Considérée comme la future « relève », la génération Y, celle des 25-35 ans, s’est très facilement adaptée au monde du numérique. Comment la définiriez-vous ?
C’est un constat au quotidien : la sécurisation du réseau d’une organisation relève de la gageure. D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y. Cette génération du millénaire, celle qui regroupe les 20 – 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis seraient dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC. La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel défi à la sécurité des réseaux de nombreuses organisations.
Tout commence par une utilisation intensive des réseaux sociaux. Pensez-vous que cela impacte négativement leur travail ?
De nombreuses organisations se sont sans doute déjà posées la question. Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein à la productivité au travail, tout comme les téléphones mobiles et les SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, a minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs. Par ailleurs, du point de vue de la sécurité des réseaux, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et les attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par réorienter les utilisateurs vers des sites web malveillants ? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, ils ne se rendent cependant pas compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur. Face à cela, il est simple à l’entreprise de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique permet ainsi de surveiller certaines URLs afin d’empêcher d’y accéder. De son côté, la fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.
Vous estimez donc qu’une limitation de cet accès aux réseaux sociaux serait préférable durant les périodes de travail ?
Une approche plus pertinente consisterait, avant toutes choses, à identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les médias sociaux ainsi que la formation des collaborateurs sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client. Ensuite, la ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sûre que de faire aveuglément confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.
Peut-on imaginer que certains dispositifs de sécurité informatique soient plus particulièrement adaptés à une entreprise constituée de jeunes adultes ?
Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les Directeurs des systèmes d’information (DSI) doivent repenser comment déployer chaque couche de sécurité. Par exemple, avec de multiples couches de sécurité qui collaborent pour protéger les données, les dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques. Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications d’entreprise comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité.
Comment y remédier ?
Les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes à l’aide de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinentes et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité. Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés. De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale des systèmes d’information. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseaux et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.
Quels sont les autres apanages de la génération Y et quels sont les risques pour l’entreprise ?
Les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés. C’est ce que l’on appelle le Shadow IT. Lequel fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation. C’est un réel défi en matière de sécurité et de gouvernance. Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.
Comment réagir face à cela ?
Il faut savoir que le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en prenant mieux en compte les besoins et attentes de leurs utilisateurs. Il ne suffit pas d’interdire unilatéralement à ces collaborateurs d’utiliser des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée. Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leurs clouds personnels, que vous le vouliez ou pas. En revanche, la sensibilisation des collaborateurs et le déploiement de technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.
Propos recueillis par Ségolène Kahn
Commentez