Cybersécurité / Du perso sur mon Pro, promis demain j’arrête !

Et si justement, il n’était pas temps d’en finir ? Plutôt que de chercher des compromis, qui présentent des risques de cybersécurité (clé USB, site web, mail personnels) et peuvent entraîner des risques psycho sociaux (burn-out…), pourquoi ne pas ériger clairement et simplement une barrière ? Cette position peut bien sûr sembler rétrograde et à contre-courant mais elle mérite qu’on s’y intéresse sérieusement.

Rétrospectivement, nous sommes passés en 30 ans d’un monde où les entreprises commençaient tout juste à recourir à l’outil informatique et se connecter en réseau, à un monde où notre vie et tous nos outils, professionnels et personnels, se connectent et cohabitent dans un même univers.

A chaque étape de cette transformation numérique, les DSI ont dû s’adapter pour mettre en place des mesures permettant de protéger leurs systèmes d’information (proxy, filtrage d’URL, DLP, déchiffrement des flux https…) et les équipements mis à disposition, tout en accordant cette souplesse d’usage des outils professionnels à des fins personnelles.

Une problématique renforcée avec l’arrivée du concept de BYOD (« Bring You Own Device »), qui n’a pas connu le succès espéré en France du fait de sa complexité (obligation de fournir l’outil de travail, manque de maîtrise des équipements utilisés, incompatibilité avec le RGPD…).

Qu’en est-il aujourd’hui ?

Depuis l’arrivée de la 3G, nous disposons de débits plus élevés et d’une couverture géographique quasi totale. Nos smartphones ont également gagné en performances. Résultat : notre vie personnelle tient dans 9 cm².

Paradoxalement, nous continuons d’utiliser les ressources de l’entreprise à des fins personnelles. Des smartphones, mais surtout des PC portables, qui deviennent de ce fait vulnérables de par l’usage que nous en faisons (téléchargements, accès aux réseaux sociaux, achats en ligne, messagerie…). Avec pour exemples :

• l’introduction de logiciels malveillants dissimulés dans des jeux ou des utilitaires comme le cryptomalware Netwalker (Mailto)
• la présence de faux sites internet piratés permettant de prendre la main sur une machine, illustrés par le kit d’exploit Fallout
• ou encore la fameuse clé USB piégée, fournie massivement via des campagnes de publicité ou laissée nonchalamment dans l’environnement cible (cas spécifique pour des attaques très ciblées)

Nos équipements professionnels continuent ainsi toujours plus à être une véritable porte d’entrée sur l’entreprise et une source de problématiques de sécurité continue pour les DSI. Hors, toutes ces attaques seraient bien moins efficaces sur une machine strictement dédiée à l’activité professionnelle.