Varonis Systems, une société américaine spécialisée dans les solutions de gouvernance des données pour les entreprises a réalisé récemment une étude un peu déroutante qui révèle que 67% des cadres et employés interrogés durant cette enquête ignorent où se trouvent précisément les données de leurs entreprises. Selon le commanditaire de ce travail, cela signifie non seulement que les dites entreprises ne disposent pas des outils nécessaires à la localisation effective des précieux fichiers et dossiers sauvegardés dans les services de Cloud Computing ou de stockages externes utilisés mais cela indique aussi que les règles de base permettant de disposer de ces informations sont totalement ignorées par les services informatiques en question. D’ailleurs, 74% des représentants des sociétés interrogés lors de cette étude reconnaissent qu’ils ne prennent pas les précautions nécessaires.

Un problème majeur à l’heure du BYOD

L’enquête a pourtant été réalisée lors du dernier symposium EMC World , le leader mondial des solutions de stockage de données, auprès de 400 entreprises participantes pourtant venues entendre la « bonne parole » concernant la sécurité des informations qui sont au cœur des affaires qu’elles mènent au quotidien. Ce constat est considéré comme d’autant plus inquiétant que se développe le phénomène décrit par les américains sous une appellation synthétique dont ils ont le secret : le BYOD ou Buy Your Own Device. Cet acronyme désigne la forte tendance actuellement observée dans les sociétés qui consiste à autoriser l’usage des tablettes ou des smartphones personnels en lieu et place des outils imposés et dûment homologués par le service informatique. Ce principe a l’avantage de respecter les choix et les goûts personnels des employés mais pose de graves problèmes de sécurité puisque les données que ces appareils produisent ou manipulent doivent être régulièrement synchronisées avec les informations sauvegardées dans les serveurs de l’entreprise. De ce fait, les fichiers stockés sur des services de Cloud Computing externes, non gérés directement par l’entreprise à laquelle appartiennent les salariés, peuvent être placés dans des dossiers de façon malencontreuse ou tout simplement perdus, ou encore envoyés vers des utilisateurs non habilités à les recevoir. Comme on le voit, cela pose des problèmes autant pour les données personnelles que pour les informations propres à l’entreprise.

Des synchronisations à haut risque

Parmi les entreprises qui utilisent des services de synchronisation basés sur le Cloud, moins de 10% ont affirmé qu’elles disposaient d’un système d’autorisation et de contrôle d’accès aux informations, alors que 23% déclaraient être seulement en train de l’installer ou d’y réfléchir. Le reste des représentants de sociétés interrogées, soit 63% de l’échantillon, n’a pas mis en place de dispositif approprié pour protéger la synchronisation des données de leurs salariés avec les serveurs externes utilisés, soit par négligence, soit par ignorance totale de l’existence de solutions de gouvernances des données. Ce qui est la porte ouverte à toutes les manipulations indésirables.

Ce constat inquiétant ne veut pas dire que ces dernières entreprises sont totalement ignorantes des risques encourus. Pour un grand nombre d’entre elles, celles-ci privilégient leur propre système de stockage de données au lieu de recourir à des solutions de type Cloud, et donc mettent en œuvre des procédures de contrôle interne qui leur sont propres. Une majorité des entreprises consultées lors de cette enquête, soit 57% de l’échantillon, ont également admis qu’elles pourraient être favorables à l’utilisation d’équipements portables personnels – les fameux BYOD – si elles étaient sûres de disposer de systèmes appropriés d’accès aux données, c’est à dire leur apportant de réels modes de contrôle et de sécurisation des transferts d’informations entre leurs salariés et les serveurs utilisés pour la synchronisation.

Quelques règles simples à observer

La société Varonis, dont le responsable pour l’Europe se déclare assez étonné des résultats de cette étude, préconise en retour quelques règles de base à observer pour mettre en place des pratiques de travail collaboratives sécurisées au sein des entreprises.

Ces règles sont au nombre de cinq :

  1. réaliser un inventaire exhaustif des plateformes de travail collaboratives les plus utilisées pour identifier les lieux où les données sont stockées, les types d’informations traitées par ce canal ainsi que les utilisateurs qui y accèdent,
  2. identifier les propriétaires des données par type d’informations et leur demander de vérifier leurs lieux de stockage et leurs destinataires,
  3. restreindre l’accessibilité des données aux seuls destinataires légitimes et éviter de stocker des informations sensibles dans des endroits mal ou peu identifiés,
  4. établir un suivi exhaustif des accès aux données et de leurs titulaires pour faciliter leur identification et rendre le contrôle d’accès plus efficace,
  5. mettre en place un système de contrôle d’accès sécurisé pour les employés distants, en mobilité ou en travail à domicile.

Une autre démarche consiste à construire un dispositif de travail collaboratif ouvert aux collaborateurs itinérants en partenariat avec son hébergeur. Celui-ci est à même d’indiquer clairement ou sont stockées les données qui lui sont confiées. Il aura aussi les compétences nécessaires pour mettre en œuvre des modalités de contrôle d’accès et pour aider ses clients à déployer des flottes de terminaux mobiles hétérogènes dans le cadre d’une politique qui accepte le principe du BYOD.