Où se situe la frontière entre la vie professionnelle et la vie privée ? Une question à laquelle il devient de plus en plus difficile de répondre, entre le déploiement massif du télétravail et la mise à disposition d’outils, connectés en permanence et utilisés à des fins personnelles. Un véritable casse-tête en termes de sécurité du système d’information.
Cybersécurité / Du perso sur mon Pro, promis demain j’arrête !
Et si justement, il n’était pas temps d’en finir ? Plutôt que de chercher des compromis, qui présentent des risques de cybersécurité (clé USB, site web, mail personnels) et peuvent entraîner des risques psycho sociaux (burn-out…), pourquoi ne pas ériger clairement et simplement une barrière ? Cette position peut bien sûr sembler rétrograde et à contre-courant mais elle mérite qu’on s’y intéresse sérieusement.
Rétrospectivement, nous sommes passés en 30 ans d’un monde où les entreprises commençaient tout juste à recourir à l’outil informatique et se connecter en réseau, à un monde où notre vie et tous nos outils, professionnels et personnels, se connectent et cohabitent dans un même univers.
A chaque étape de cette transformation numérique, les DSI ont dû s’adapter pour mettre en place des mesures permettant de protéger leurs systèmes d’information (proxy, filtrage d’URL, DLP, déchiffrement des flux https…) et les équipements mis à disposition, tout en accordant cette souplesse d’usage des outils professionnels à des fins personnelles.
Une problématique renforcée avec l’arrivée du concept de BYOD (« Bring You Own Device »), qui n’a pas connu le succès espéré en France du fait de sa complexité (obligation de fournir l’outil de travail, manque de maîtrise des équipements utilisés, incompatibilité avec le RGPD…).
Qu’en est-il aujourd’hui ?
Depuis l’arrivée de la 3G, nous disposons de débits plus élevés et d’une couverture géographique quasi totale. Nos smartphones ont également gagné en performances. Résultat : notre vie personnelle tient dans 9 cm².
Paradoxalement, nous continuons d’utiliser les ressources de l’entreprise à des fins personnelles. Des smartphones, mais surtout des PC portables, qui deviennent de ce fait vulnérables de par l’usage que nous en faisons (téléchargements, accès aux réseaux sociaux, achats en ligne, messagerie…). Avec pour exemples :
- l’introduction de logiciels malveillants dissimulés dans des jeux ou des utilitaires comme le cryptomalware Netwalker (Mailto)
- la présence de faux sites internet piratés permettant de prendre la main sur une machine, illustrés par le kit d’exploit Fallout
- ou encore la fameuse clé USB piégée, fournie massivement via des campagnes de publicité ou laissée nonchalamment dans l’environnement cible (cas spécifique pour des attaques très ciblées)
Nos équipements professionnels continuent ainsi toujours plus à être une véritable porte d’entrée sur l’entreprise et une source de problématiques de sécurité continue pour les DSI. Hors, toutes ces attaques seraient bien moins efficaces sur une machine strictement dédiée à l’activité professionnelle.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Et si nous séparions le monde pro du perso ? Pourquoi donc ne pas décider que le PC pro est strictement pro, et laisser la vie privée sur le smartphone personnel ? De cette façon, le poste professionnel pourrait être durci comme il se doit, strictement configuré pour exécuter les tâches professionnelles avec le niveau de latitude inhérent à la mission du collaborateur. Un accès Internet simple en liste blanche (voir sans accès internet), des ports USB bloqués aux seuls périphériques de l’entreprise, une liste d’applications installées strictement encadrée et pas d’accès administrateur sur le poste. Et pour aller au bout de l’idée et impliquer le collaborateur, pourquoi ne pas proposer en contrepartie un réseau Wifi Guest pour les accès personnels sur smartphone, ou même offrir une tablette à l’embauche. Le coût de ces « cadeaux » étant largement compensé par l’économie réalisée en matière de risque pour l’entreprise. Une autre piste serait de définir, sur les ressources fournies par l’entreprise, des environnements de travail complétement isolés et différenciés selon les usages, à l’image du système d’exploitation multiniveau ClipOS de l’ANSSI. Et ce raisonnement peut être étendu au téléphone professionnel. Autoriser à la fois l’installation de jeux et l’accès à une messagerie sur un smartphone constitue un risque difficilement acceptable aujourd’hui. Nous le savons, le compromis est source de faiblesses. Dans notre environnement numérique actuel, où les menaces prennent une ampleur inquiétante, la moindre faille pour une entreprise peut conduire à sa faillite. Alors pourquoi ne profitons-nous pas de nos outils modernes pour mieux distinguer les rôles et dédier notre outil de travail, au travail ? Ainsi nous faciliterions la vie de la DSI, nous simplifierions les aspects juridiques et nous participerions à faire du droit à la déconnexion une réalité nécessaire à notre santé mentale. En attendant, les nouveaux usages liés au télétravail massif depuis maintenant un an continuent à fragiliser la sécurité des entreprises. Quelques bonnes pratiques peuvent d’ores et déjà être rapidement mises en œuvre pour responsabiliser les collaborateurs et protéger leurs postes de travail.
Les articles les plus consultés
- Entre essor du cloud et ransomwares, quelles priorités pour la cybersécurité industrielle ?
- L’avenir du télétravail sécurisé en France
- Webinar Alsid – BloodHound est un bon outil, mais vous méritez mieux !
- Webinar Alsid – Active Directory Tier Model : stratégie d’implémentation et de sécurité !
- Workshop Cloud Insight: Explorez Windows Virtual Desktop
- Comment bénéficier d’une protection efficace contre les virus informatiques ?
- Le rôle incontournable de l’UX dans la cybersécurité
- Êtes-vous sûre de contrôler vos données Office 365 ?
- Solution vCloud Director : les avantages du Cloud Privé BLUE & VMware au service des entreprises
- Besoin de changer votre suite bureautique ? Découvrez ONLYOFFICE Workspace
Les plus consultés sur iTPro.fr
Sur le même sujet
Le rôle incontournable de l’UX dans la cybersécurité
L’avenir du télétravail sécurisé en France
Comment bénéficier d’une protection efficace contre les virus informatiques ?
Webinar Alsid – Active Directory Tier Model : stratégie d’implémentation et de sécurité !
Êtes-vous sûre de contrôler vos données Office 365 ?