GS Mag : Quelles sont les principales menaces qui pèsent sur l’Instant Messaging et les réseaux sociaux en entreprise ?

Mickaël Rémond : Les principales menaces sont la transmission de fichiers contenant virus et chevaux de Troie, les menaces concernant la confidentialité des données échangées, le vol d’identité et la capacité à manipuler les utilisateurs pour obtenir des interventions qui peuvent être utilisées par des personnes mal intentionnées pour nuire à l’entreprise.
Un autre risque latent pour l’entreprise est le non respect de ses obligations légales en matière d’archivage des conversations.

Ces menaces sont généralement mal identifiées par les entreprises qui présentent les risques de manière floue. D’après une étude de notre observatoire, 88% des entreprises sont inquiètes des risques induits par la messagerie instantanée.

GS Mag : Doit-on, ou peut-on, en interdire l’usage dans les entreprises ?

Mickaël Rémond : Une étude publiée sur notre observatoire de la messagerie instantanée montre que même si une large majorité des entreprises sont inquiètes et que 75% tentent de prendre des mesures pour en bloquer l’usage, 73% de ces entreprises admettent l’intérêt de ces outils en terme de gain de productivité, en particulier pour les grandes entreprises ou les travailleurs distribués. Dès lors, il est plus intéressant pour ces entreprises de rechercher des approches pour maîtriser la messagerie et en contrôler les risques que de chercher à l’interdire. C’est d’autant plus vrai que l’usage de ces outils est entré dans les mœurs. L’interdiction mécontente les utilisateurs pour qui ces outils sont devenus importants. Par ailleurs, cette interdiction est contre productive car elle peut souvent être contournée.

GS Mag : Comment les RSSI doivent-ils les inclure dans leur stratégie de protection ?

Mickaël Rémond : Les RSSI doivent travailler à la mise en place d’outils internes alternatifs, qui ne disposent pas de risques liés à l’usage de messagerie grand public. La sécurité, l’archivage, le chiffrement, le contrôle des échanges sont pris en compte dans ces solutions professionnelles.
Par ailleurs, ces outils offrent également souvent des passerelles vers les réseaux publics, mais en les domestiquant. Les conversations vers les réseaux tiers passent par le serveur et peuvent être archivées. Les transferts de fichiers peuvent être interdits ou scannés.

GS Mag : Quels sont les outils techniques qui permettent de protéger les SI ?

Mickaël Rémond : Les réponses sont simples et connues. Il faut mettre à disposition des utilisateurs des outils internes à l’entreprise qui offrent toutes les garanties de sécurité. La messagerie instantanée existe depuis 15 ans et les solutions pour la maîtriser et la rendre sûre existent. C’est une technologie mature.

GS Mag : Quels sont vos conseils en matière de sensibilisation des utilisateurs ?

Mickaël Rémond : Pour la sensibilisation des utilisateurs, il est important de leur montrer combien il est facile d’exploiter des informations anodines pour des personnes mal intentionnées. Récupérer une information sur les congés du responsable sécurité, par exemple, publiée sur un réseau social pour connaître la meilleure date pour lancer une attaque sur le système de l’entreprise.

Par ailleurs, la mise en place de la messagerie instantanée nécessite une politique de conduite du changement. Il n’est pas simple de mettre en place un nouvel outil de communication dans l’entreprise sans expliquer aux utilisateurs comment l’utiliser et quand il doit être utilisé par rapport aux autres modes de communication. L’utilisateur peut être désorienté dans l’usage, en particulier s’il est peu familier avec l’outil. Cette approche va cependant au-delà de la politique de sécurité. Un projet de messagerie instantanée est un projet d’ensemble qui doit s’insérer dans tous les aspects de l’écosystème de l’entreprise.