L’entreprise 2.0 menace-t-elle la sécurité ?

Au nombre des questions que se posent les dirigeants au sujet de l’entreprise 2.0, celle-ci figure en bonne place. A juste titre. Non  que l’entreprise 2.0 soit nécessairement dangereuse mais parce que toute chose nouvelle introduit par définition un changement dans une situation qu’on s’est évertué à  sécuriser (ou que l’on croit avoir sécurisé). Le principe de précaution joue donc à  plein dans des structures ou la crainte du risque prime sur toute autre chose.

Notre sujet ici n’est pas de disserter sur le fait que cette crainte du risque qui entraine une quasi phobie face à  toute forme de nouveauté est un frein ou non à  l’évolution des entreprises. Il s’agit par contre de déterminer dans quelle mesure l’entreprise 2.0 représente un risque nouveau et, le cas échéant, comment le minimiser voire l’annihiler.

Quelle sécurité ?

Sécurité. Une préoccupation légitime qui recouvre, en fait, un grand nombre de domaines. A tel point que lorsque le sujet est évoqué on ne sait plus trop de quoi on parle, ce qui n’aide pas à  apporter un quelconque élément de réponse. Avec un peu de recul il s’avère que la personne qui vous parle de sécurité a principalement deux préoccupations biens distinctes à  l’esprit : l’une concerne la sécurité structurelle et l’autre la sécurité informationnelle.

Par sécurité structurelle j’entend la protection contre les atteintes qui peuvent êtres portées au système informatique en lui-même. Par sécurité informationnelle celle qui concerne les risques liées à  une propagation non maitrisée ou une divulgation non autorisée des informations.

Sécurité structurelle : un problème qui n’a rien de 2.0 ni de nouveau

La crainte exprimée ici est liée au risque d’une attaque sur l’infrastructure et l’application contenant l’information. Les conséquences peuvent être la destruction et / ou la récupération des données, mais avant tout il s’agit de se prémunir contre un acte malveillant. A priori vous me direz que cela n’a rien de nouveau et que le risque existe depuis que l’informatique et les réseaux d’entreprises existent et que les entreprise s’en accomodent fort bien. Pour ce qui est des attaques « externes » il s’agit d’un problème de sécurité réseau qui n’est pas lié aux applications E2.0 mais au réseau d’entreprise lui-même. Pour ce qui est de l’accès « interne », il importe de vérifier que le fournisseur de la solution a pris les dispositions nécessaires. Ce qui relève d’un audit pour le moins classique et, encore une fois, n’est pas un problème amené par l’entreprise 2.0 car il s’agit d’une question de SI d’entreprise traditionnelle par nature.

Pas de quoi paniquer outre mesure donc. Mais quelle est donc la raison de l’inquiétude latente ?

Le plus souvent il provient d’un grand malentendu. Le plus souvent, l’entreprise 2.0 est inconsciemment associée au Saas dans l’inconscient collectif. Soyons bien clairs sur ce point : même si, du fait que l’entreprise 2.0 trouve ses sources dans le web 2.0 et que le Saas est le mode de mise à  disposition de prédilection des solutions en question, l’équation E2.0=Saas est fausse. C’est un cas fréquent, voire majoritaire mais en aucun cas une vérité systématique. D’ailleurs nombre d’acteurs proposent également d’héberger leurs solutions sur les serveurs de l’entreprise ce qui clôt le débat et nous ramène au paragraphe précédent. Sinon il appartient au fournisseur de prouver la bonne sécurisation et de son logiciel et de son infrastructure. Là  encore rien de nouveau pour des directions informatiques qui ont pour la plupart été amenées à  utiliser des services externalisés par le passé.

Conclusion : si le besoin de sécurité structurel est réel et légitime, la question soulevée n’a rien à  voir avec l’entreprise 2.0. C’est une traditionnelle question de sécurité informatique telle que l’entreprise sait la gérer depuis des lustres. Elle ne se traite donc pas différemment des autres types d’application.

Sécurité informationnelle : un problème avant tout humain

L’entreprise 2.0 visant à  une meilleure diffusion de l’information et à  la suppression de nombres d’obstacles dans les connections et les échanges interpersonnelles, cela n’est pas sans soulever une autre question. L’information est un outil de travail, voire un actif stratégique, et en perdre le contrôle est donc un danger. Et ce d’autant plus que détenir l’information signifie souvent inconsciemment détenir le pouvoir. Ce dernier point n’est pas sans importance : on érige souvent le spectre de la sécurité là  où ne se trouve qu’un problème d’égo mal placé. Ce cas mis à  part, il importe de se plonger davantage dans les détails de ces nouveaux usages sur lesquels pèse souvent une présomption de risque.

Bien sur il faut s’assurer que la solution que vous avez choisi dispose d’une gestion des droit en adéquation avec vos impératifs afin d’être certains qu’une information destinée à  un ensemble de personnes ne se retrouve pas ailleurs. Ca n’est pas parce qu’on parle de fluidifier et de donner de la flexibilité qu’il faut faire n’importe quoi. Un espace social se structure avec des zones libres, d’autres moins. Enfin, c’est un sujet à  traiter en tant que tel.

Reste la vraie question : comment éviter la propagation non désirée d’information. Une réponse simple serait de dire que ça n’est pas parce qu’on échange plus au sein d’un groupe que l’information « fuite » davantage à  l’extérieur. Bien au contraire. Mais je ne suis pas sur qu’elle satisfasse un décideur qui veut quelque chose de plus rationnel. Il y a toujours eu trois deux raisons aux fuites : la malveillance et la maladresse.

On ne peut rien contre la malveillance. Sauf à  regarder à  fois avant de recruter quelqu’un. Ca n’est pas une question d’outil : avant on photocopiait des dossiers, ensuite on a forwardé des mails.

La maladresse vient souvent du fait qu’on diffuse une information à  quelqu’un qui n’aurait pas eu à  la connaitre mais en toute bonne fois. Elle est souvent la cause du manque d’échanges en interne qui oblige un collaborateur à  sortir des voies officielles pour avancer. Dans une certaine mesure la mise en place de plateformes sociales peut limiter les cas de maladresse car offrant des solutions ‘officielles’ répondant aux besoins.

Il n’en reste pas moins que le risque n’est pas dans l’outil. Pas plus que ça n’a été le cas avec le mail ou les correspondances écrites. Le risque est humain et se gère humainement. Aussi paradoxal que cela puisse paraitre, en effet, une gestion technique du risque humain a souvent pour conséquence un accroissement du risque, l’humain essayant de trouver des moyens de contourner la technique et développe ainsi des pratiques hors contrôle et non « sécurisées ».

Quoi qu’il en soit le risque humain existera en dehors de toute considération d’outils. Trop rigidifier les choses augmente le risque. Ne pas le prendre en compte également. Le juste milieu passe par une gouvernance appropriée.

Conclusion : rien de nouveau

Ce qui précède n’apprendra certainement rien à  un responsable informatique, cela éclairera peut être la lanterne de quelques décideurs peu à  même des choses de l’informatique. Pour la simple et bonne raison que l’entreprise 2.0 n’est pas en soi créateur d’un risque sécuritaire nouveau. On retrouve les traditionnels aspects techniques et humains qui s’arbitrent de la même manière. C’est un problème d’entreprise tout court, non lié au 2.0 en particulier.

Il se peut que vos données soient plus en sécurité à  l’extérieur. Ou pas. Il se peut même que des espaces plus flexibles donnent ôtent aux utilisateurs l’envie de contourner les règles. Ou pas.

Et le cas Google/Twitter ?

Bien sur on ne pouvait passer sous silence ce qui s’est récemment passé. Pour ceux qui étaient en vacances, je rappelle que des données confidentielles appartenant à  certaines entreprises ont été volées sur Google. Victime de choix, Twitter dont le business plan s’est retrouvé éparpillé aux quatre vents.

Un pavé dans la mare de l’entreprise 2.0 et du Saas ? A mon avis c’est déjà  la preuve que le risque existe. C’est aussi la preuve qu’il n’est pas si important que cela sachant toutes les entreprises qui ont des données hébergées ailleurs (sur Google, ou autres). N’oublions pas que nombre d’entreprises se sont déjà  fait « hacker » leur système d’information et qu’elles ne le crient pas sur les toits. (Au fait il y a de statistiques sur le sujet ?). Et terminons par une petite précision : la faille exploitée n’est pas une faille technique mais une faille comportementale due à  la négligence des utilisateurs. Bien entendu, on peut augmenter les contraintes qui amèneront les utilisateurs à  être moins négligeants mais ils resteront toujours le maillon faible du dispositif de sécurité. Ce qui nous confirme bien qu’il n’y a rien de nouveau sous le soleil… Soyons clairs : cette affaire est le mauvais argument par excellence puisque les systèmes ont été pénétrés sans être forcés. C’est comme si tout le monde mettait « 1234 » ou « 0000 » comme code de carte bancaire ou notait son numéro sur un post-it attaché à  la dite carte. Soyons également heureux qu’aucune femme de ménage malveillante ne s’amuse à  utiliser les nombreux codes secrets griffonés sur les post its qui ornent 90% des écrans d’ordinateurs dans nombre de bureaux. Ou peut être le font elles mais qu’on publicise moins facilement ce qui se passe chez soi que chez les autres.

Après tout n’oubliez pas que vous faites confiance à  votre banquier pour ne pas dévoiler vos habitudes de dépense au premier venu, et à  votre médecin pour que ce qui a trait à  votre santé ne soit connu que de vous.

Donc pour répondre à  la question figurant dans le titre de cette note , nous dirons « pas plus qu’avant ».

Bertrand DUPERRIN
Bertrand DUPERRINhttps://www.duperrin.com
Head of People and Operations @Emakina / Ex Directeur Consulting / Au croisement de l'humain, de la technologie et du business / Conférencier / Voyageur compulsif.
Head of People and Operations @Emakina / Ex Directeur Consulting / Au croisement de l'humain, de la technologie et du business / Conférencier / Voyageur compulsif.
1,743FansJ'aime
11,559SuiveursSuivre
28AbonnésS'abonner

Découvrez le livre que nous avons co-écrit avec 7 autres experts avec pleins de retours d'expérience pour aider managers et dirigeants

En version papier
En version numérique

Articles récents