même s’en rendre compte, de nombreuses informations sensibles. Il s’agit d’une véritable faille de sécurité pour les entreprises. Comment relever ce défi ?
Bien que les solutions applications collaboratives soient plaisantes et simples à utiliser, elles manquent bien souvent des contrôles de sécurité internes nécessaires. Traditionnellement, les administrateurs peuvent protéger par mot de passe un document dans un mail avant de l’envoyer, ou envoyer des noms d’utilisateurs et leurs mots de passe dans des messages distincts. Mais ces fonctionnalités disparaissent dès lors que l’on bascule sur une plateforme collaborative.
Il est facile pour les entreprises de perdre leur propriété intellectuelle par accident ou par négligence, mais c’est encore plus facile sur ces applications. Quand ces données sont partagées en dehors du périmètre de l’entreprise, au sein de réseaux tiers toujours plus complexes, le risque de voir des données sensibles tomber entre de mauvaises mains ne fait qu’augmenter.
Des failles de sécurité réelles et sérieusesEn 2017, Slack* a déclaré avoir corrigé une faille sur sa plateforme qui aurait pu donner à des pirates un accès total à l’historique. Tous les fichiers sensibles partagés par les employés auraient ainsi pu ainsi être récupérés par un éventuel attaquant ; une faille de sécurité majeure pour les entreprises. L’exposition de ces informations pourrait être tout aussi préjudiciable qu’une attaque d’hameçonnage réussie.
En juin dernier, Microsoft a ainsi fait la une des journaux**, après la publication d’un rapport interne qui dissuadait ses employés d’utiliser Slack. Bien qu’il soit logique que Microsoft souhaite que ses employés utilisent Teams - son propre logiciel - le rapport prévenait que Slack ne fournissait pas les contrôles nécessaires pour protéger la propriété intellectuelle de Microsoft.
Pour les entreprises, perdre sa propriété intellectuelle est toujours un risque, mais celui-ci est aujourd’hui amplifié par les applications de collaboration, où les employés s’échangent volontiers des données sensibles***. TeamViewer, un logiciel de collaboration qui facilite le partage de bureaux à distance, les réunions en ligne et le transfert de fichiers, a rencontré un problème de cet ordre. En 2017, le logiciel a émis un correctif d’urgence pour un bogue, qui aurait pu permettre à des attaquants d’accéder aux sessions de bureau
Entre facilité d’utilisation et sécuritéLes outils de collaboration permettent aux utilisateurs de partager instantanément un nombre illimité d’informations. Mais, si la facilité d’utilisation est une bonne chose, moins nous consacrons de temps à quelque chose, moins nous y prêtons attention. Dans un mail classique, il fallait faire l’effort de prendre une capture d’écran, de l’enregistrer puis de la joindre au message. Ce processus laissait ainsi le temps de réfléchir à la pertinence du partage de cette image. Avec des outils comme Slack, tout le monde peut copier un élément, appuyer sur un raccourci clavier et le voir intégré à un service cloud. L’expérience a prouvé que tout ce qui est mis sur internet y reste ; cette simplicité de partage peut donc être préjudiciable.
Dans les entreprises fortement structurées, l’adoption de nouveaux outils ne peut se faire sans réaliser auparavant un processus d’achat et de test rigoureux. Les systèmes cloud et les applications collaboratives doivent suivre les mêmes processus que les applications conçues pour protéger une entreprise contre les risques. Au lieu de cela, nous voyons souvent des équipes utiliser des outils de collaboration qui répondent à leurs besoins avec un minimum de supervision des équipes informatique et de gouvernance.
Vers la mise en place d’un contrôle plus rigoureuxLes applications de collaboration manquent actuellement de contrôles ; et ne comportent aucune fonctionnalité d’audit. En cas de problème, il est donc difficile de dire d’où vient l’erreur. La supervision doit permettre d’atténuer les pires problèmes associés à ces services, du moins jusqu’à ce qu’ils parviennent à répondre au besoin de ségrégation et de sécurité des entreprises. Il peut être nécessaire pour les administrateurs d’indiquer que toutes les données sont destructibles lorsqu’elles sont publiées sur des services cloud — une mesure qui garantit que ces données ne peuvent exister que pendant une courte période.
Les entreprises doivent être conscientes non seulement du type d’informations partagées sur ces outils, mais également de la manière dont les employés les partagent. Les organisations, quant à elles, doivent veiller à ce que les applications utilisées utilisent un chiffrement de bout en bout. Enfin, les administrateurs doivent également s’assurer que toutes les pièces téléchargées sont protégées, de sorte qu’elles ne puissent être ouvertes que par le destinataire.
Pour conclure, les outils de collaboration sont incontournables aujourd’hui. Pourtant, si une entreprise tient vraiment à protéger ses données, ces outils doivent être utilisés de manière professionnelle, là où ils constituent une extension de la suite d’applications traditionnelle déployée et gérée par le service informatique. Pour éviter toute perte de données, les outils doivent être strictement encadrés en fonction de leur utilisation et des données pouvant y être stockées.
* Source** Source
*** Source