En stockant des documents professionnels sur des services en ligne dont l’entreprise n’a pas connaissance, les salariés mettent à mal la sécurité du système d’information. Le point avec Garance Mathias, avocat à la Cour.
Il y a encore quelques années, le phénomène du BYOD (Bring your own Device) faisait l’objet de toutes les attentions. De nombreuses questions se sont alors posées, tant au niveau du droit social que de la protection des données et des responsabilités qui incombent à chacun. Toujours est-il que les avantages résultant du BYOD ne sont plus à prouver (flexibilité, accès continu aux données, plus grande productivité ), même si certaines mesures de sécurité doivent être respectées.
Le BYOC (littéralement Bring Your Own Cloud) ne représente pas moins une tendance importante dont les enjeux sont loin d’être négligeables. L’utilisation de divers appareils interconnectés de la part des employés conduit en effet à ce que ces derniers aient bien souvent recours à un ou plusieurs services cloud. Cela permet de stocker divers documents, ce qui assure un accès facile n’importe où et n’importe quand. En somme, il s’agit là d’un service très pratique mais qu’il faudra nécessairement encadrer.
Une grande diversité de prestataires cloud existe. Parmi les plus connus, Dropbox, Google Drive ou bien encore iCloud. Une des particularités de ces derniers consiste dans le fait qu’ils sont bien souvent gratuits, généralement dans la limite de 2 à 5 Go. Bien entendu, ce sont la plupart du temps des documents personnels qui y sont stockés, mais la grande capacité de stockage permet une utilisation facile dans le cadre professionnel.
Une perte de contrôle des données
Les entreprises ont raison de s’inquiéter, notamment car la proportion d’utilisation de ces services est peu claire. A noter que cette nouvelle pratique s’intègre dans les « Shadow IT », soit l’utilisation doutils informatiques par les salariés en dehors du circuit défini par le responsable du système d’information de l’entreprise. Les risques sont donc importants et peuvent conduire à une perte de contrôle globale, étant donné que la société ignore qui utilise quel service. Par ailleurs, un risque de perte de données est bien présent car les fuites et les intrusions sont d’autant plus aisées que les employés peuvent accéder à leurs documents depuis divers appareils, que ce soit depuis leur domicile, ou bien encore depuis des réseaux non-cryptés et non-sécurisés. La perte de contrôle sur ces données est donc indéniable.
Intégrer le BYOC dans la politique de sécurité
Néanmoins, il est difficile, voire impossible de dire aux utilisateurs du BYOD de ne pas utiliser des services cloud, tout comme il est difficile d’en empêcher l’utilisation au sein même du réseau de l’entreprise. Un encadrement du BYOC s’avère donc nécessaire afin de protéger l’entreprise. Si elle en a les moyens, celle-ci pourra investir dans un service cloud privé, ce qui lui permettra d’assurer pleinement la sécurité des données, un meilleur contrôle et une réelle disponibilité du service. Bien entendu, les règles de confidentialité et les conditions d’utilisation devront être clairement définies. Dans tous les cas, les DSI ou RSSI devront intégrer le BYOC dans leurs politiques de sécurité, que ce soit par le biais d’une liste de prestataires cloud ou bien encore par un chiffrement des fichiers avant stockage.
Tout comme le BYOD, le BYOC trouvera son équilibre dans le monde de l’entreprise. Il est grand temps d’aller aux devants des risques inhérents à cette pratique, cette tendance étant appelée à se développer.
Affaire ComRent contre Palatini
Recherche mot de passe désespérément
L’affaire ComRent International, LLC contre Palatini (ComRent International, LLC v. Palatini, 2013 WL 5761319 E.D. Oct.24, 2013) illustre tout particulièrement ces enjeux. La société ComRent avait en effet embauché un vice-président pour un département. Celui-ci travaillait surtout sur des questions liées à Experium, une société qu’il avait cofondée et dont il était actionnaire minoritaire. Le salarié avait créé un compte Google Drive pour le stockage et la consultation de l’ensemble de la propriété intellectuelle et des informations confidentielles à caractère commercial de ladite société. Seul à avoir connaissance de l’identifiant et du mot de passe du compte Google Drive, il en a refusé l’accès au bureau d’études engagé par ComRent pour évaluer les diverses options pour le futur d’Experium. Le salarié craignait en effet que ComRent cherche à s’approprier la propriété intellectuelle de sa société. ComRent l’a donc licencié et a dû engager des poursuites à son encontre afin d’obtenir l’accès au compte en question.