Avec l’essor des modes de travail nomades, la transformation digitale des entreprises est aujourd’hui une nécessité. Les employés doivent en effet pouvoir être efficaces quel que soit leur lieu de travail, et retrouver la même fluidité dans leurs outils à distance et en présentiel. Les modèles de travail hybrides ou 100% à distance étant de plus en plus fréquents, comment assurer la sécurité des données et rester en conformité ?
Télétravail, coworking : des modes de travail toujours plus nomades
De plus en plus en plus plébiscité par les salariés, le télétravail a fait un bond considérable ces trois dernières années et réussit maintenant à convaincre les dernières entreprises qui étaient encore réticentes. En 2018, selon une étude du cabinet Michael Page, 38% des salariés français avaient déjà la possibilité de travailler depuis leur domicile, ce qui représentait déjà 11% de plus que l’année précédente.
Au printemps 2020, le Covid a accéléré les choses : si fin 2019, près d’un tiers des salariés et des entreprises pratiquaient le télétravail, ce chiffre est passé à 41 % en mai 2020, selon le baromètre annuel Malakoff Humanis sur le télétravail.
En parallèle, les bureaux partagés et les espaces de coworking se multiplient dans les grandes villes et sur tout le territoire. En cinq ans, le nombre d’espaces de coworking a été multiplié par 10 en France et l’on comptait près de 1 800 espaces de coworking en France en 2019. On peut de plus en plus y travailler de façon très flexible y compris à la journée, ou même quelques heures par mois. Sans oublier les autres situations de travail en mobilité, comme les déplacements professionnels.
Face à tous ces modes de travail autour de la mobilité et du bureau à distance, la transformation digitale et le besoin d’avoir des outils collaboratifs performants et sûrs sont aujourd’hui une nécessité pour les entreprises.
Quel impact sur la gestion des données et leur sécurité ?
Pour répondre aux besoins du travail collaboratif, les entreprises ont mis en place des systèmes utilisant de nombreux flux de données. Du simple accès au serveur de l’entreprise à la version web d’une messagerie en passant par l’utilisation d’une plateforme collaborative complète, ces systèmes nomades permettent une meilleure cohésion d’équipe, pour aller vers plus de collaboration et plus de facilité dans l’avancée des projets, même à distance.
Du coup, les données sont plus mobiles et migrent, elles aussi, vers des supports de travail, des serveurs, des connexions extérieures à l’entreprise. On emmène ses fichiers partout, les appareils sont mobiles et souvent personnels. On échange des informations professionnelles dans des messageries personnelles (WhatsApp, SMS, Messenger…). Les connexions, souvent chez des particuliers ou dans des lieux publics, ne sont pas celles d’une entreprise.
Tous ces réflexes nomades ont un impact sur la sécurité des données, qui se retrouvent exportées et exposées en dehors de l’entreprise. La menace la plus importante en termes de sécurité n’est donc pas la malveillance mais la négligence ; selon l’étude “Cost of a Data Breach” menée par l’Institut Ponemon, en 2017, 53% des fuites de données étaient accidentelles.
Les problèmes liés à la sécurité des données sont donc bien réels. D’où l’importance de renforcer la vigilance de chacun et de s’équiper des bons outils. Mais aussi, de bien connaître la législation en vigueur.
Au sein de ces flux de données, un cadre législatif à respecter
Le RGPD
Depuis le 25 mai 2018, dans le respect du Règlement Général sur la Protection des Données (RGPD), les entreprises sont soumises à l’obligation de veiller à protéger les données qu’elles collectent et qu’elles traitent. Elles sont aussi dans l’obligation de respecter les droits des personnes à qui appartiennent ces données à être informées de leur traitement, y compris par des tiers, en étant claires sur les droits d’accès et de consultation.
Pourtant, selon un rapport d’Accenture sur l’état de la cyber-résilience, en 2018, « 36% des organisations ne faisaient pas appliquer à leur écosystème de partenaires étendu des standards de sécurité équivalents ou supérieurs aux leurs. »
Pour certaines données sensibles, par exemple dans le secteur médical ou bancaire, les enjeux sont encore plus forts. Alors quelles sont les bonnes pratiques à mettre en place ?
Les bonnes pratiques à adopter pour protéger les données
En France, les entreprises peuvent suivre les recommandations de la CNIL, Commission nationale de l’informatique et des libertés, pour être en parfaite conformité sur la sécurité des données qu’elles manipulent.
Elles peuvent aussi :
Faire le choix des bons outils en conciliant sécurité et souplesse
Au-delà du respect du cadre légal, les entreprises doivent aussi réfléchir à la façon dont elles vont choisir leurs plateformes ou solutions Cloud permettant le travail collaboratif, en conciliant cyber sécurité et fluidité des usages.
Être à l’écoute des usages
De nombreux outils et applications sont parfois plébiscités par les équipes avant d’être adoptés de façon plus large et plus officielle. Les salariés souhaitent retrouver dans leurs outils de travail la même souplesse qu’avec leurs applications habituelles. A l’ère du « Bring Your Own Device », beaucoup travaillent avec leurs outils personnels et n’hésitent pas à en introduire de nouveaux dans leurs échanges : outils collaboratifs, logiciels de messagerie, sites d’échanges de fichiers ou d’aide à la planification.
« Dans l’adoption d’un nouvel outil, nous recommandons d’être avant tout à l’écoute des utilisateurs. Non seulement personne ne peut définir mieux qu’eux-mêmes leurs besoins quotidiens, mais en plus, à l’usage, ils savent parfaitement quel outil peut y répondre, souligne Larkin Ryder, Chief Security Officer chez Slack. De plus, si ces outils s’avèrent vraiment performants et très faciles à adopter, c’est toute l’entreprise qui est gagnante! »
De plus, une meilleure écoute et une bonne connaissance des besoins internes permet aussi de découvrir concrètement l’outil et d’en encadrer plus facilement les usages.
Sécuriser les connexions simplement
Les outils collaboratifs sont essentiels à la transformation digitale. Ils répondent de plus en plus facilement aux besoins de cyber sécurité des entreprises et permettent d’intégrer très facilement des solutions d’accès sécurisées. Leur introduction, en concertation avec les équipes, est aussi l’occasion de faire le point sur l’existant et de vérifier la sécurité de toute son infrastructure en elle-même.
Certaines entreprises adoptent ainsi une solution CASB (Cloud Access Security Broker), qui fonctionne comme un outil de surveillance de toutes les applications Cloud de l’entreprise. Ce type de solution permet de contrôler les flux de données, de sécuriser et limiter l’accès aux informations selon des niveaux d’autorisation définis, par exemple à l’aide d’une authentification multi facteurs.
On peut aussi utiliser une solution de SSO, soit « Single Sign-On » ou « authentification unique » en Français. Ce procédé permet à un utilisateur de s’identifier une seule fois pour avoir accès à plusieurs applications. L’authentification unique, utilisant le langage SAML, permet par exemple aux membres d’une équipe d’accéder à un outil collaboratif comme Slack via un fournisseur d’identité unique, appelé aussi connecteur. La quasi-totalité de ces fournisseurs de SSO sont d’ailleurs disponibles dans Slack.
S’agissant de la sécurisation des données, les outils de travail collaboratif doivent eux aussi inclure leurs propres options en laissant aux directions des systèmes d’information la possibilité de les personnaliser et de les configurer en fonction de leurs besoins.
Plus de visibilité, plus de contrôle, plus de conformité
Face à la recrudescence des cyber attaques, les outils renforcent encore davantage leur protection et leur sécurité. Ainsi, Slack a renforcé son système de protection, en étendant notamment le chiffrement des messages à ses fonctionnalités Slack connect (qui permet de dialoguer dans un espace sécurisé avec plusieurs entreprises externes) et Worflow builder, (qui permet d’automatiser certaines fonctions du quotidien).
Slack intègre aussi des contrôles de sécurité mobiles natifs, permettant de bloquer l’export de données lorsque les appareils mobiles ne sont pas reconnus. Les administrateurs ont ainsi la possibilité de :
Un autre point crucial sur lequel il ne faut pas faire l’impasse, c’est la mise à jour des outils. « Certaines attaques profitent de failles qui n’auraient pas lieu d’être si les outils avaient été mis à jour », remarque Larkin Ryder.
La cyber sécurité et la prévention des risques commence donc toujours à un niveau humain, qu’il s’agisse du choix des outils ou de leur sécurisation, en passant par l’adoption de bonnes pratiques. C’est pourquoi les entreprises doivent être vigilantes : non seulement elles doivent faire le choix d’outils sécurisés et en parfaite adéquation avec les usages, mais aussi, elles doivent communiquer sur les responsabilités de chacun lors de son usage de l’outil.