Nous sommes en pleine crise du COVID-19, et confinement oblige, de nombreuses entreprises ont dû urgemment mettre en place le télétravail pour leurs collaborateurs. Puisque les salariés — pour qui le travail à distance est possible — ont l'interdiction de sortir de chez eux pour aller au bureau, les DSI ont vite vu de nouvelles applications être utilisées avec ou sans leur permission pour faciliter le travail à distance…  Mais on le sait, on ne peut pas avoir une solution à la fois sécurisée, mise en place rapidement et à bon prix.

Il va donc forcément y avoir un retour de bâton, et pas forcément là où on s'y attend.

Les entreprises se sont outillées en urgence

Pour les entreprises qui ont su s'équiper, VPN, Zoom, Slack, Jitsi, Teams, WeTransfer, DropBox, Drive sont des nouveaux termes qui étaient pour la plupart inconnus des utilisateurs n’ayant pas régulièrement recours au télétravail qui font désormais partie du quotidien. Cependant, de nombreuses entreprises n'ont pas pu s'équiper à temps et doivent le faire en urgence à un moment où les services clients de ces outils sont aujourd'hui débordés.

L'objectif de ces outils est de pouvoir travailler, communiquer et collaborer efficacement avec ses collaborateurs hors site. Pour répondre à ces impératifs, de nombreuses organisations ont rapidement pris le premier outil disponible. Sauf que le choix de l'outil est crucial, car il sera une sorte d'entonnoir de toutes les données de l'entreprise :

  • un commercial demande relecture d'un appel d'offre ? Il partagera le document sur cette plateforme ;
  • un manager veut faire valider la fiche d'évaluation d'un salarié ? Il l'enverra sur un espace de communication "privé" ;
  • un développeur a besoin d'un mot de passe pour accéder à un serveur ? Il sera transmis en clair dans un canal de discussion.

Ce genre de choix se doit d’être précédé d'une analyse de risque longue, rendant le processus prise de décision sur ce genre d'outil tout aussi long. Cependant, en cette période de crise du COVID-19, quand les entreprises n’ont que quelques jours — voire quelques heures — pour ne pas bloquer la continuité de leur activité, cette analyse passe à la trappe.

Le périmètre d'utilisation

Les outils mentionnés sont des outils très modernes. Ils proposent généralement une interface graphique épurée et sont très faciles à prendre en main. Cela est très pratique pour avoir le moins de formation possible à dispenser pour être utilisable, et éviter un recours au Shadow IT. Ils sont d'ailleurs pensés pour être utilisables partout (travail, maison ou nomade), avec n'importe quel équipement (ordinateur ou smartphone) de n'importe quel contexte (personnel ou professionnel).

Ainsi, certaines entreprises ont fait un pivot à 360° de leur management des systèmes d'information :

Elles sont passées d'un modèle de données centralisés, avec par exemple :

  • l’utilisation d'un NAS interne ;
  • l’utilisation uniquement des stations de travail sur site ;
  • l’utilisation d'un VPN avec double facteur ;
  • l’utilisation de la messagerie sur les serveurs de l'entreprise ;

à un modèle décentralisé, hors de contrôle de la DSI, incluant :

  • le  partage de documents sur un service externe, voir sur plusieurs services externes si chaque équipe se débrouille "comme elle peut" ;
  • l’utilisation des ordinateurs personnels des employés ;
  • la réduction de la sécurité des VPN pour être plus accessible ;
  • l’utilisation de "chats" nouvelle génération.

Quelques scénarios catastrophe

Cette perte de la maîtrise des données peut vite provoquer des scénarios de crises. Et vu la perte de contrôle que ces outils engendrent, ces cas vont arriver !

Que se passera-t-il dans les cas suivants :

  • Quelqu'un utilise son ordinateur personnel pour le télétravail, et celui-ci est infecté par un virus qui diffuse le contenu des documents accessibles sur Internet.
  • Quelqu'un installe un outil de communication sur son smartphone personnel non sécurisé. La personne le perd ou le revend en oubliant de le remettre à zéro. Le nouveau possesseur peut consulter toute la messagerie et les fichiers diffusés avec.
  • Une équipe choisit d'utiliser un outil de gestion d'équipe sans l'aval de sa DSI, et cet outil est hébergé dans un pays peu réglementé sur les données personnelles. Les données de toute l'équipe se retrouvent sur des bases de données achetables par vos concurrents.
  • L'utilisation d'un service de stockage de fichiers (type Dropbox / WeTransfer) non contrôlé par la DSI engendre une utilisation des e-mails personnels, et de mots de passes non contrôlés, que se passe-t-il lorsque l'employé quitte l'entreprise ? Comment ses droits sont-ils révoqués ? Les divulguera-t-il chez son nouvel employeur ?

Que faire ?

Dans un monde idéal, l'entreprise serait souveraine de ses données.

Par « souveraineté », nous entendons que l'entreprise doit être en mesure :

  • De "posséder" ses données ;
  • De gérer qui peut avoir accès à quelles données ;
  • De pouvoir retirer ou ajouter des accès, même en cours de vie d'un document ;
  • De pouvoir "supprimer" des documents, où qu'ils soient, et où qu'ils aient été dupliqués.

C'est ici que la solution proposée par Seald intervient : il s’agit d’une protection embarquée dans vos documents (documents, fichiers, emails, messages, ...) transparente à l’utilisation, résistante à la copie et sécurisée cryptographiquement.

Elle permet non seulement d’assurer la confidentialité des documents protégés, mais aussi d’assurer leur traçabilité en journalisant toutes les actions faites sur ces documents, et leur contrôle d’accès en permettant par exemple de restreindre les droits à n'importe quel moment (même si un employé sauvegarde des données sur un disque dur externe).

Si ces enjeux vous tiennent à cœur, contactez-nous pour voir comment Seald vous permet de garder le contrôle sur vos données : demander une démonstration.

Better Seald than sorry.

Découvrez Seald !