(0)
Bonnes pratiques

Cloud et Sécurité : éviter l’ingérance dans la vie privée des utilisateurs

  • Anura Kahol
    CTO, Bitglass

Le Cloud a changé la façon dont les entreprises conçoivent leurs infrastructures informatiques. Il leur offre de nombreux avantages, mais les confrontent à de nouveaux défis, dont celui du respect de la vie privée. Les données qui sont envoyées, traitées et stockées sur des machines à distance sont des informations personnelles sur l’utilisateur et s’avèrent être, dans certains cas, des informations sensibles.

Ceci soulève alors trois interrogations : Tout d’abord, les utilisateurs ont-ils conscience des risques relatifs à leurs données ? Ensuite, à quelles fins les entreprises utilisent-elles les données qui leurs sont confiées par les particuliers ? La réponse à cette dernière question se trouve souvent dans les conditions générales d’utilisation. Mais la troisième question est plus sensible : comment trouver le juste équilibre en terme de risques encourus ? Faut-il conserver en local les données sans forcément avoir la certitude de disposer des compétences qui permettront de les protéger ? Ou faut-il prendre le risque les confier à une entreprise spécialisée, mais qui représente une cible potentielle pour des pirates puisqu’elle concentre une très grande quantité de données ?

Utiliser une solution SaaS dépend du risque que l’entreprise est prêt à prendre … ou pas !

Ce qui est certain, c’est que le service Cloud doit avoir accès à ces données, et les architectures de cloud computing s’appuient justement sur le stockage et le traitement des données en dehors de l’ordinateur. Et cet intérêt a grandi avec l’émergence des smartphones et la possibilité offerte de pouvoir utiliser des applications et contenus quel que soit l’appareil sur lequel on se trouve.

Dans ces conditions, est-il alors possible de faire co-exister Cloud et respect de la vie privée en entreprise ?

Mobilité et sécurité : respecter la vie privée

Les équipements professionnels mis à disposition des employés composent aujourd’hui un élément essentiel de l’informatique d’entreprise. Qu’on le veuille ou non, les entreprises tirent profit de la permission donnée à leurs collaborateurs de travailler à distance, ce qui les incite à adopter le Cloud et le Mobile. Pour autant, cela ne veut pas dire que la sécurité n’est pas prise en considération. Cela signifie simplement que certaines politiques et certaines solutions de sécurité mobiles vont s’opposer à la culture de la productivité, de la liberté et de la flexibilité que les entreprises cherchent à développer. Nous vivons à une époque où la vie privée est de plus en plus importante et les directions informatiques doivent donc trouver un meilleur équilibre entre mobilité, vie privée et sécurité.

Les équipes en charge de la sécurité doivent protéger les données de l’entreprise sur les équipements mobiles afin de limiter les fuites et de se conformer aux règlementations de protection des données. Pour y parvenir, l’approche traditionnelle se compose d’une vérification complète de la sécurité et l’installation de solutions de gestion des périphériques mobiles (MDM) ou de logiciel de gestion des applications mobiles (MAM) sur les équipements personnels. Elle s’accompagne du déploiement d’agents sur les téléphones et tablettes des employés qui donne aux équipes informatiques le contrôle effectif de tout le trafic en direction et depuis l’appareil.

Au départ, la mise en place et la gestion des solutions MDM / MAM relève du casse-tête logistique. Les équipes informatiques doivent installer le logiciel sur des milliers de périphériques potentiels, puis s’assurer qu’ils sont régulièrement mis à jour et disposent des informations les plus récentes sur les menaces. Cette méthode de déploiement implique de placer un agent sur le périphérique personnel de chaque employé et de l’utiliser pour forcer toute activité par le biais du réseau de l’entreprise. Il permet à la direction informatique de garder un œil sur les données de l’entreprise, mais signifie également que l’ensemble des activités personnelles de l’utilisateur – banque, réseaux sociaux, ainsi que bien d’autres informations non pertinentes – transitent via le réseau de l’entreprise.

Une expérience récente a permis de démontrer qu’un membre de la direction informatique peu scrupuleux pourrait ainsi surveiller et contrôler un périphérique personnel sans que son propriétaire en soit informé. En acheminant le trafic via les mêmes proxy que ceux utilisés pour gérer les périphériques et effectuer les audits de sécurité, il est possible de recenser l’activité de navigation et même de transmettre les informations de connexion à la société. Il est également possible de surveiller les communications entrantes et sortantes et de forcer le GPS à rester actif afin de tracker la position et les trajets d’un employé en dehors de l’entreprise, voire de restreindre à distance les fonctionnalités de l’appareil. Si un employé venait à quitter l’entreprise, celle-ci pourrait procéder à une réinitialisation complète de l’appareil, ce qui signifie que l’ensemble des données (contacts personnels, photos, vidéos) seraient effacées.

Les temps changent et les utilisateurs sont de plus en plus informés et concernés sur tout ce qui concerne leur vie numérique et la façon dont leurs données personnelles sont distillées au travers de leurs activités sur internet. Entre les fuites de données évoquées dans les médias et les règlements émergents qui ont été créés pour aider à redonner du pouvoir aux utilisateurs, il n’est pas surprenant que le respect de la vie privée soit une préoccupation croissante. Si bien que la mobilité, même si elle est considérée comme une source d’augmentation de la productivité (82%), représente pour plus de 37% des employés un danger pour la sécurité des donnée[1]. Une autre étude récente[2] a également révélé que plus de la moitié des employés choisissent de refuser l’appareil personnel mis à leur disposition par leur entreprise car ils craignent une violation de leur vie privée.

Les responsables informatiques sont coincés entre l’arbre et l’écorce. Soit ils peuvent voir et contrôler trop d’activité quotidienne de leurs employés, soit ne pas avoir de contrôle de sécurité en place. Ce dilemme devrait nous obliger à identifier les exigences réelles en terme de sécurité mobile. Et c’est là où la majorité des équipes informatiques se trompent : au lieu de surveiller l’ensemble des activités, les entreprises devraient se concentrer uniquement sur la protection des données de l’entreprise. Au lieu de contrôler tous les aspects d’un téléphone portable personnel, elles pourraient limiter l’accès à ces données à partir de certains périphériques, ainsi que limiter les destinations à risque. Les équipes informatiques n’ont pas besoin d’auditer de manière intrusive un appareil. En fait, ils ne devraient même pas placer un agent sur des périphériques personnels.

La génération qui rejoint actuellement le marché du travail est très sensible aux problématiques de confidentialité et de respect de la vie privée. Nous constatons déjà une réaction négative à l’égard des politiques de sécurité mobiles actuelles. Les entreprises doivent donc envisager une nouvelle façon de sécuriser les données qui permette aux employés d’accéder aux données dont ils ont besoin comme ils le souhaitent. Evidemment, les organisations ne peuvent pas sacrifier la sécurité au nom de la mobilité. Mais dans bien des cas, il est possible d’améliorer les deux : optimiser la protection des données tout en assurant la productivité et la flexibilité des employés. Et dans ces cas, les leaders informatiques doivent réfléchir sans tarder à ce changement.

[1] Source : Enquête Intel – L’Usine Digital 

[2] Bitglass

Biographie

CTO de Bitglass.

(0)

Commentaires (0)

Pas encore de commentaires

Commenter cette page

Votre adresse de messagerie ne sera pas publiée.