Cybersécurité / Du perso sur mon Pro, promis demain j’arrête !

Et si justement, il n’était pas temps d’en finir ? Plutôt que de chercher des compromis, qui présentent des risques de cybersécurité (clé USB, site web, mail personnels) et peuvent entraîner des risques psycho sociaux (burn-out…), pourquoi ne pas ériger clairement et simplement une barrière ? Cette position peut bien sûr sembler rétrograde et à contre-courant mais elle mérite qu’on s’y intéresse sérieusement.

Rétrospectivement, nous sommes passés en 30 ans d’un monde où les entreprises commençaient tout juste à recourir à l’outil informatique et se connecter en réseau, à un monde où notre vie et tous nos outils, professionnels et personnels, se connectent et cohabitent dans un même univers.

A chaque étape de cette transformation numérique, les DSI ont dû s’adapter pour mettre en place des mesures permettant de protéger leurs systèmes d’information (proxy, filtrage d’URL, DLP, déchiffrement des flux https…) et les équipements mis à disposition, tout en accordant cette souplesse d’usage des outils professionnels à des fins personnelles.

Une problématique renforcée avec l’arrivée du concept de BYOD (« Bring You Own Device »), qui n’a pas connu le succès espéré en France du fait de sa complexité (obligation de fournir l’outil de travail, manque de maîtrise des équipements utilisés, incompatibilité avec le RGPD…).

Qu’en est-il aujourd’hui ?

Depuis l’arrivée de la 3G, nous disposons de débits plus élevés et d’une couverture géographique quasi totale. Nos smartphones ont également gagné en performances. Résultat : notre vie personnelle tient dans 9 cm².

Paradoxalement, nous continuons d’utiliser les ressources de l’entreprise à des fins personnelles. Des smartphones, mais surtout des PC portables, qui deviennent de ce fait vulnérables de par l’usage que nous en faisons (téléchargements, accès aux réseaux sociaux, achats en ligne, messagerie…). Avec pour exemples :

• l’introduction de logiciels malveillants dissimulés dans des jeux ou des utilitaires comme le cryptomalware Netwalker (Mailto)
• la présence de faux sites internet piratés permettant de prendre la main sur une machine, illustrés par le kit d’exploit Fallout
• ou encore la fameuse clé USB piégée, fournie massivement via des campagnes de publicité ou laissée nonchalamment dans l’environnement cible (cas spécifique pour des attaques très ciblées)

Nos équipements professionnels continuent ainsi toujours plus à être une véritable porte d’entrée sur l’entreprise et une source de problématiques de sécurité continue pour les DSI. Hors, toutes ces attaques seraient bien moins efficaces sur une machine strictement dédiée à l’activité professionnelle.

Et si nous séparions le monde pro du perso ? Pourquoi donc ne pas décider que le PC pro est strictement pro, et laisser la vie privée sur le smartphone personnel ? De cette façon, le poste professionnel pourrait être durci comme il se doit, strictement configuré pour exécuter les tâches professionnelles avec le niveau de latitude inhérent à la mission du collaborateur. Un accès Internet simple en liste blanche (voir sans accès internet), des ports USB bloqués aux seuls périphériques de l’entreprise, une liste d’applications installées strictement encadrée et pas d’accès administrateur sur le poste. Et pour aller au bout de l’idée et impliquer le collaborateur, pourquoi ne pas proposer en contrepartie un réseau Wifi Guest pour les accès personnels sur smartphone, ou même offrir une tablette à l’embauche. Le coût de ces « cadeaux » étant largement compensé par l’économie réalisée en matière de risque pour l’entreprise. Une autre piste serait de définir, sur les ressources fournies par l’entreprise, des environnements de travail complétement isolés et différenciés selon les usages,  à l’image du système d’exploitation multiniveau ClipOS de l’ANSSI. Et ce raisonnement peut être étendu au téléphone professionnel. Autoriser à la fois l’installation de jeux et l’accès à une messagerie sur un smartphone constitue un risque difficilement acceptable aujourd’hui.     Nous le savons, le compromis est source de faiblesses. Dans notre environnement numérique actuel, où les menaces prennent une ampleur inquiétante, la moindre faille pour une entreprise peut conduire à sa faillite. Alors pourquoi ne profitons-nous pas de nos outils modernes pour mieux distinguer les rôles et dédier notre outil de travail, au travail ? Ainsi nous faciliterions la vie de la DSI, nous simplifierions les aspects juridiques et nous participerions à faire du droit à la déconnexion une réalité nécessaire à notre santé mentale. En attendant, les nouveaux usages liés au télétravail massif depuis maintenant un an continuent à fragiliser la sécurité des entreprises. Quelques bonnes pratiques peuvent d’ores et déjà être rapidement mises en œuvre pour responsabiliser les collaborateurs et protéger leurs postes de travail.