Réseaux sociaux : risques et opportunités pour la sécurité
Données confidentielles et fausses informations peuvent fuiter sur les réseaux sociaux. Les interdire reste néanmoins illusoire. D'autant plus qu'ils n'ont pas que des défauts pour les DSI.
Les salariés les plus jeunes mélangent vie privée et vie professionnelle, posant des défis de sécurité croissants à leurs employeurs, à mesure qu’ils arrivent sur le marché du travail. Cette réalité est particulièrement criante dans les médias sociaux, qu’ils utilisent en se souciant bien peu, voire pas du tout, de la confidentialité des données.
Selon un rapport publié par Cisco, le Cisco Connected World Technology Report, près de 91 % des étudiants et des salariés de la "génération Y" sont ainsi convaincus que l’ère du respect de la vie privée est révolue, tandis qu’un tiers dit ne pas se soucier de ce qui peut être fait des données les concernant.
Ainsi, explique Cisco, « la majorité des salariés de cette génération avouent confier plus aisément leurs données personnelles à un site commerçant qu’au service informatique de leur entreprise ».
Cette attitude contraste avec les préoccupations des entreprises quant à la diffusion d’informations commerciales sensibles sur les réseaux sociaux tels que Twitter ou Facebook, à un public potentiel de centaines de milliers d’internautes.
Les menaces des réseaux sociaux
Les réseaux sociaux constituent un danger pour la sécurité de l’entreprise, non seulement à cause des informations que ses salariés peuvent divulguer, mais également parce que les sites de ces réseaux sont une des cibles privilégiées des cybercriminels.
Selon Cisco, les sites d’audience de masse, réseaux sociaux compris, sont ceux qui présentent la plus grande concentration de menaces de sécurité de tout le Web. Le rapport explique ainsi que la publicité en ligne véhicule 182 fois plus de contenus malveillants que, par exemple, les sites pornographiques.
Grâce aux réseaux sociaux, chaque individu peut partager des informations avec des millions de personnes, et c'est précisément cette possibilité qui constitue une gageure pour les entreprises. S’ils donnent à chacun la capacité de communiquer des informations commerciales sensibles, les médias sociaux permettent également de colporter des informations erronées, ce qui peut avoir des conséquences tout aussi ravageuses.
Dans un rapport sur les risques mondiaux, le Forum économique mondial a identifié dès 2013 comme risque émergent la diffusion rapide d’informations erronées dans les médias sociaux. Les auteurs du rapport utilisent l’image d’une personne qui crie « Au feu » dans une salle de cinéma bondée. En quelques minutes, et avant même que l’information n’ait pu être démentie, plusieurs personnes risquent de mourir piétinées.
S’ils font fuiter des informations sensibles, les médias sociaux colportent également des informations erronées
Toujours selon ce rapport, il est arrivé à plusieurs reprises au cours des dernières années que de fausses informations diffusées sur Internet entraînent de graves conséquences.
Un faux tweet attribué au Ministre de l’Intérieur russe a, par exemple, annoncé que le président syrien était mort ou blessé. Cela a provoqué une augmentation du prix du brut de plus de 1 dollar avant que les courtiers ne comprennent que l'information était erronée.
Tirer pleinement parti des médias sociaux
Etant donné l’influence positive comme négative que les réseaux sociaux peuvent exercer, les entreprises ne peuvent se permettre d’ignorer leur rayonnement sans précédent. Mieux vaut donc reconnaître leur puissance et l’exploiter.
C’est exactement ce qu’a fait BT au Royaume-Uni. Son service clients a mis en place un système sophistiqué de présence sur les médias sociaux les plus populaires. Si l’on en croit Warren Buckley, le directeur général du service clients de la société, cette stratégie aurais permis à BT d’améliorer la réputation de son service, et lui apporterait un retour sur investissement évident. Lors d’une réunion rassemblant PDG et DSI, il a expliqué que BT avait créé son propre logiciel pour crawler les médias sociaux à la recherche de toutes les références à l’entreprise. Les résultats obtenus permettent à BT de répondre rapidement aux questions et aux réclamations. La technologie est rentabilisée puisqu’elle aide l’entreprise à conserver des clients qui, sans elle, seraient partis à la concurrence.
Mais BT tire également profit du pouvoir des médias sociaux d’autres manières. Au cours des émeutes de Londres de 2011, par exemple, l’entreprise a fait usage des réseaux sociaux pour désencombrer la ligne d’appels d’urgence, le 999 en Angleterre. « Nous avons tweeté “N’appelez le 999 qu’en cas d’urgence” et en l'espace de 15 minutes le nombre d’appels a chuté. Nous avons alors pu répondre à chacun sous trois secondes », explique-t-il.
A l’instar de BT, la banque d’investissement Investec a mis un outil en place pour « prendre la température » sur Internet, en repérant toute mention de la banque dans les médias sociaux, principalement dans un but marketing.
Mais cet outil n’est qu’un élément d'une stratégie plus large élaborée par la banque pour réduire les risques de menace interne que les réseaux sociaux peuvent faire peser sur la sécurité de ses informations. Cette stratégie comprend également un pare-feu granulaire qui limite les activités sur les réseaux sociaux selon la fonction de l’utilisateur dans l’entreprise.
Gérer les médias sociaux à l’aide de politiques et de technologies
Le pan le plus important de la stratégie de sécurité d’Investec en matière de médias sociaux repose sur des règles conçues pour garantir le respect de la législation et prévenir toute fuite d’informations commerciales sensibles. En dix points, le règlement interne de la banque par rapport aux médias sociaux stipule très clairement les obligations du personnel chaque fois qu’il publie quelque chose en ligne.
« Les entreprises ne peuvent pas empêcher les informations de circuler sur les médias sociaux, alors autant gérer ces échanges et utiliser des règles et des technologies pour le faire » explique David Cripps, responsable de la sécurité des informations chez Investec.
Les entreprises ne peuvent pas empêcher les informations de circuler, alors autant gérer ces échanges et utiliser des règles et des technologies pour les encadrer
David Cripps, Investec
« Les entreprises doivent comprendre les médias sociaux ; elles doivent admettre qu’ils ne vont pas disparaître. Si elles en autorisent l’accès, elles doivent le contrôler pour s’assurer qu’aucun contenu immoral, illégal ou injurieux ne circule, et être prêtes à intervenir si cela se produit » explique-t-il.
Les entreprises qui sont conscientes de la valeur des médias sociaux et des menaces qu’ils représentent ont prouvé que la solution consistait à autoriser les collaborateurs à établir une présence sur les réseaux sociaux pour le compte de l’entreprise dans le cadre d'une politique interne détaillée complétée par une formation continue.
Par ailleurs, selon l’analyste Andrew Walls du Gartner, les entreprises doivent comprendre que l’analyse des informations circulant sur les réseaux sociaux peut fournir des données cruciales pour améliorer les procédures de sécurité et les performances. « L’analyse des conversations publiques permet d’identifier les menaces imminentes et crédibles d’attaques physiques ou logicielles », constate-t-il.
Andrew Walls alerte également contre toute tentative de bloquer l’accès aux médias sociaux. En effet, cette stratégie ne permet pas aux entreprises de contrôler les risques efficacement et les empêche de mettre en place des initiatives sur les médias sociaux.
« Malheureusement, les entreprises qui bloquent l’accès aux médias sociaux analysent rarement les contenus de ces médias pour renforcer leur sécurité, et ne savent donc rien des risques ni du potentiel qu'ils représentent », conclut-il.