Web 2.0 et malwares : gérer les risques en entreprise

Cloud

Lors des Assises de la Sécurité, une session a pointé les dangers liés à l’usage de services type Facebook sur son lieu de travail.

Comment encadrer les services Web 2.0 avec ses activités professionnelles ? Une problématique juridique mais aussi de sécurité. Lors des Assises de la Sécurité, une table ronde a permis d’identifier les opportunités et les risques pour les entreprises et les salariés vis-à-vis de l’usage de réseaux sociaux (type LinkedIn ou Facebook) ?

Un constat : ces services Internet nouvelle génération à vocation communautaire ont pénétré le monde des entreprises. Ils ont également importé des risques. Aurélien Cabezon, de SecurityVibes, en recense cinq : fuite d’information, espionnage, intelligence économique, propagation de malwares (comme le spam) et perte de productivité. Sans compter sur les dégâts causés dans la vie privée : selon une étude de l’éditeur Sophos réalisé en 2007, sur 200 utilisateurs sondés sur Facebook, 41% sont prêts à révéler des informations personnelles sans sourciller sur le réseau social. Une confiance quasi-aveugle.

Comment placer le curseur d’accès dans l’enteprise ? l’avocate Christiane Feral-Schuhl rappelle que “l’outil de travail est sous le contrôle du chef d’entreprise”. Dans le monde informatique, cela commence souvent par l’ordinateur et l’accès Internet. Au nom de la transparence (notamment vis-à-vis du comité d’entreprise), une charte Internet peut servir de premières bases solides (sachant que ce type de document peut avoir force de règlement s’il est liée au contrat de travail).

Malwares Facebook et social worms

Mais rien n’empêche les patrons d’interdire strictement l’accès aux services Web 2.0. Surtout lorsqu’ils deviennent vecteurs de malwares. Aurélien Cabezon évoque deux cas qui font froid dans le dos : Facebot est présentée comme une attaque sociale par déni de services. Il s’agit de l’exploitation de l’effet de masse grâce à une application Facebook malicieuse.

Les social worns peuvent calmer aussi les ardeurs : ces failles de type cross site scripting peut entraîner des dégâts rapidement et massivement. Ainsi, Samy Worm sur MySpace a infecté un million de profils en 20 heures.

Aurélien Cabezon suggère plusieurs pistes pour les entreprises soucieuses de trouver des solutions adéquates : l’information et la sensibilisation aux risques en interne, la définition d’une charte Internet ou l’intégration de technologies de filtrage URL, de protection des flux HTTP ou des outils dits de data loss protection (en cours d’exploration).


Lire la biographie de l´auteur  Masquer la biographie de l´auteur