SÉCURISATION DES COMMUNICATIONS MOBILES : POURQUOI CHOISIR UNE SOLUTION B2B PLUTÔT QU’UNE SOLUTION B2C ?
WhatsApp, Skype, Signal, Telegram, Messenger, Google Meet…
Quelques noms de messageries connues du grand public qui sont malheureusement également utilisées en entreprise. Ces messageries sont généralement partie intégrante des outils de collaboration interne et échappent pour la plupart du temps au contrôle de la DSI. Leur gratuité et leurs fonctionnalités facilitent les usages des collaborateurs et optimisent les flux de communication internes et externes. Le problème majeur, c’est qu’elles sont très loin des standards de sécurité qui devraient être en vigueur dans toutes les organisations. Vous souhaitez renoncer à l’utilisation parfois sauvage de ces applications grand public et garantir la souveraineté de vos informations professionnelles en optant pour une solution de communication mobile B2B ? Cet article est fait pour vous.
L’usage des messageries mobiles grand public en entreprise
Il n’existe pas toujours de règles claires quant à l’utilisation des applications grand public en entreprise. Parfois, c’est la DSI qui est à l’initiative pour dépanner un salarié qui a besoin de communiquer facilement et rapidement avec un contact externe. Mais le plus souvent, ces outils sont utilisés en mode shadow IT, c’est-à-dire directement par les salariés et à l’insu de la DSI. C’est ainsi que des documents professionnels confidentiels ou des historiques de conversation se retrouvent hébergés sur les serveurs de Whatsapp/Facebook, Google ou Telegram par exemple.
La popularité de ces solutions s’explique par les nombreux services qu’elles proposent. Non seulement l’ergonomie et l’expérience utilisateur sont bien supérieures aux SMS traditionnels, mais en plus, elles permettent de s’envoyer des fichiers volumineux, incluant photos et vidéos, de transférer des informations en quelques secondes et de constituer des groupes de discussion internes ou externes.
D’autre part, certaines d’entre elles se prévalent de placer la sécurité au cœur de leur stratégie, en particulier grâce à un chiffrement de bout en bout.
Alors, pourquoi ne pas les utiliser ?
Derrière le discours marketing, il existe une réalité technique et sécuritaire dont les utilisateurs n’ont pas conscience qui crée de vrais risques pour l’intégrité et la souveraineté de vos données. Où vont mes données et qui y a réellement accès ?
Les risques générés par les messageries grand public
Exploitation commerciale des métadonnées
Les solutions B2C sont généralement gratuites et donc financées par la collecte massive, ainsi que l’exploitation commerciale et publicitaire de métadonnées. Derrière chaque message envoyé ou chaque document partagé sur ces messageries grand public se cachent de multiples données qui sont souvent invisibles aux yeux des utilisateurs. Ce sont les métadonnées. Il peut s’agir de l’accès au carnet de contacts, au journal des appels ou encore à la géolocalisation. Elles jouent un rôle essentiel afin d’optimiser la plupart des services fournis.
Elles génèrent également des revenus quand elles sont partagées à des sociétés tierces (régies publicitaires, instituts de sondage…). La divulgation de ces métadonnées à des fins commerciales a un impact potentiel sur le secret des affaires.
Enfin, elles sont aussi susceptibles d’être piratées sans que vous ne le sachiez, voire détournées à des fins criminelles (piratage, social engineering, espionnage, etc.). Ce qui exposerait financièrement l’entreprise (atteinte de l’image de marque, perte de contrats, amendes RGPD).
A lire également : Menaces applicatives : leviers pour les pirates, enjeux stratégiques pour les DSI
Gestion inadéquate des groupes de discussion
Par définition, les messageries grand public sont ouvertes et ne sont pas gérées par un administrateur au sein de la DSI.
Elles offrent une liberté aux utilisateurs de pouvoir créer des groupes de discussion, échanger des informations, définir les droits d’accès de certaines personnes à certains groupes et créent ainsi une organisation parallèle qui peut conduire à des fuites d’information si le DSI ne peut les contrôler.
Par exemple, sur ces groupes de discussion, personne ne pense à supprimer les accès d’un collaborateur qui pourrait quitter l’entreprise. Ces derniers continuent donc à voir les discussions internes, y compris des mois après leur départ.
À noter également que ces messageries sont aussi victimes de leur succès (Whatsapp compte aujourd’hui plus d’1,5 milliards d’utilisateurs). Les tentatives de phishing sont nombreuses pour essayer de récupérer les identifiants des utilisateurs. Un seul essai réussi permet donc à un pirate d’accéder aux conversations de millions de salariés et, ainsi, à toutes les données confidentielles qu’elles contiennent.
Sécurisation douteuse des communications
Les messageries B2C insistent parfois sur la sécurité et le chiffrement des communications. Cela est vrai, mais ce sont souvent des protocoles de sécurité qui sont partiels.
Par exemple, pour certaines applications, le chiffrement n’est pas activé par défaut, est effectif uniquement dans les conversations individuelles, et non dans les conversations de groupe.
Quant aux sauvegardes des conversations, pour le cas de Whatsapp, elles sont faites en clair sur les serveurs Google pour Android ou iCloud pour Apple.
Les fichiers partagés ne sont pas, non plus, toujours vérifiés et peuvent contenir des liens dangereux ou des fichiers vérolés.
Enfin, la sécurisation de ces applications dépend de la bonne volonté de l’éditeur. De plus, elles ne sont pas pas systématiquement auditées et certifiées par des organismes compétents et indépendants. C’est notamment le cas de la messagerie Telegram, qui a choisi une approche déconseillée par tous les experts de cybersécurité et de cryptographie, en développant un mode de chiffrement propriétaire.
Les solutions à la disposition des entreprises
Dans ce contexte, les solutions B2B ont beaucoup à offrir. Les fonctionnalités sont souvent identiques à celles qui sont appréciées par les utilisateurs des messageries grand public, mais elles portent la souveraineté et la sécurisation de vos métadonnées et communications à un niveau inégalé.
Le modèle économique des solutions B2B est basé sur l’achat de licences. C’est une condition sine qua non pour permettre une approche privacy by design.
Certaines solutions professionnelles se chargent de chiffrer de bout en bout toutes vos données. C’est une bonne pratique pour réconcilier le besoin de communiquer efficacement au sein de vos équipes, et la confidentialité de vos messages et conversations professionnels. De plus, certains éditeurs font auditer, certifier et qualifier (exemple par l’ANSSI) la sécurité de leur solution en faisant appel à des organismes indépendants et reconnus.
Communications instantanées, appels voix et vidéo de manière individuelle ou en groupe, transfert instantané de fichiers… la sécurisation des échanges est transparente et fonctionnelle sur tous les terminaux et les réseaux. Que vos interlocuteurs utilisent un iPhone, un PC, une tablette Android ou un Mac, vous êtes en mesure de fluidifier vos échanges d’informations confidentielles.
De plus, l’administrateur peut gérer facilement les comptes des utilisateurs, révoquer des membres indésirables et disposer de statistiques d’usage précises dans le respect de la vie privée et professionnelle de vos collaborateurs.
Les solutions professionnelles de messagerie allient le pratique au nécessaire. Vos communications sont toujours aussi accessibles, mais elles disposent de protocoles de sécurisation uniques qui garantissent l’intégrité et la souveraineté des échanges. Vos emails confidentiels, comme vos discussions avec vos associés ou vos collègues sont protégés et aucune extraction, ni exploitation commerciale des données utilisateurs n’est possible.
Alors que les communications du quotidien avec vos amis et votre famille peuvent transiter sur des solutions grand public, dès que la question se déporte dans la sphère professionnelle, il est important de redoubler de prudence. Entre risque de piratage, interception, écoutes et utilisation frauduleuse des données, ne laissez pas la porte de votre smartphone ouverte aux pirates, aux cybercriminels et au ciblage publicitaire.
