Comment combattre les fuites de données via les réseaux sociaux ?

Une analyse sur la fuite des données induite par l’utilisation des réseaux sociaux en entreprises à l’heure du Bring Your Own Device (BYOD), par l’un des principaux responsables de la firme Russe, spécialiste de la DLP. Evidemment son analyse a pour vocation à convaincre les décideurs informatiques d’utiliser justement la DLP, et tant qu’à faire les solutions DeviceLock. Peu importe, l’analyse est malgré tout éclairante…

Par Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock

En France, selon l’Ifop, 77% des internautes se déclarent membres d’au moins un réseau social. La moyenne s’établit à 2,8 réseaux sociaux auxquels un internaute français appartient. Outre la baisse de productivité des salariés et la consommation de bande passante réseau ou encore l’exposition à des contenus inappropriés, comme le confirme une récente enquête du Ponemon Institute, l’utilisation des réseaux sociaux en entreprise accentue deux types de menaces : les infections par des virus ou autres codes malveillants et les fuites d’informations confidentielles. S’il est clair que les logiciels antivirus peuvent atténuer efficacement les risques de malwares, la menace de fuite de données n’est pas très bien prise en compte et les scénarios spécifiques liés aux réseaux sociaux sont mal compris. Nombre de responsables de la sécurité des systèmes d’information (RSSI) se demandent en fait comment combattre cette menace.

Réseaux sociaux en entreprise, je t’aime moi non plus

Pour de nombreuses entreprises, les réseaux sociaux sont devenus un outil essentiel au service de la plupart de leurs processus métiers. Les interactions avec ses réseaux, tant en interne qu’à l’extérieur, peuvent servir à construire l’image de marque, améliorer la réputation de la société, fidéliser la clientèle, recruter des talents, mobiliser les connaissances collectives des collaborateurs, raccourcir le cycle de développement ou bien optimiser la réactivité du support technique. En effet, les responsables RH recherchent des candidats sur LinkedIn et XING, les équipes de R&D publient leurs guides de développement sur des wikis d’entreprise et l’équipe du support technique emploie la messagerie instantanée pour discuter en temps réel des problèmes critiques concernant un produit. Même le CRM, de par sa nature intrinsèque, s’appuie sur un ensemble de communications sociales profilées en fonction des besoins spécifiques de l’activité.

En parallèle, les progrès incroyables de l’électronique grand public ont conduit à une consumérisation de l’informatique dans les entreprises, où les salariés ont tendance à apporter leurs propres équipements. Le phénomène du Bring Your Own Device rend donc l’utilisation des réseaux sociaux inévitables. Il est quasi impossible d’empêcher vos collaborateurs de poster sur des blogs, de « chatter » et de consulter leurs réseaux sociaux favoris à partir de leur ordinateur portable ou smartphone personnel tout en l’utilisant à des fins professionnelles.

Cependant, les avantages que les médias sociaux apportent aux entreprises vont de pair avec divers problèmes. Le système d’information peut rapidement être infecté lorsque les salariés téléchargent des fichiers et données sur les ordinateurs qu’ils utilisent dans le cadre de leur travail. Les fuites de données peuvent se produire accidentellement ou délibérément lorsque des informations sensibles pour l’entreprise sortent de son réseau interne.

 

Avant tout, une charte d’utilisation des réseaux sociaux est une condition préalable à leur sécurisation dans un environnement d’entreprise. Cependant, les erreurs, la curiosité, la négligence et autres écarts font inéluctablement partie de la nature humaine. Par conséquent, même la meilleure des chartes risque d’être souvent enfreinte. C’est pourquoi, aux côtés des mesures organisationnelles, les RSSI doivent choisir et déployer une solution de sécurité capable de prévenir avec efficacité la fuite de données sensibles de l’entreprise, depuis les postes de travail via les profils personnels et professionnels des salariés sur les réseaux sociaux. La difficulté est de le faire sans bloquer entièrement l’accès aux sites et services, car cela aurait une incidence négative sur la productivité et le moral des collaborateurs.

Une seule solution : la DLP

La solution passe par la différenciation des informations personnelles, professionnelles, publiques et confidentielles dans les échanges sur les réseaux sociaux. Elle doit donc être orientée données et reconnaître les contenus. En outre, pour que les communications sociales légitimes (c’est-à-dire conformes à la charte relative aux réseaux sociaux) ne soient pas affectées, la solution retenue doit prendre des décisions et les appliquer immédiatement. Cela implique l’utilisation de méthodes d’analyse de contenu en temps réel. Parmi les nombreuses technologies existantes de sécurité informatique, la seule qui réponde véritablement à l’ensemble de ces critères est la prévention des fuites de données (DLP, Data Leak Prevention).

Face au grand nombre de solutions DLP aujourd’hui disponibles sur le marché, le choix de la plus efficace pour sécuriser les réseaux sociaux dans une entreprise dépend principalement des critères suivants. Tout d’abord, il faut trouver un équilibre entre l’éventail des services que l’entreprise doit contrôler et la couverture des réseaux sociaux assurée par une solution DLP. En règle générale, il vaut mieux que la solution en question contrôle le plus de services possible. Elle doit au moins couvrir les réseaux sociaux et services de messagerie instantanée les plus répandus, à savoir Google+, Facebook, Twitter, LinkedIn, XING, LiveJournal ainsi que Skype, ICQ/AOL, Windows Live Messenger, Jabber, IRC et Yahoo! Messenger.

Un autre critère tout aussi important concerne le degré de contrôle que la solution DLP offre sur les divers canaux de fuite de données, en fonction de l’utilisation que l’entreprise fait des réseaux sociaux. Par exemple, les communications sociales des salariés, à partir de leur poste de travail au bureau pour des échanges au sein de l’entreprise ou sur Internet, peuvent voir leur contenu contrôlé par des passerelles DLP implantées à la périphérie du réseau d’entreprise. Dans le même temps, en raison de l’omniprésence des réseaux sans fil modernes, l’utilisation de terminaux mobiles (smartphones, tablettes et ordinateurs portables), fait craindre un scénario catastrophe. En effet, le terminal d’un salarié, qu’il soit sa propriété ou celle de l’entreprise, même utilisé au bureau, peut facilement contourner non seulement la sécurité de périmètre, mais aussi l’ensemble du réseau de l’entreprise en se connectant à des réseaux mobiles 3G, voire à des bornes d’accès WiFi extérieures situées à proximité. Tout cela s’applique aussi lors d’une utilisation à distance, que ce soit en voyage, chez un client ou à domicile.

L’incapacité des solutions de sécurité, résidant sur le réseau, à contrôler les communications des mobiles signifie que les entreprises doivent mettre en place des mesures de contrôle des réseaux sociaux directement sur les terminaux à protéger au moyen d’agents logiciels DLP. Fonctionnant sur le terminal, l’agent DLP analyse et filtre le contenu de tous les échanges sur les réseaux sociaux en fonction de la charte de sécurité de l’entreprise, quels que soient le lieu et le moyen de connexion à Internet ou au réseau de l’entreprise.

Toutefois, dans le cas des smartphones et tablettes reposant sur le système Android ou iOS, le contrôle des réseaux sociaux n’est aujourd’hui pas aussi simple que sur les ordinateurs portables Windows ou Mac. Il est en effet actuellement impossible d’installer des agents DLP sous Android et iOS sans « jailbreaker » (modifier illégalement) le système d’exploitation, ce qui constitue une méthode inacceptable pour la sécurité informatique de l’entreprise. En revanche, dans les années à venir, plusieurs solutions de sécurité innovantes en mode cloud devraient faire leur apparition sur le marché pour protéger les données des entreprises contre les fuites sur les réseaux sociaux, à partir des smartphones et tablettes.

Au moment d’évaluer le niveau de couverture des médias sociaux par une solution DLP, il ne faut pas oublier que les réseaux sociaux les plus fréquentés, tels Google+, Facebook ou Twitter, ainsi que les messageries instantanées emploient des méthodes de cryptage standard (par exemple HTTPS ou FTPS) ou propriétaires (à l’image de Skype) pour sécuriser les communications réseau entre le terminal et le site Web du réseau social ou le poste de l’interlocuteur. Il est crucial que les agents DLP installés sur les terminaux puissent intercepter ces communications de manière à extraire les données transférées en clair afin d’en filtrer le contenu. Dans certains cas, cette interception ne peut s’effectuer que sur le terminal, et non sur la passerelle DLP. C’est notamment le cas lorsqu’il s’agit de contrôler le contenu des messages instantanés cryptés par Skype.

Une autre fonctionnalité essentielle pour assurer la couverture de tous les canaux empruntés par les réseaux sociaux est la capacité pour l’agent DLP de contrôler les communications réseau qui transitent par des proxies HTTP et SOCKS. Souvent, ces proxies sont utilisés par les utilisateurs ou configurés automatiquement et, si l’agent DLP présent sur le terminal ne peut intercepter et analyser les communications passant par leur intermédiaire, cela crée un risque non maîtrisé de fuite de données entrantes ou sortantes, et accroît nettement le risque d’infection par un malware.

Conclusion

Donc, une fois que la couverture des réseaux sociaux et l’exhaustivité du contrôle des canaux DLP sont garanties, la solution DLP choisie préviendra avec fiabilité les fuites de données via les communications sociales. En outre, grâce à un filtrage des types de données permettant de bloquer le téléchargement de code exécutable à travers les réseaux sociaux, les solutions DLP peuvent également réduire les risques d’infection par des malwares.