ISACA Journal
Volume 4, 2,017 

Translated Articles 

Protection de la vie privée et considérations sur la sécurité de la main-d'oeuvre mobile 

Guy Ngambeket, CISA, CISM, CGEIT, ITIL v3 , PMP 

En 2012, un développeur de logiciels qui travaillait principalement à distance pour une entreprise américaine a eu l'idée d'externaliser entièrement son travail en Chine.1 Il a finalement été pris au bout de quelques mois en raison des doutes sur l'origine de ses connexions VPN (réseau privé virtuel). En effet, il a littéralement envoyé son accès à la clé VPN physique à son « employé » distant pour lui permettre d'accéder aux systèmes de la société. Même si cette histoire peut apparaître anecdotique, elle soulève de sérieuses questions en ce qui concerne les considérations sur la sécurité et même la protection de la vie privée se rapportant au travail à distance et ce que cela implique. Comment se fait-il qu'un employé ait donné un accès non autorisé aux informations de son entreprise à une personnes extérieure pendant si longtemps sans que l'on s'en rende compte ? Quelles sont les conséquences légales et sur la réputation pour la société ? Les connexions des employés sont-elles toujours surveillées et quelles sont les intentions de l'employeur lors de leur surveillance ?

Le travail à distance présente de nombreux avantages, aussi bien pour la société que pour les employés. Au cours des dernières années, il est de plus utilisé par les sociétés comme un avantage. Dans certains pays comme le Royaume-Uni, c'est même un droit des employés de demander un travail mobile.2 Le désir de mobilité provient du sentiment de flexibilité, de liberté et d'autogestion qui en découle, en particulier pour ceux qui doivent s'occuper de leurs enfants et/ou passer beaucoup de temps pour rejoindre leur lieu de travail physique. Il donne également un sentiment d'appropriation du travail aux employés, bien qu'il ajoute souvent une pression « cachée » sur eux. Par exemple, les employés à distance ne veulent pas que leur direction pense que s'ils ne fournissent pas le travail comme prévu, c'est parce que travailler à distance les en empêche ; par conséquent, ils travailleront encore plus que les heures contractuelles pour fournir le travail. Il permet aussi aux sociétés de réduire les coûts, en particulier dans le loyer et les services publics, et de trouver des employés qualifiés indépendamment de leur lieu de résidence. Avec la progression de la technologie, la main-d'oeuvre mobile est une tendance qui ne va pas s'arrêter et même se développera. On prévoit que d'ici 2020, 72,3 % de la main-d'oeuvre américaine travaillera à distance.3

C'est aussi évident que cette main-d'oeuvre moderne comporte des risques, qui peuvent être importants s'ils ne sont pas abordés correctement.

Main-d'oeuvre mobile et technologie

La technologie favorise la main-d'oeuvre mobile. Au cours des dernières années, de nombreuses entreprises de technologie comme Google, Amazon et IBM ont commencé à investir massivement pour offrir des services cloud afin de répondre aux attentes des entreprises. Au-delà de la volonté de promouvoir la mobilité de la main-d'oeuvre, il faut investir dans la technologie pour la mettre en oeuvre de façon efficace.

Avec le développement et l'amélioration continue des technologies cloud, il est aujourd'hui très facile de transférer la quasi-totalité des outils utilisés sur le lieu de travail physique vers le domicile des employés et même vers leurs smartphones. Dans de nombreuses entreprises, les employés sont même autorisés à utiliser leurs propres appareils et à installer des systèmes de sécurité pour sécuriser les informations.

De nombreuses entreprises fournissent aussi divers outils pour la visioconférence, les conférences téléphoniques et le partage de documents tels que Skype, Webex et Google Hangout, pour faciliter la communication et la collaboration entre les employés et avec les clients. Un exemple récent d'investissement dans la technologie cloud est le partenariat de PricewaterhouseCoopers (PwC) avec Google pour passer à des outils collaboratifs afin de rester à la pointe de la technologie et de saisir pleinement l'opportunité qu'offre la main-d'oeuvre mobile.4 Selon un sondage réalisé par PwC, 77 pour cent des directeurs généraux (PDG) croient que les technologies sont un facteur important pour la collaboration.5 C'est une autre indication qui montre que la tendance de la mobilité de la main-d'oeuvre devrait se poursuivre. De nouveaux concepts et solutions connexes sont encore à venir.

Les entrepreneurs et les start-up sont d'autres importants bénéficiaires de ces services cloud, qui ont non seulement vu une diminution spectaculaire du coût de l'informatique et de la dépendance envers les compétences par rapport à ce qu'ils étaient il y a quelques années, mais ont également pu trouver les bonnes personnes dans le monde entier pour soutenir leurs activités sans se soucier de l'immigration. Ceci est particulièrement important car le monde connaît actuellement une flambée de start-ups, défiant les modèles commerciaux existants en introduisant la numérisation et les big data. En réponse, les sociétés sont en train de transformer leurs activités pour survivre en suivant les tendances. Les données des clients sont de plus en plus collectées, stockées et analysées pour prédire les besoins des clients.

Risques clés associés à la main-d'oeuvre mobile

Comme indiqué précédemment, l'objectif de la mobilité de la main-d'oeuvre est de permettre aux employés de travailler où ils veulent. Ils peuvent travailler à la maison, ce qui est relativement sécurisé, ou ils peuvent choisir de travailler dans des espaces publics comme les cafés, les parcs ou les arrêts de bus. Bien sûr, cette situation cause de sérieuses menaces, non seulement à l'intégrité des données, mais aussi à la sécurité physique des employés. Ces menaces sont plus facilement atténuées lorsque l'on travaille dans un bureau physique car les entreprises ont mis en oeuvre de nombreuses contre-mesures depuis des décennies. Même si la négligence des employés à distance peut constituer une source majeure de risque lié aux actifs de la société, des risques liés à la technologie cloud existent aussi. Voici les principaux domaines de risque à prendre en compte lorsqu'il s'agit de la main-d'oeuvre mobile.

Actifs de la société
Le risque le plus important dans ce domaine est la perte ou les dommages causés aux actifs lorsqu'ils sont en possession des employés à distance. Ces actifs peuvent être physiques (ordinateurs portables, téléphones mobiles, tablettes) ou logiques (données des clients, données des employés, autres informations critiques). Les menaces peuvent aller d'un enfant renversant de l'eau sur un ordinateur portable à un périphérique partagé dans la famille de l'employé sans les sauvegardes appropriées en passant par écran d’ordinateur laissé déverrouillé par mégarde alors que des informations sensibles sont affichées. De nombreuses situations peuvent entraîner une dépréciation des actifs. Dans un exemple simple, Kendi, employée d'ABC, a un appel important à passer pour discuter des informations confidentielles. Elle décide de passer l'appel de son jardin, et son voisin et même un de ses invités écoutent la conversation. Dans le pire des cas, une partie de la conversation de Kendi est enregistrée et les informations divulguées au grand public. Les conséquences pourraient être catastrophiques pour son entreprise, ses clients et même pour elle-même.

Les pirates informatiques ou d'autres personnes ou sociétés prêts à voler des données d'une société peuvent aussi profiter des travailleurs à distance pour accomplir leurs tâches en sachant qu'ils ont plus de chances de réussir en attaquant un employé isolé plutôt que de violer les couches de sécurité de toute une société.

Sécurité individuelle
Les employés qui transportent ou stockent d'importants actifs des sociétés à la maison risquent davantage d'être attaqués pour prendre le contrôle de l'actif. Il peut s'agir d'un simple voleur prêt à voler un téléphone portable et à le revendre sans connaître le contenu, ou il peut s'agir d'un groupe criminel plus organisé pleinement conscient de la valeur des données en sa possession.

Cette constatation vaut surtout pour les travailleurs qui travaillent constamment à la maison, car le niveau de sécurité à la maison n'est probablement pas aussi rigoureux que celui d'un immeuble de bureaux et les criminels se rendent compte, de la routine quotidienne et régulière du travailleur, qu'ils peuvent prendre le temps de planifier leurs activités et donc, augmenter leurs chances de réussir.

Technologies cloud
Qu'une société externalise partiellement ou totalement ses systèmes et ses infrastructures, le principal risque informatique lié à la confidentialité, à l'intégrité et à la disponibilité au sujet de la gouvernance et de la gestion de l'informatique, de l'accès aux programmes et aux données, de la gestion du changement et des opérations est toujours présent. En plus du risque présent habituellement dans un environnement de bureau, le risque découlant de l'utilisation d'Internet et tout ce que cela implique augmente considérablement. En effet, parce que les fournisseurs de cloud ont de nombreux clients, les informations qu'ils stockent et gèrent ont une grande valeur pour les pirates informatiques, qui tenteront de profiter de l'utilisation d'Internet pour trouver des brèches dans le système d'information et accéder aux données.

Les sociétés doivent donc savoir que les fournisseurs de cloud ont leurs propres employés qui peuvent accéder aux données des sociétés (donc les données des clients) et voler ces données à diverses fins.

Réglementation et conformité
Selon leurs activités, les sociétés doivent se conformer à diverses lois et réglementations concernant leurs systèmes d'information et les données qu'elles manipulent. Ces réglementations diffèrent d'un pays à l'autre. Aux États-Unis, la sécurité des données sur les soins de santé est principalement régie par la Health Insurance Portability and Accountability Act (HIPAA), tandis qu'au Royaume-Uni, il y a la National Health Service (NHS) Act de 2006, la Health and Social Care Act de 2012 et la Loi sur la protection des données.

Les sociétés doivent être extrêmement prudentes en ce qui concerne les réglementations que tous les intervenants impliqués dans le travail mobile doivent respecter. D'une manière générale, les sociétés sont responsables de la sécurité de leurs systèmes d'information, qu'ils soient externalisés ou non. La société est responsable d'assurer que les données des clients restent confidentielles et exactes. Si le fournisseur de cloud ou un travailleur à distance se trouve dans une région ou un pays où la protection des données n'est pas stricte, les données peuvent être à risque.

Aspects liés à la vie privée

Lors de la mise en place des politiques relatives à la main-d'oeuvre mobile, les sociétés peuvent prendre des mesures pouvant être considérées comme des violations de la vie privée pour les employés. Certaines sociétés surveillent tous les fichiers et activités (y compris les communications) sur les appareils qu'elles donnent aux employés et suivent même leur emplacement. Bien sûr, s'il n'y a pas de réglementation obligatoire qui protège la vie privée des employés, il peut y avoir des abus qui peuvent avoir des conséquences tragiques.

Les sociétés feront toujours valoir les avantages de la surveillance de leurs appareils pour des raisons de sécurité ou commerciales, mais les employés doivent connaître les problèmes liés à la vie privée et s'assurer que leur vie personnelle et leurs informations ne seront pas touchées. Selon une enquête effectuée par MobileIron, 30 % des employés mobiles sont prêts à quitter leur société si leurs appareils sont surveillés.6

Travailler à distance peut souvent toucher ou exposer votre famille. Récemment, les enfants du professeur Robert Kelly sont entrés dans son bureau lors de son entretien télévisé avec la BBC, suivis de sa femme qui essayait de les mettre hors de vue.7 Cette vidéo a été visionnée des millions de fois sur les réseaux sociaux et sa famille est devenue publique.

Recommandations

Il existe plusieurs mesures que les sociétés peuvent prendre pour protéger leurs actifs et leurs ressources. La première mesure consiste à clairement identifier et à documenter tous les secteurs potentiels de risque lié à la sécurité et à la vie privée se rapportant au travail mobile. Cela permettra à la société de structurer sa réponse à ces secteurs de risque et de trouver des mesures appropriées. Voici certaines réponses typiques qui peuvent être mises en oeuvre.

Politiques de confidentialité et de sécurité
Les politiques appropriées et les procédures connexes doivent être définies pour donner des instructions claires sur la façon dont les actifs et les ressources doivent être utilisés à distance pour garantir leur sécurité. La politique d'utilisation acceptable doit indiquer clairement ce que les employés à distance peuvent ou ne peuvent pas faire avec les actifs de la société, en mettant l'accent sur l'utilisation personnelle.

Les politiques de ressources humaines doivent être claires sur les questions liées à la vie privée. Elles doivent donc définir clairement les limites dans lesquelles la surveillance et (éventuellement) le suivi seront effectués et la façon dont la vie privée des employés est protégée par la société. Les sociétés doivent s'assurer que leurs employés connaissent ces politiques et qu'ils ont donné leur consentement. Une fonction indépendante doit appliquer et surveiller ces politiques, et les employés doivent avoir une personne ou une équipe dédiée à qui s'adresser s'ils estiment que leur vie privée n'est pas respectée.

Programmes de sensibilisation et formation
L'un des moyens les plus efficaces pour sécuriser les actifs de la société est d'offrir régulièrement des formations et des campagnes de sensibilisation. Ces événements doivent décrire le risque associé aux systèmes d'information utilisés par les employés qui travaillent à distance et les conséquences potentielles d'une violation de la vie privée pour l'employé, la société, ses clients et le personnel. Les communications de sensibilisation doivent discuter de divers sujets comme par exemple : comment éviter les accidents domestiques qui peuvent endommager les actifs, ne pas brancher un lecteur USB inconnu dans un ordinateur portable de la société, utiliser des appareils publics pour accéder aux applications d'entreprise. Au bout du compte, les employés doivent s'engager dans la sécurité de l'information ; sinon, beaucoup d'autres mesures pourraient être inutiles.

Impliquer activement les employés dans la définition et le suivi de la sécurité des actifs de la société leur donne un sentiment plus élevé d'appartenance et augmente le respect des politiques de sécurité. Les travailleurs à distance doivent aussi savoir que leur sécurité personnelle peut être menacée et qu'ils doivent tout mettre en oeuvre pour éviter d'être dans des situations dangereuses.

Assurance
Si les données des clients sont divulguées, les dommages financiers peuvent être importants. En souscrivant à une police d'assurance, les sociétés peuvent se protéger contre la perte ou les dommages des actifs. Bien sûr, la prime d'assurance peut augmenter en raison du risque accru découlant du travail à distance.

Surveiller les fournisseurs de cloud
Le choix du fournisseur de cloud est la décision clé que les sociétés doivent prendre une fois qu'elles s'engagent à utiliser les services cloud. Le fournisseur doit convenir non seulement en termes de coût, mais aussi en ce qui concerne la réputation, le respect de la réglementation et la preuve d'une forte culture de contrôle.

En ce qui concerne le dernier aspect, le fournisseur doit pouvoir produire un rapport d'assurance tiers, signé par un vérificateur indépendant, qui indique l'état de son contrôle de sécurité interne. Bien entendu, le système de contrôle interne du fournisseur doit toujours s'ajouter aux contrôles gérés et effectués par la société elle-même. Il est important de noter que le fait de recevoir le rapport n'est pas suffisant ; les sociétés doivent l'analyser en détail et s'assurer que le niveau de sécurité est adapté à leur entreprise.

Sécuriser les communication à distance
La communication à distance est certainement l'un des domaines clés qui doit être examiné attentivement en ce qui concerne le travail mobile. Les systèmes de la société ne sont pas seulement accessibles depuis ses bureaux, mais aussi depuis des sites inconnus qui peuvent présenter leurs propres risques et faiblesses. Pour éviter, ou au moins diminuer considérablement, le risque d'intrusion dans les systèmes de la société, la surveillance continue du réseau doit être effectuée en utilisant la technologie la plus avancée et la plus récente que la société puisse se permettre.

Par ailleurs, les communications essentielles entre les appareils et les serveurs de la société doivent être chiffrées. Les employés doivent être régulièrement informés afin d'éviter d'utiliser un Wi-Fi public, sauf si des mesures de sécurité appropriées (p. ex. une connexion VPN) ont été mises en oeuvre.

Sécuriser les appareils et leur contenu
Si un appareil est perdu, des intrus peuvent facilement y accéder s'il n'a pas été correctement sécurisé. Par conséquent, les données critiques doivent être chiffrées et une configuration de sécurité élevée des mots de passe et des sessions doit être appliquée. Le verrouillage de l'écran après une période d'inactivité doit être défini sur une valeur faible. Les logiciels antivirus doivent être régulièrement mis à jour à l'aide d'une méthode « push », et les appareils dont le logiciel antivirus n'est pas à jour ne doivent pas être autorisés à se connecter à distance aux systèmes critiques.

D'un point de vue physique, des cadenas pour ordinateur peuvent être donnés aux employés afin qu'ils puissent physiquement verrouiller leur ordinateur lorsqu'ils s'en éloignent. Sur les téléphones portables ou les tablettes, les applications de gestion des appareils et les suites telles que Good ou MobileIron permettent de sécuriser les données d'entreprise.

Notes de bas de page

1 BBC, “US Employee ‘Outsourced Job to China’,” 16 January 2013, www.bbc.co.uk/news/technology-21043693
2 Gov.UK, “Flexible Working,” https://www.gov.uk/flexible-working/overview
3 The Telegraph, “Today’s Mobile Workforce: Any Time, Any Place,” 5 September 2016, www.telegraph.co.uk/business/ready-and-enabled/todays-mobile-workforce-any-time-any-place/
4 Archer, T.; M. Daigle; “PwC and Google for Work,” https://gsuite.google.co.uk/intl/en_uk/learn-more/pwc_and_google_bringing_transformation_to_work.html
5 PricewaterhouseCoopers, “Redefining Business Success in a Changing World—CEO Survey,” January 2016, https://www.pwc.com/gx/en/ceo-survey/2016/landing-page/pwc-19th-annual-global-ceo-survey.pdf
6 Cook, D.; “Employees Expect Mobile Device Privacy at Work,” BenefitsPro, 22 July 2015, www.benefitspro.com/2015/07/22/employees-expect-mobile-device-privacy-at-work
7 BBC, “BBC Interview With Robert Kelly Interrupted by Children Live on Air,” 10 March 2017, www.bbc.co.uk/news/world-39232538

Guy Ngambeket, CISA, CISM, CGEIT, ITIL v3 , PMP
Est un professionnel de l'assurance risque ayant huit ans d'expérience. Il a travaillé chez Pricewaterhouse Coopers Cameroun, France et Royaume-Uni. Il est actuellement inscrit à la London Business School, où il prépare un Master en administration des entreprises (MBA). Il peut être contacté à l’adresse : guy.hnd@gmail.com.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.