L’utilisation d’applications grand public non contrôlées par les entreprises est très difficile à empêcher. Avec ce « shadow IT », les entreprises vivent avec une épée de Damoclès suspendue au-dessus de leur tête. Les réseaux sociaux d’entreprise (RSE) ont l’avantage d’être sous le contrôle de l’entreprise mais ils rendent difficiles les échanges avec des personnes situées hors de l’entreprise. Il y a deux catégories de réseaux sociaux grand public, ceux orientés vers les professionnels comme LinkedIn et ceux orientés vers le grand public (Facebook, WhatsApp). WhatsApp fait un peu tout à la fois, depuis l’échange d’information jusqu’au transfert de documents. C’est une application qui a rencontré des failles de sécurité récemment. Tout dépend de l’usage qui en est fait. Lorsqu’un service « shadow » est utilisé par les collaborateurs, c’est que l’entreprise ne fournit pas un outil équivalent. Il arrive aussi que des collaborateurs utilisent des outils d’envoi de fichiers grand public pour continuer à travailler chez eux. Je ne suis pas pour autant favorable au blocage de l’accès si l’entreprise ne propose aucun outil équivalent. Pour bloquer l’accès à WeTransfer par exemple, il faut au préalable proposer un outil avec des fonctionnalités équivalentes mais parfaitement sécurisé.

Aujourd’hui, les internautes sont tellement expansifs sur les réseaux qu’une simple recherche sur le nom d’une entreprise permet d’établir un annuaire complet de cette dernière, parfois plus à jour que celui figurant sur le site de la société ! Sur un réseau comme LinkedIn, où la plupart des utilisateurs prennent soin de stocker des informations très fiables, ce qui n’est pas le cas sur Facebook, il suffit aux hackers de se fabriquer un vrai-faux profil pour entrer en contact avec de vrais collaborateurs. C’est très courant [LinkedIn a annoncé le 20 août avoir bloqué 21 millions de faux comptes durant le premier trimestre 2019 – NDLR]. Il faut donc mener des opérations de sensibilisation et de surveillance. Les entreprises doivent entrer dans une démarche de connaissance, pour savoir quels outils utilisent réellement leurs collaborateurs, avant de les sensibiliser et d’interdire le cas échéant certains sites.

La difficulté, c’est la vitesse avec laquelle se succèdent les innovations dans ce secteur, qui est supérieure à la capacité d’innovation des entreprises. Or la transformation digitale implique une ouverture toujours plus grande vers l’extérieur et donc une exposition accrue des données aux risques inhérents à Internet. Les RSSI sont donc tiraillés entre deux postures. Pour l’instant, globalement, les solutions sont plutôt de l’ordre du curatif que du préventif qui passe essentiellement par la sensibilisation des utilisateurs aux différents usages. Les personnes qui ont à connaître des informations sensibles pour l’entreprise doivent faire l’objet d’une sensibilisation particulière.

L’outil clef, c’est l’analyse de risques. Une entreprise doit être en mesure de déterminer quelles sont les données stratégiques en sa possession, les enjeux à gérer en termes de données personnelles, les problématiques de sécurité, etc. En bout de course, il s’agit d’établir le niveau de risque en fonction des priorités de l’entreprise afin de déterminer la protection à mettre en place. Le RGPD a eu l’avantage d’orienter les entreprises vers une gestion plus organisée des données personnelles mais quid des autres données, financières ou sur les brevets, que détient l’entreprise ? Elles doivent aussi être protégées, y compris du regard des lois extraterritoriales américaines. Mais aujourd’hui, rien n’empêche de les stocker n’importe où ni de les transférer avec n’importe quel outil. Pour l’instant, la réglementation est bancale. Pour les responsables de la sécurité des systèmes d’information (RSSI), il est difficile de juguler ces nouveaux usages. Pour combattre le « shadow IT », les entreprises doivent commencer par fournir aux collaborateurs les outils dont ils ont besoin. Des outils se développent pour combler le déficit de dispositifs sécurisés. On ne protège bien que ce que l’on connaît.