Imaginez que vous êtes un vendeur et que lorsque vous essayez de visiter le site Web d’un client, vous recevez un message indiquant qu’il est bloqué car il ne figure pas sur la liste blanche de votre entreprise. Ou peut-être êtes-vous programmeur et lorsque vous installez la dernière version du logiciel de développement Eclipse que vous utilisez pour écrire du code, votre ordinateur (et votre service informatique) ne le permet pas. Chaque entreprise s’inquiète de la cybersécurité, mais il y a une chose telle qu’être trop verrouillé.
Par exemple, les services informatiques cherchent à freiner le comportement imprudent des employés en bloquant les sites Web et les applications non liées au travail sur les réseaux d’entreprise. Le rapport Application Intelligence d’A10 Networks publié plus tôt cette année a révélé que près des deux tiers des employés (61 %) déclarent que leur entreprise bloque des sites ou des applications spécifiques.
Mais empêcher les employés d’avoir un certain degré de liberté technologique – qu’il s’agisse d’installer des logiciels, de télécharger des applications ou de choisir un autre navigateur Web – peut avoir un effet négatif sur leur productivité. Certains soutiennent que des politiques de sécurité strictes sont en contradiction avec le climat actuel de perturbation numérique et peuvent entraver la capacité d’innovation d’une entreprise dans un paysage de plus en plus concurrentiel.
Le problème commence lorsque les employés, habilités par la disponibilité permanente de l’informatique à portée de main, veulent utiliser leurs propres ordinateurs portables et autres appareils personnels sur le lieu de travail, ainsi que télécharger le logiciel qui, selon eux, facilitera leur vie professionnelle.
Il appartient à l’équipe informatique de décider dans quelle mesure elle souhaite restreindre les choix des utilisateurs. La sécurisation de l’organisation est la priorité, et avec l’augmentation de la fréquence et de la complexité des cyberattaques, il est facile de comprendre le besoin irrésistible du service informatique de tout verrouiller.
Par exemple, les attaques de rançongiciels très médiatisées ont fait la une des journaux au cours des deux dernières années. Ils sont maintenant dépassés par une augmentation des attaques sans fichier alors que les développeurs de logiciels malveillants intensifient leurs efforts d’évasion. Pendant ce temps, l’analyste Gartner prévoit qu’il y aura 25,1 milliards de terminaux Internet des objets (IoT) installés d’ici 2021, augmentant la pression sur les équipes informatiques pour sécuriser tous les appareils connectés au réseau d’entreprise.
Le problème, selon le service informatique, est que les employés sont souvent à l’origine de telles failles de sécurité au sein d’une organisation. En fait, le rapport 2018 de Shred-it sur l’état de l’industrie : la sécurité de l’information montre que 84 % des cadres supérieurs et 51 % des propriétaires de petites entreprises pensent que la négligence des employés est l’un des plus grands risques pour la sécurité de l’information pour les entreprises américaines.
Ainsi, l’une des principales causes de conflit entre le service informatique et les employés est le téléchargement d’applications non autorisées à utiliser sur le lieu de travail. Le rapport d’A10 Networks note que près d’un tiers (30 %) des employés déclarent utiliser sciemment des applications non autorisées au travail ou sur des appareils appartenant à l’entreprise. Cependant, un tiers de ceux qui téléchargent des applications non approuvées affirment que leur propre service informatique leur a forcé la main, ce qui souvent ne leur donne pas accès aux applications dont ils ont besoin pour faire leur travail.
« Si vous rendez [la technologie] si restrictive que vous n’avez aucun risque, personne ne l’utilisera jamais », a déclaré à Tom’s Hardware David Mayer, qui dirige l’activité Connect Workforce d’Insight.
Trouver un juste équilibre
Les experts en sécurité conviennent que la posture de sécurité d’une organisation doit être équilibrée avec la productivité et le bonheur des employés.
« Permettre aux employés de travailler comme ils le souhaitent et d’utiliser les outils qu’ils veulent introduit une énorme quantité de risques dans un environnement par ailleurs sécurisé. Cependant, ne pas leur permettre de le faire peut tuer la productivité de vos employés », a déclaré Joey Costa, PDG de Raleigh, fournisseur de services de sécurité gérés (MSSP) The Tek, à Tom’s Hardware.
Selon Costa, la solution consiste pour une entreprise à concentrer son programme de sécurité sur l’expérience utilisateur. Il conseille « de travailler avec vos utilisateurs pour comprendre comment ils veulent travailler, quels types d’applications et de systèmes d’exploitation ils veulent utiliser et de concevoir votre programme de sécurité pour l’activation et l’extensibilité qui vous permettront d’augmenter la productivité et la satisfaction des employés tout en gardant votre global niveau de risque faible. »
Jake Madders, directeur de Hyve Managed Hosting, qui possède des centres de données à Los Angeles, Boston et Miami, convient que les chefs informatiques devraient essayer de trouver un équilibre.
« Les entreprises doivent chercher à responsabiliser leurs employés dans tous les sens, y compris en ce qui concerne la technologie. Empêcher les utilisateurs d’apporter des modifications importantes à leur logiciel est une chose, mais imposer des restrictions aux employés effectuant des modifications simples, telles que le choix d’un navigateur Web différent, risque de les condescendance et finalement de les démotiver », a-t-il déclaré à Tom’s Hardware. « Internet peut être un excellent outil pour découvrir de nouvelles façons créatives de gagner du temps et d’augmenter l’efficacité grâce à de nouvelles applications. Il est donc essentiel de permettre aux employés d’avoir la liberté de le faire pour développer l’entreprise en interne. »
Madders estime que la formation est essentielle pour s’assurer que les employés n’affaiblissent pas involontairement les défenses de leur entreprise.
« La clé ici est l’éducation – enseigner aux membres de l’équipe comment rester en sécurité, ainsi que quoi et comment les politiques de sécurité de l’entreprise sont mises en œuvre », dit-il. « Après tout, une sécurité adéquate est construite à partir de zéro – en commençant par la vulnérabilité principale, qui est souvent, sans doute, les utilisateurs eux-mêmes. »
L’analyste indépendant du secteur, Rob Bamforth, convient avec les services informatiques que le maillon faible de la plupart des chaînes de sécurité sont les employés eux-mêmes, mais impliquer la main-d’œuvre avec de bonnes pratiques de sécurité signifie commencer par le haut.
« Il est essentiel qu’ils comprennent, adhèrent et soutiennent globalement les programmes et procédures de sécurité. Cela dit, les décrets émanant d’un décideur en matière de sécurité qui semblent en contradiction avec les besoins de l’entreprise ne sont pas bons non plus », a-t-il déclaré à Tom’s Hardware.
« Les bons RSSI comprennent cela. La sécurité doit être engagée avec et proche de l’entreprise et des utilisateurs. Les risques de sécurité et les vulnérabilités doivent être compris par tous dans un contexte commercial. Quel est l’impact sur l’entreprise ? Une compréhension large facilite l’adhésion et aide l’organisation à adopter une posture de sécurité pratique qui convient à l’entreprise, pas trop pénible pour les utilisateurs et offre une protection suffisante.
Fait intéressant, le rapport Shred-it note que la plupart des entreprises nord-américaines se disent confiantes dans les efforts de leurs employés pour protéger les données de l’entreprise, mais la plupart ne fournissent pas au personnel une formation régulière sur les procédures de sécurité de l’information.
« Ironiquement, de nombreuses entreprises placent encore la responsabilité de la sécurité des données sur leurs employés », indique-t-il.
Limiter les risques
Mayer d’Insight affirme qu’il n’y a aucune raison aujourd’hui pour une organisation d’imposer des politiques de sécurité trop restrictives, bien qu’il reconnaisse que parfois « c’est la solution de facilité ».
En fin de compte, la meilleure posture de sécurité à adopter pour une entreprise est celle qui ne consiste pas à restreindre les utilisateurs, mais à limiter les risques.
« Il existe une technologie de gestion qui garantit que les applications [non autorisées] n’accèdent même pas au réseau de l’entreprise ; ils ne vivent que sur la machine de l’utilisateur. Les solutions Cloud Access Security Broker [CASB] peuvent vous empêcher d’accéder à certains sites au travail, par exemple », dit-il, ajoutant que cela revient à l’équilibre.
« Vous équilibrez un profil de risque. Quel est le risque que vous êtes à l’aise de prendre ? Il n’y a aucun moyen de créer un système flexible qui soit 100 % sécurisé. Mais si vous pouvez le sécuriser à 97 %, puis que vous pouvez gérer et suivre ces trois derniers pour cent, c’est peut-être un profil de risque que vous êtes prêt à adopter.
La réponse réside dans la recherche d’un équilibre où l’informatique ne se sent pas obligée de trop réprimer les activités ou le comportement des utilisateurs, ce qui pourrait finalement conduire à la frustration et à l’incapacité d’évoluer en tant qu’organisation. Les professionnels de la sécurité doivent peser les risques pour l’organisation tout en restant flexibles face aux besoins et aux attentes des employés vis-à-vis du lieu de travail moderne.
