BOYD et shadow IT : les dangers et failles de sécurités sur les données personnelles dans les PME.

BOYD et shadow IT : les dangers et failles de sécurités sur les données personnelles dans les PME.

  1. Le BYOD et le shadow IT, qu’est-ce que c’est ?

Le « BYOD » qui signifie « Bring your Own Device », est une tendance qui s’est particulièrement étendue lors du premier confinement. En effet, d’un coup d’un seul, des centaines de milliers de travailleurs ont découvert le télétravail. Or, beaucoup de PME n’avait pas forcément suffisamment de PC portables pour tous leurs salariés. Dans ce cas là, pour éviter un chômage partiel, de nombreux employés ont travaillé directement sur leur PC personnel.

Le « Shadow IT », quant à lui, existe depuis de nombreuses années au sein des entreprises. Ce terme désigne toutes les applications / logiciels installé par des employés sans que le service informatique n’en soit informé. Et ce, afin de répondre à un besoin non couvert par le SI de l’entreprise. Par exemple, au sein d’une entreprise ne possédant pas de système interne de messagerie, on peut imaginer que le service comptabilité échangerait sur Slack, le service commercial sur Azendo et le service informatique sur Discord. On encore, le « sur »-développement de macro excel alors que la fonctionnalité pourrait être couverte par un logiciel métier existant déjà dans l’entreprise.

2. Quelles failles ces phénomènes créent-ils?

A l’heure du RGDP, la protection des données personnelles est l’un des grands enjeux des prochaines années. Or, si l’on ne maitrise pas son système d’information, on peut vite perdre le contrôle de ses données.

Reprenons l’exemple de notre service commercial. Deux employés peuvent échanger des informations sur des clients pour faire de la prospection téléphonique. Et pour cela, se transférer un fichier excel, contenant les coordonnées de leurs clients. A cela se pose deux problématiques :

  • Qu’en est-il du stockage de ce fichier sur le cloud du logiciel de messagerie?
  • Qu’en est-il du stockage de ce fichier sur l’ordinateur personnel de l’employé?

Si l’un des clients fait une demande de suppression de ces données personnelles, ce type de fichier, exclut de tout contrôle, a de grandes chances d’être conservé, et pourra donc faire courir un risque juridique important à l’entreprise.

Au delà du stockage des données personnelles des clients, ces deux pratiques engendrent un autre risque important, à savoir le hacking du PC personnel. En effet, aujourd’hui, la plupart des ordinateurs sont équipés d’antivirus et les entreprises peuvent les détecter avant qu’ils n’atteignent leurs serveurs. Pour autant, on peut cependant tout à fait imaginer qu’un hacker attaque un poste domestique, à la sécurité plus faible, afin de récupérer les identifiants et mot de passe de l’employé, et par cela, s’introduire dans le SI de l’entreprise.

3. Qu’est ce que la crise du COVID a permis de souligner et rectifier?

Avec le confinement, et donc l’essor massif du télétravail en France, ces deux phénomènes ont été mis en exergue. De nombreuses entreprises ont dû s’équiper d’ordinateurs portables, de téléphones, etc… Certaines entreprises ont mis en place une plateforme de MDM (Mobile Device Management), qui permet de gérer une flotte d’appareil de manière sécurisée.

« Une plateforme MDM permet notamment de vérifier le numéro de version de l’OS et les niveaux de patchs installés ainsi que les mises à jour des applications, ce qui permet déjà de résoudre bon nombre de failles de sécurité »

Jean-Michel Tavernier, www.zdnet.fr

D’autres chantiers de sécurisation ont commencé a être mis en place, comme vérifier qu’une demande de connexion habituellement faite en Hérault ne provient pas de Chine, ou l’installation de la fonctionnalité « Single Sign-on », qui permet de se connecter à différentes application en renseignant une seule fois ses identifiants. Et par ce biais, éviter la fuite de mot de passe.

Finalement, le confinement aura forcé les entreprises, après quelques semaines de flottement et de tâtonnement, à sécuriser rapidement leurs parcs informatiques. A titre d’exemple personnel, j’ai connu une entreprise où, il n’y avait pas de logiciel de chat interne « officiel ». Les services, suite à un besoin de communication en interne, avaient donc installé différents logiciel de chat ou gestion de projet (Slack, Asana, Skype, Teams, etc…) . Pour ma part, ayant eu un poste transverse au sein de cette entreprise, en fonction du service auquel je voulais m’adresser, j’utilisais l’un ou l’autre des logiciels. Et dès les premiers jours du confinement, la direction a pris la mesure de l’importance de la communication interne. Microsoft Teams a été installé sur l’intégralité des postes et est devenu en quelques jours le seul outil utilisé par l’ensemble de la société. Permettant par ce fait d’améliorer la communication inter-service et également de gérer aux mieux les données échangées.

4. Conclusion

A mon sens, au delà de l’aspect technique qui doit être maitrisé, l’une des clés de réussite afin de gérer au mieux ces aspects là, et de former l’intégralité de ces salariés aux risques informatiques et à la gestion des données personnelles. On pense trop souvent que seuls les services juridiques et informatiques sont concernés. Or, on n’oublie que chaque employé à son niveau, peut agir pour protéger les données de l’entreprise et des clients. Que ce soit dans les services centraux (supply, RH, comptabilité, etc), mais également dans les boutiques , dans les usines ou les dépôts. Et enfin, avec les fournisseurs ou sous-traitants. Chaque maillon de l’entreprise doit jouer son rôle de protection de la donnée, et l’information est le meilleur moyen d’y parvenir.

Source :

https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques

https://www.zdnet.fr/actualites/communications-unifiees-comment-ma-triser-le-phenomene-du-byod-39914699.htm


Emmanuelle Gay

1
0

Laisser un commentaire