Selon une étude menée par Twilio, 70 % des entreprises françaises considèrent que la pandémie de COVID-19 a accéléré leur transformation numérique. Cependant, s'il est essentiel d'adopter le numérique pour maintenir le niveau d'activité et assurer l'avenir d'une entreprise, la confidentialité des données ne devrait jamais être sacrifiée, car les conséquences éventuelles pourraient être redoutables à bien des égards.
Une surface d’attaque étendue
Dans la mesure où les salariés français ont adopté un modèle de travail hybride, une partie du réseau de l’entreprise s’est déplacée avec chacun d’entre eux. En outre, de nombreux employés travaillent à partir d’appareils personnels. Cette situation a par conséquent accru le risque de fuite de données concernant les informations privées des clients, des entreprises et même du personnel. En effet, les cybercriminels tirent parti de toutes les opportunités qu’ils repèrent. Ainsi, il n’est pas surprenant que les campagnes malveillantes se soient multipliées depuis l’adoption du travail à distance – à temps plein ou à temps partiel. De fait, si de nombreux employés ont appris à travailler depuis leur cuisine ou leur table à manger en un rien de temps, leurs équipes IT ont eu besoin de plus de temps pour sécuriser l’accès à distance aux serveurs et aux données de l’entreprise. Les entreprises doivent donc se doter d’une stratégie bien définie et de champs de responsabilité spécifiques pour s’assurer que l’accès aux données, leur utilisation et leur finalité sont parfaitement clairs, de même que la manière dont les informations sont stockées, partagées, gérées et protégées dans l’ensemble de la structure. Un autre point dont les organisations doivent tenir compte en matière de données est le fait de savoir si le consentement des personnes concernées, c’est-à-dire les utilisateurs, a été obtenu selon les procédures adéquates. À cet égard, il convient là encore de sensibiliser les employés.
Les employés contournent les mesures
L’expansion du travail hybride a créé un paysage de menaces exponentielles, et le personnel IT n’a pas tardé à améliorer sa stratégie pour s’adapter à cette nouvelle situation et aux risques qui y sont liés. La gestion des appareils mobiles a notamment été instaurée pour garantir une gestion sûre de tous les dispositifs, quel que soit l’endroit où ils sont utilisés et qu’ils appartiennent à une entreprise ou à un employé.
Par ailleurs, les équipes IT se focalisent bien trop souvent sur le niveau de confidentialité offert, au détriment de l’expérience de l’utilisateur. Il s’agit d’un problème de taille car, à l’instar de tout outil considéré comme peu convivial, les employés trouveront toujours un moyen de contourner un obstacle pour faciliter leur quotidien. La sécurité devrait donc être intégrée autant que possible dans les modèles et les workflows existants, à l’aide de technologies discrètes, sécurisées dès la conception et, surtout, intuitives pour l’utilisateur. De même, les politiques axées sur le respect de la vie privée ne doivent pas être appliquées sans expliquer aux utilisateurs en quoi ces processus sont pertinents pour maîtriser les risques actuels et pourquoi il est essentiel que l’entreprise se conforme à ces règles. Faute de transparence, les employés verront le nouveau processus comme un fardeau et ils n’hésiteront pas à le contourner pour simplifier leur charge de travail.
De trop nombreux outils à surveiller pour l’équipe IT
Un autre impératif est celui d’une gestion facilitée pour les équipes IT. En effet, comme la transformation numérique est devenue incontournable, les processus et l’espace de travail ont évolué et des outils technologiques ont été déployés dans les entreprises. Mais certains de ces derniers ont été accumulés, sans aucune considération préalable quant à la possibilité de les intégrer les uns aux autres et à la facilité de les gérer tous. Ainsi, en raison du grand nombre d’outils déployés, il est très difficile pour le personnel IT d’avoir une vue d’ensemble claire de ce qui advient des données et de la mesure dans laquelle la confidentialité est assurée sur l’ensemble du réseau.
Là encore, si les employés estiment que les outils à leur disposition ne sont pas conviviaux, ils se tourneront vers une technologie qu’ils jugent plus adaptée. Malheureusement, cette situation engendre ce que l’on appelle le « shadow IT », c’est-à-dire que certaines applications et logiciels sont utilisés par le personnel à l’insu de l’équipe IT, ce qui constitue un risque majeur pour la vie privée, car ces données ne sont pas surveillées et aucun avertissement ne s’ensuit si elles tombent entre de mauvaises mains.
Donner la priorité à ce qui compte vraiment
Par conséquent, d’une part, les entreprises doivent faire l’inventaire des outils IT dont elles disposent et en faire littéralement le tri, afin de conserver uniquement ceux qui sont essentiels et qui peuvent être intégrés les uns aux autres, dans le but d’en faciliter l’utilisation au quotidien par le personnel ainsi que leur gestion par les équipes IT. D’autre part, elles doivent également mettre en place des bonnes pratiques en matière de données, qui seront partagées avec tous les employés de l’entreprise et qui devront tenir compte des nouvelles modalités de travail hybride et des risques qui y sont liés. Pour faire face à ces risques, il convient non seulement de déployer les logiciels de sécurité et le chiffrement adéquats, mais aussi de former le personnel à l’identification et à la prévention des cyber-menaces potentielles. Cette approche nécessite un investissement et des efforts constants de la part des entreprises pour veiller à ce que les erreurs humaines restent limitées et soient atténuées à temps, au cas où un risque émergerait. L’ensemble du personnel doit alors être sensibilisé aux menaces actuelles pesant sur la confidentialité, et être régulièrement informé de leur évolution dans le cadre de sessions de formation périodiques ; mais aussi, et surtout, prendre conscience qu’il incombe à chacun d’adopter une cyber-hygiène adéquate et de faire le maximum pour protéger les actifs de l’entreprise.
Les organisations s’efforcent souvent d’être perçues comme innovantes et, par conséquent, elles déploient les nouvelles technologies dès que celles-ci sont disponibles. Dès lors, les outils en place s’accumulent et la plupart d’entre eux ne tiennent pas compte de l’expérience de l’utilisateur. Loin d’être utiles et de favoriser la productivité, leur gestion se révèle difficile pour le personnel IT, et les autres employés ont tendance à les contourner pour bénéficier d’une expérience numérique plus fluide, sans être conscients des cyber-risques liés. Cette situation s’est aggravée avec la généralisation du travail hybride et il convient d’y remédier rapidement, car les seuls acteurs qui en profitent sont les cyber-criminels. Les pirates exploitent en effet toutes les possibilités qui s’offrent à eux, et des équipes de sécurité débordées et des utilisateurs non formés constituent leur meilleur atout.
Avec les technologies, le minimalisme est bien souvent de rigueur - JDN
Read More
No comments:
Post a Comment