Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réseaux sociaux : comment encadrer ces nids de cybercriminels en entreprise ?

octobre 2014 par Emmanuelle Lamandé

Les réseaux sociaux ont le vent en poupe dans les entreprises, à la fois pour véhiculer leur stratégie et leur image de marque. Mais la visibilité réelle qu’apportent ces sites à une organisation occulte souvent de sérieux risques de sécurité. Or on sait aujourd’hui que les réseaux sociaux sont devenus l’une des cibles privilégiées des escrocs et cybercriminels en tout genre et représentent l’un des principaux vecteurs de fuites de données au sein des entreprises... Comment encadrer ce phénomène ? Quelles sont les bonnes pratiques en la matière ? Florence Puybareau, Journaliste, ouvre le débat lors des Assises de la Sécurité à l’occasion d’une table ronde.

On distingue aujourd’hui trois catégories d’entreprises, observe Alain Bouillé, DSSI de la Caisse des Dépôts et Président du CESIN :
- Celles qui ferment l’utilisation des réseaux sociaux, souvent pour des raisons de productivité, mais c’est une bataille perdue d’avance ;
- Les entreprises qui ouvrent les réseaux sociaux, mais qui les surveillent ;
- Enfin, celles qui les ouvrent et en tirent des bénéfices.

Près de 90% des entreprises seraient aujourd’hui ouvertes aux réseaux sociaux avec plus ou moins de surveillance, constate Florence Puybareau. De toute façon, il est quasiment impossible de les interdire de nos jours, et le faire serait peine perdue.

De nombreuses menaces pèsent cependant sur ces réseaux. Parmi elles, Eric Freyssinet, Chef de la division de lutte contre la cybercriminalité, STRJD, recense notamment de nombreux cas d’usurpations d’identités, d’escroqueries, de création de faux comptes, de diffusion de virus via le partage de documents par exemple… Les réseaux sociaux représentent une véritable mine d’or d’informations, et parfois volontairement de fausses informations, pour les criminels en tout genre. C’est également une très bonne manière de camoufler certaines actions malveillantes.

Les réseaux sociaux représentent un média privilégié pour véhiculer de l’information, explique Jean-Marc Grémy, Vice-Président, Responsable du Comité de Programme des conférences, CLUSIF. Nous sommes dans une situation où les salariés se retrouvent à diffuser de nombreuses informations, parfois sensibles pour l’entreprise, de manière inconsciente et involontaire. Le risque et la possibilité de fuites d’informations, de propagation de mauvaises informations et de manipulation de personnes sont largement accrus avec les réseaux sociaux. L’enjeu pour le RSSI aujourd’hui est d’aller plus vers la sécurité de l’information. La sensibilisation des VIP à l’usage de l’outil informatique doit également continuer à s’accentuer.

La formation reste aujourd’hui la seule solution

Les réseaux sociaux sont un nouveau vecteur de diffusion, avec pour particularité le fait que tout un chacun devient producteur d’informations, observe Robert Eusebe, DSI, ARTE France. Ce phénomène ouvre le champ des possibles. Chaque structure doit à la fois réfléchir aux risques et aux opportunités, mais aussi informer les salariés sur les communications qu’ils peuvent faire ou non sur l’entreprise. A titre d’exemple, l’utilisation des réseaux sociaux fait désormais partie intégrante d’ARTE et de sa visibilité, et donc des missions des journalistes. Cependant, ces derniers ont été formés au préalable à ces nouveaux médias sociaux et aux usages qui y sont liés.

La prévention et la formation des salariés quant à ces problématiques s’avèrent d’ailleurs, selon Alain Bouillé, plus simples que pour d’autres sujets inhérents aux pratiques de sécurité. En effet, bien que la sensibilisation à cette thématique concerne avant tout les intérêts professionnels, elle intéresse également les individus à titre privé. Et heureusement, car à ce jour la formation reste la seule solution. Des progrès restent toutefois à faire sur la mesure de l’efficacité d’un tel processus. Encore une fois, tout est question de juste équilibre : il faut être capable de savoir ce qui se passe sans pour autant mettre une caméra au-dessus de chaque utilisateur.

Pour Eric Freyssinet, la prévention de ces risques passe, en premier lieu, par des actions de sensibilisation des employés et de leurs familles : les conseiller sur ce qu’il convient de communiquer ou non, la façon de s’exprimer, leur donner conscience des risques, leur expliquer que même s’ils commettent une erreur, ils ne doivent pas avoir peur d’en parler à leurs directions… Et quel que soit le contexte, l’utilisateur doit garder à l’esprit qu’il faut mettre le minimum d’informations personnelles sur les réseaux sociaux. Des médias, tels que LinkedIn, permettent de disposer du CV des individus et donc de parfaitement cibler les personnes souhaitées dans le cadre de techniques de social engineering.

La sécurité des réseaux sociaux doit être une priorité pour nos législateurs

Il convient, de plus, de régulièrement expliquer ce qu’est la gestion des réseaux sociaux, complète Jean-Marc Grémy. Le problème est qu’aujourd’hui n’importe qui peut se créer un compte sur un réseau social, en se faisant passer pour vous par exemple. Les réseaux sociaux n’effectuent aucun travail de protection à ce niveau-là et la réglementation ne l’impose pas encore. En outre, les paramètres de confidentialité ne sont pas sélectionnés par défaut, la configuration du réseau et sa « protection » résultent donc uniquement de la personne qui se crée le compte.

Malgré tous ces risques, Eric Freyssinet recommande fortement de se créer un compte sur chaque réseau social avant que quelqu’un ne le fasse à votre place. En y mettant le strict minimum d’informations personnelles bien entendu.

Une fois que l’entreprise décide d’utiliser les réseaux sociaux dans sa stratégie de communication, elle doit toutefois avoir conscience qu’il y a un avant et un après, remarque Alain Bouillé. Ca change tout, car l’entreprise incite les gens à aller sur les réseaux et donc à y véhiculer une certaine image. Une charte doit être distribuée aux employés de l’entreprise afin de les accompagner en ce sens.

Nous vivons actuellement une révolution, constate Robert Eusebe. L’humanité avance dans un monde où les règles restent encore à inventer. La situation est anormale et paradoxale : nous avons laissé la gestion des identités à des sociétés privées Outre-Atlantique, alors que cette situation devrait être prise en main par les forces publiques et les législateurs. Cette situation ubuesque devrait d’ailleurs être une priorité pour nos législateurs, conclut-il.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants