C’est un constat au quotidien : la sécurisation du réseau d’une organisation relève de la gageure. D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y.
Cette génération du millénaire, celle qui regroupe les 20 – 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis serait dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC.
La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel challenge à la sécurité réseau de nombreuses organisations.
Voici trois points à prendre en compte dans cette transformation qui s’opère :
1. Maîtriser les médias sociaux
Faut-il ou non donner l’accès aux réseaux sociaux à partir du lieu de travail ? De nombreuses organisations se sont sans doute déjà posées la question.
Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du Nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein de productivité au travail, tout comme les téléphones mobiles et SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, à minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs.
Du point de vue de la sécurité réseau, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par réorienter les utilisateurs vers des sites web malveillants ? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, se rendent cependant compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur.
Il est simple, au niveau du réseau, de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique des URLs permet de surveiller certaines URLs et empêche d’y accéder. La fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.
Mais cela ne veut pas dire pour autant que les DSI doivent bloquer l’accès aux réseaux sociaux dans le cadre du travail. Car une approche plus pertinente consiste à, avant toutes choses, identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les médias sociaux, ainsi que la formation des collaborateurs, sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité et métiers qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client.
La ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sure que de faire aveuglement confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.
2. De l’intérêt d’une sécurité multicouche
La sécurité multicouche est privilégiée par nombre d’organisations aujourd’hui, avec de multiples couches de sécurité qui collaborent pour protéger les données, des dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques.
Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les DSI doivent repenser comment déployer chaque couche de sécurité.
Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications corporate comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité.
Plus particulièrement, les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes, à l’aire de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinente et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité.
Génération Y et le sans fil – Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés.
De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseau et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.
3. Garder la main sur le Shadow IT
Le Shadow IT fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation, soulignant ainsi un réel défi en matière de sécurité et de gouvernance.
Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.
De la même façon, les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés.
Il ne suffit par d’interdire unilatéralement à ces collaborateurs l’utilisation des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée.
Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leur cloud personnel, que vous le vouliez ou pas.
En revanche, la sensibilisation des collaborateurs et le déploiement de technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.
D’un point de vue plus large, le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en prenant mieux en compte les besoins et attentes de leurs utilisateurs. (Christophe Auberger, Directeur Technique France Fortinet)