L’utilisation d’appareils personnels pour le travail n’a rien de nouveau mais leur sécurité est bien trop souvent laissée aux mains de chacun. Or seule la moitié des employés européens sécurisent leurs appareils en procédant régulièrement aux mises à jour, ce qui veut dire qu’une multitude d’équipements utilisés au travail restent la cible des logiciels malveillants. Le point avec Robert Arandjelovic, directeur de la Stratégie Sécurité EMEA chez Symantec.
Le monde du travail subit un bouleversement sans précédent. Travail indépendant, nomadisme numérique et télétravail sont autant de nouvelles manières d’aborder le travail. Et ce n’est désormais plus une tendance émergente, mais bel et bien une réalité pour nombre d’entreprises. Et si d’aucuns avaient prévu les défis informatiques à venir, il est aujourd’hui devenu impossible d’ignorer les impacts sur la sécurité.
Nombreux sont les employés à rêver de flexibilité et de télétravail, mais c’est sans compter la pression exercée par les employeurs. Les répercussions sociales de cette pression ont déjà conduit à légiférer. Le travail en dehors des horaires habituels est devenu un tel sujet de controverse en France qu’une loi pour le droit à la déconnexion a été votée. Ainsi, les salariés ne sont pas tenus de se connecter à leur messagerie professionnelle en dehors des heures ouvrables. Mais les effets de cette nouvelle normalité sur la sécurité se font désormais sentir. Selon une étude récente, 58 % des Européens ont déjà utilisé leur appareil personnel pour accéder à leurs applications professionnelles (41 % des employés français), avant ou après leur journée à de travail. Aujourd’hui, quatre Européens sur cinq travaillent depuis leurs appareils personnels – smartphone, ordinateurs portables ou tablettes – plutôt que sur l’équipement fourni par leur employeur. Plus de la moitié d’entre eux s’en servent sur le lieu de travail, et près des trois quarts reconnaissent les utiliser en dehors du cadre professionnel (77 % pour la France).
L’utilisation d’appareils personnels pour le travail n’a rien de nouveau mais leur sécurité est bien trop souvent laissée aux mains de chacun. Or un trop grand nombre d’utilisateurs ne remplissent pas leur part du contrat. Seule la moitié des employés européens sécurisent leurs appareils en procédant régulièrement aux mises à jour, ce qui veut dire qu’une multitude d’équipements utilisés au travail restent la cible des logiciels malveillants. Sachant que le nombre d’équipements concernés ne cesse d’augmenter, la situation risque fort de s’aggraver.
Dans la mesure où les activités professionnelles ne se limitent plus à la fameuse tranche horaire 9h-18h, il reste dans certains cas beaucoup de chemin à parcourir. La plupart des entreprises obéissent encore à des principes de sécurité et de gestion qui ne sont désormais plus d’actualité. Elles choisissent souvent d’ignorer la question de l’utilisation d’appareils ou d’applications « non autorisés », considérant que ce n’est pas de leur ressort.
Appareils personnels : un casse-tête pour l’entreprise ?
L’utilisation d’appareils personnels constitue depuis toujours une zone d’ombre pour les entreprises. Peu importe les efforts déployés pour associer des appareils ou applications donnés à un utilisateur, ou pour restreindre l’accès aux équipements personnels ; les employés continuent souvent à utiliser les appareils et applications qu’ils considèrent les plus pratiques d’utilisation. Et face aux gains de productivité générés et à des dirigeants consentants, nombre de services informatiques se retrouvent en situation de conflit dès lors qu’il est question d’interdire cet usage ou de trouver le moyen de le sécuriser.
Les employés mécontents de la lenteur avec laquelle leur entreprise approuve de nouveaux logiciels ou les fonctionnalités d’applications professionnelles officielles échappent souvent à tout contrôle. Ils finissent par installer et utiliser des applications et appareils sans que le service informatique ne soit
tenu au courant et n’ait donné son accord. C’est ce qu’on appelle communément le Shadow IT (informatique fantôme). Or, comment une entreprise peut-elle sécuriser l’utilisation de logiciels ou d’équipements dont elle ignore l’existence ? Le déficit de sécurité est évident, mais les services informatiques n’ont pas les outils pour compenser la négligence des utilisateurs.
De leur côté, les employés ne semblent pas inquiets de s’en remettre au hasard concernant la sécurité de leurs appareils personnels, alors même qu’ils exposent leur entreprise à un risque majeur. Seul un employé sur six (18 %) veille en effet à ce que ses paramètres de sécurité soient automatiquement mis à jour, ce qui signifie qu’ils sont 82 % à devoir mettre leurs paramètres à jour manuellement. Pire, un employé français sur 5 (18 %) ne connaît même pas le niveau de sécurité de ses appareils, contre près d’un sur huit au niveau européen. Pas étonnant que seule la moitié (52 %) des employés ayant utilisé un appareil en Europe ait pu confirmer que les logiciels de sécurité installés à la fois sur les équipements personnels et professionnels soient toujours à jour.
L’heure est au changement
On ne peut aujourd’hui plus se permettre de jouer avec le feu. Le cyber risque est de plus en plus considéré comme un enjeu stratégique, y compris par le conseil d’administration. Les failles de sécurité, la fuite de données ou les interruptions de service dues à des vulnérabilités, y compris celles résultant d’appareils mal sécurisés, ont un impact considérable. La baisse du cours de l’action, les amendes ou la simple gestion des perturbations techniques et commerciales sont autant de coûts qui ont de quoi faire blêmir le directeur financier.
Le risque de perte de données a longtemps été considéré comme le prix à payer pour la conduite (flexible) des affaires. Ce n’est plus du tout le cas aujourd’hui. En couplant la protection des terminaux à une solide solution de sécurité dans le cloud, il est possible de créer un système de cyberdéfense intégré, capable de protéger les équipements personnels et professionnels. Les entreprises sont ainsi couvertes à plusieurs niveaux, et il n’appartient plus seulement aux employés de protéger les données d’entreprise sur leurs appareils personnels.
On repousse sans cesse les limites du travail, et ce phénomène va en s’accélérant. Selon de récentes estimations, d’ici à 2020, la moitié de la population active sera composée d’indépendants et de sous-traitants. La technologie peut d’ores et déjà aider les entreprises à sécuriser leurs réseaux, même lorsqu’ils sont accessibles par des équipements personnels.
Toute la difficulté consiste à faire fi des idées reçues concernant le fonctionnement de la sécurité. Une entreprise ne se limite plus aux murs de ses locaux, et les activités professionnelles ne s’exercent plus exclusivement dans la fameuse tranche horaire 9 heures -18 heures. Notre relation au travail et à la technologie n’est plus ce qu’elle était. La sécurité doit, elle aussi, savoir évoluer.