< Retour aux Actualités

Publié le 21 février 2018

L’an passé, de nombreuses attaques aux retentissements mondiaux ont occupé le devant de la scène. Cette nouvelle année démarre, elle, en fanfare avec de récentes failles “Meltdown” et “Spectre” identifiées sur les processeurs équipant la grande majorité des ordinateurs.

Le sujet de la protection des systèmes d’information et des données est, plus que jamais, au cœur des préoccupations des entreprises. Bblog s’empare du sujet et vous propose de retrouver au travers des B-Securidays, de janvier à mars, les prises de parole de 6 professionnels aguerris de la sécurité des entreprises.

Aujourd’hui, avis d’expert #3 : La sécurisation des données par Raphaël Basset, Directeur Marketing & Communication d’Ercom,

Sécurité des données, les solutions grand public en cause !

Les données de l’entreprise n‘ont jamais été à la fois si précieuses et si menacées. Dans ce contexte, Raphaël Basset, Directeur Marketing & Communication d’Ercom, nous explique pourquoi les solutions Grand public, utilisées dans un cadre professionnel, compromettent la sécurité (et la réputation !) des entreprises.

Certaines entreprises peuvent être tentées par des offres grand public. Mais celles-ci sont-elles vraiment adaptées pour les entreprises (même petites) ?

Raphael Basset : Les applications grand public présentent un intérêt majeur : elles sont largement déployées car elles sont gratuites. Lorsque vous téléchargez ce type d’applications, un certain nombre d’informations stockées sur votre terminal sont transférées sur le serveur des fournisseurs d’applications. Cela vous permet de voir immédiatement qui, parmi vos contacts personnels et professionnels, est aussi utilisateur de la solution. Mais le mal est fait, vos informations ont été transférées. Or, vous ne savez plus à partir de cet instant, ce qu’il advient de ces données, ni les conséquences auxquelles vous vous exposez en cas de vol ou de détournement de ces dernières. Le risque devient en fait quantifiable avec le RGPD qui punit à hauteur de 4% de son CA une entreprise qui n’aurait pas mis en œuvre les moyens nécessaires à la protection de données personnelles… Et le préjudice financier ne prend pas en compte les conséquences sur la réputation !

“Création ou révocation de comptes, mesure et analyse des usages… Il est capital pour un DSI de disposer d’une vision précise de son parc d’utilisateurs.”

Quelles sont, à vos yeux, les principales différences entre équipements professionnels et produits grand public ?

Raphael Basset : Les applications d’entreprise ont des caractéristiques propres. Je pense par exemple à la possibilité pour les entreprises d’administrer les utilisateurs. Création ou révocation de comptes, mesure et analyse des usages… Il est capital pour un DSI de disposer d’une vision précise de son parc d’utilisateurs. Si vous utilisez les offres Whatsapp, Telegram, Signal ou Dropbox dans un cadre professionnel, il est impossible de s’assurer qu’un salarié, un prestataire ou un client qui n’a plus vocation à accéder à vos informations d’entreprise n’y ait effectivement plus accès. D’autre part, les solutions professionnelles sont conçues et développées pour protéger les données. Par ailleurs, les solutions grand public fondent souvent leur modèle économique sur les données des utilisateurs elles-mêmes. Les professionnels, placent leur valeur ajoutée dans la protection de ces données. Le paradigme est littéralement opposé ! Enfin, les solutions professionnelles sont garanties par des organismes tiers. Chez Ercom, lorsque nous lançons une application sur le marché, nous demandons à l’ANSSI d’en vérifier la sécurité selon un cahier des charges et avec un audit précis en fonction du niveau de qualification visé. Nous testons par ailleurs la sécurité de nos applications sur des plateformes nous mettent en relation contractuelle avec des vrais hackers pour tester nos solutions. C’est très complémentaire car cela permet de tester la sécurité dans un mode plus opérationnel.

Beaucoup d’entreprises ont fait le choix d’autoriser les collaborateurs à utiliser leurs équipements personnels pour mener à bien leurs missions professionnelles. L’une des limites du BYOD, n’est-elle pas justement l’exposition de l’entreprise à des risques dont elle devrait être exempte ?

Raphael Basset : Vous avez parfaitement raison : c’est pourquoi il est important de pouvoir mettre en place, même sur les terminaux BYOD, une logique de containerisation qui consiste à créer deux zones étanches dans la mémoire du terminal, l’une réservée aux usages personnels, l’autre aux activités professionnelles. Les applications personnelles ne peuvent ainsi pas accéder aux informations de l’entreprise. Cette containerisation est disponible avec les solutions de MDM justement qui disposent de technologies de chiffrement.
Ercom propose également de gérer des niveaux de sécurité des terminaux professionnels et personnels. Selon leur « classification » définie par l’administrateur du système, ils peuvent avoir des accès réduits à certaines données. Cet accès est géré cryptographiquement grâce aux clés enfouies dans le Secure Element du terminal.

“Nous testons par ailleurs la sécurité de nos applications sur des plateformes qui nous mettent en relation contractuelle avec des vrais hackers pour tester nos solutions.”

Lorsque l’on oppose les produits professionnels aux produits grand public, on pense d’abord au matériel. Mais une tablette professionnelle sur laquelle des applications grand public sont installées par l’utilisateur, ne constituent-elles pas, elles aussi, une menace ?

Raphael Basset : Absolument et une fois encore avec le RGDP qui précise que les données doivent être conservées dans de bonnes conditions et sur une longue durée, le questionnement est encore plus sensible. Les applications grand public, pour beaucoup, n’offrent pas de chiffrement de bout en bout et des systèmes aboutis de sécurité. Même si elles présentent de nombreuses certifications (privacy shield…) et améliorent certains éléments de sécurité (validation en 2 étapes), elles ne peuvent pas assurer qu’un administrateur malveillant n’ait pas accès aux données. En effet, bien que protégé en « transit », puis chiffré « at rest » (au niveau du stockage dans le cloud), il y a un moment où les fichiers peuvent être lisibles sur les serveurs qui vont traiter les données reçues (indexation…).