Avertir le modérateur

27/05/2007

Outils communautaires : Gérer les outils Internet grand public de communication en entreprise (messagerie instantanée, blog, fil RSS...)

Compte-rendu de la conférence de Jean-Luc Archimbaud, directeur de l'unité réseau du CNRS (http://www.urec.cnrs.fr), donnée lors d'un séminiare ARISTOTE (été 2006)

 L'arrivée d'Internet dans le monde de l'entreprise a généré une interférence entre les sphères privée et professionnelle de chaque salarié. Le récent développement d'outils très conviviaux de communication Internet doit être pris en compte par les entreprises pour la sécurité du système informatique.

En, effet, la convivialité de ces outils peut favoriser leur multiplication au sein des entreprises. Outre les forums (listes de diffusion, news), les salariés, à leur domicile, utilisent de plus en plus les webs collaboratifs (Wiki), les webs personnels (blog, vlog), la messagerie instantanée ou chat (IRC, MSN Messenger), la téléphonie par Internet ou VoIP (Skype), le partage de fichiers (Kazaa) et la collecte d'informations (fil RSS). Ils hébergent également des données personnelles à travers leurs boîtes aux lettres électroniques (Gmail, etc.). Techniquement ces outils, passent par l'usage de logiciels et de protocoles propriétaires - dont le code source n'est pas public – parfois de standards (RSS). Ils génèrent quelquefois la création spontanée d'infrastructures, comme pour le peer-to-peer.

Ces outils de communication possèdent de nombreux avantages : ils sont souvent gratuits (logiciel, hébergement), ils sont élémentaires à installer sur un poste informatique et ils peuvent être utiles à l'activité professionnelle (même s'ils servent, au départ, dans la sphère privée de l'employé) ou entrer dans la limite admise d'utilisation de l'Internet sur les lieux de travail pour des usages personnels. Ces outils ont été plébiscités par le grand public, bien avant les professionnels de l'informatique. Leur utilisation est intensive dans la jeunesse, laquelle représente les futures recrues pour les entreprises. Il apparaît presque inévitable que ces outils seront utilisés (ou le sont déjà) par des salariés sur leur ordinateur professionnel ou pour leurs données personnelles. Or, ceux-ci introduisent de nouvelles vulnérabilités pour les systèmes d'information de l'entreprise, aussi bien au niveau du matériel informatique, des logiciels, de l'exploitation de bases de données que du détournement de données sensibles.

Face à ces nouveaux outils, entrant dans la logique du Web 2.0 et de la prise de pouvoir confirmée de l'internaute (usager et acteur à la fois), quelle démarche adopter ?

Certes, on peut tenter d'ignorer ces outils et les interdire dans l'environnement professionnel de manière officielle. Cela semble souvent très difficile, par manque de moyens de vérifier l'application effective de cette interdiction (surveillance du réseau, administration des machines personnelles). De plus, cela induirait probablement un contournement délibéré des règles, voire la création de réseaux parallèles. Dans ce cas, l'hébergement de données professionnelles à l'extérieur de l'entreprise - sur un serveur que l'on ne maîtrise plus - serait plus dangereux encore que d'accepter certains outils de communication Internet ; surtout dans le cas d'informations sensibles.

Il demeure préférable de chercher à évaluer méthodiquement les risques, tant en vertu des critères classiques de sécurité que pour d'autres éléments inhérents à la vie sociale de l'entreprise (interactions entre les sphères privée et professionnelle du salarié). Compte-tenu de l'évolution d'Internet, cela permettra également de pouvoir réutiliser cette méthode pour les prochains outils communautaires. Sans émettre de recommandation pour interdire ou autoriser tel ou tel produit, notre conférencier a proposé une démarche pour cette évaluation, qui ne se veut pas une méthodologie mais désire simplement proposer une liste d'angles d'étude pour les entreprises et d'amener une prise de conscience chez les salariés. 

Les éléments à étudier pour chaque outil de communication Internet sont les suivants : l'usage, les coûts (gains et dépenses), la qualité du logiciel (client, serveur), les spécificités du service, la maîtrise et le contrôle de l'utilisation du service, les perturbations possibles sur l'environnement informatique, la confidentialité des données véhiculées par le service, et les responsabilités de l'entreprise dans l'utilisation de l'outil.

Concernant l'usage, il faut établir les intérêts de l'outil dans le cadre d'une activité professionnelle : efficacité et rentabilité (la messagerie instantanée, le wiki et le blog favorisent le travail collaboratif), entretien du lien social (c'est le cas d'un forum de discussion interne), promotion et marketing (blogs et forums incitent les clients à s'approprier une marque, ce qui est l'une des volontés actuelles des internautes), transmission du savoir-faire des salariés (wiki). Bien entendu, on doit préciser quels sont les utilisateurs pour chaque outil (uniquement internes, quelques invités autorisés), en particulier quand des données sensibles sont en jeu. Dans le cadre de la tolérance d'un usage personnel de l'outil, il est autant nécessaire d'indiquer la proportion du temps d'utilisation sur le lieu de travail que de préciser quelles sont les personnes extérieures avec lesquelles on peut communiquer. Cette analyse déterminera le classement de l'outil : obligatoire, utile, tolérable, intolérable. Voire, éventuellement, la décision de rendre le service officiellement géré par l'équipe informatique.

La seconde évaluation porte sur les coûts pour l'entreprise de chaque outil. D'une part, les économies réalisées, en termes de gain de productivité, de baisses des factures téléphoniques (VoIP), de formation (apprentissage à domicile), du paiement éventuel du logiciel ou du service. D'autre part, les coûts cachés, tels que les ressources consommées (bandes passantes pour le peer-to-peer) et le temps passé en entreprise avec ces outils pour l'utilisation, l'installation et le suivi.

L'étude de la qualité du logiciel en matière de sécurité consiste en plusieurs étapes. L'installation du logiciel sur un poste de travail peut engendrer involontairement des bugs ou introduire volontairement des chevaux de Troie. Le risque consiste à générer un point d'entrée pour accéder au réseau interne de l'entreprise. Quant à l'origine du développement, elle permet de définir la crédibilité du logiciel : est-ce une société ou une entité de confiance ? Le code source, les protocoles, les algorithmes sont-ils publics ? Par exemple, les codes source de Skype et des dernières versions de MSM Messenger sont propriétaires (fermés). Donc leur malveillance (volontaire ou non) est impossible à estimer. Enfin, si le produit est gratuit, il a toujours été créé dans un objectif précis, qui doit apparaître clairement pour l'utilisateur. Est-ce un service payant, au départ gratuit dans un esprit de fidélisation et qui deviendra progressivement payant ? Est-ce un service financé par la publicité ? Quelle est la rentabilité pour les créateurs du produit ? Est-ce peut-être… un objectif inavouable ? En matière de sécurité, un logiciel dont le code source est disponible tout comme la description des protocoles et des algorithmes, et affichant clairement les mobiles de ses concepteurs (commerciaux ou autres) sera plus enclin à inspirer confiance.

Pour localiser le service dans l'entreprise, on mesure les risques liés à la confidentialité et l'intégrité des données échangées ou stockées. En interne, tout se maîtrise, par exemple, à travers un gestionnaire de listes de diffusion interne. Lorsque le contrat est externalisé avec un contrat commercial, il faut vérifier les garanties de confidentialités et d'intégrité des données, ainsi que les contrôles d'accès et de mise à jour (correctifs sécurité) des serveurs hébergeurs (exemple : pour un site Web Wiki hébergé). Cela se complique avec les outils grand public centralisés (comme MSN ou Gmail), voire ceux décentralisés supposant une infrastructure spontanée (comme Skype ; quel en est le mécanisme ? quels sont les nœuds principaux ? quelles données contiennent-ils ?). Cette analyse est fondamentale pour limiter l'espionnage (défense ou industriel).

La maîtrise et le contrôle de l'utilisation des outils communautaires est indispensable. D'une part, il faut envisager l'installation, voire la configuration des logiciels, par l'équipe informatique. D'autre part, la surveillance de l'usage doit être facilitée par des traces informatiques (postes utilisateurs, correspondants, échanges), la possibilité de filtrer le trafic (par des routeurs, des garde-barrières), la détection des ports utilisés (figés et connus, ou dynamiques) et des flux d'échanges. Les nouvelles applications peer-to-peer visent à devenir invisibles et silencieuses sur le réseau. Les outils communautaires ouverts à la détection, la surveillance et la traçabilité seront évidemment les bienvenus.

Les perturbations susceptibles d'être provoquées par l'utilisation d'un logiciel ou d'un service sont à expertiser à plusieurs niveaux. Le poste utilisateur peut devenir serveur sans le savoir (stockage de données illégales, point d'entrée sur le réseau), connaître une modification de sa configuration ou interrompre le fonctionnement de certaines applications professionnelles (suite à un manque de ressources, etc.). Le réseau (bande passante utilisée importante) et l'ensemble des équipements (déploiement « automatique » d'un logiciel sur d'autres postes) sont parfois également touchés. L'analyse des possibles perturbations conduit à des recommandations sur l'architecture du réseau de l'entreprise (les stations utilisatrices appartiennent à un VLAN particulier) ou à l'interdiction d'utilisation de certains logiciels sur des postes sensibles, voire à une installation sur un poste dédié (pour Skype, par exemple).

La confidentialité des données échangées à travers les outils communautaires s'examine à travers le type des données (conversations téléphoniques, courriels, fichiers, annuaires, mots de passe, etc.), leur importance stratégique pour l'entreprise, leur lieu de stockage (poste externe pour une boîte aux lettres électronique, annuaire central externe, etc.), leur condition de circulation sur le réseau informatique (en clair / cryptées, par quels chemins), leur gestion (qui a accès à ces données ?), et les informations de l'entreprise divulguées (organigramme, identités, numéros de téléphones, adresses électroniques, numéros IP, etc.). A l'évidence, certains services seront interdits pour certains groupes de l'entreprises ainsi que pour certains usages ou types d'informations. Cette analyse peut conduire à modifier la charte informatique à l'intention des salariés de l'entreprise.

La responsabilité des salariés et de l'entreprise est engagée à travers l'usage des outils communautaires, aussi bien lors d'un usage classique que d'un usage à des fins délictueuses. Tout l'arsenal juridique sur l'informatique, les informations, les communications, l'édition, les œuvres et tout autre domaine concerné par cet usage peut s'appliquer selon les outils : lois sur les délits informatiques, la presse, la protection de la vie privée, les droits d'auteur, etc.  Cette étude sur les responsabilités vie à anticiper les problèmes, en informant avec précision les utilisateurs des outils communautaires (droits, risques, devoirs) et en l'incluant dans la charte informatique.

Cet examen approfondi de l'usage de chaque outil communautaire dans une entreprise peut amener des conclusions différentes. Pour prendre l'exemple de Skype, cet outil sera certainement jugé rentable et peu risqué pour une PME dans les nouvelles technologies avec le but d'entretenir des contacts à l'international en ne gonflant pas sa facture téléphonique, mais sera plutôt jugé inutile et dangereux dans une grande entreprise ou une grande administration qui n’a pas particulièrement de besoin de contacts internationaux, donc pas d’utilité de Skype et pour des raisons de confidentialité.

Chaque entreprise doit au moins s'informer sur le fonctionnement de ces outils communautaires, voire étudier chaque outil qui se déploie spontanément à travers les critères énoncés jusqu'ici. Mieux, elle devrait effectuer une veille technologique sur leur utilité afin d'anticiper leur mise en œuvre. Elle peut proposer des solutions répondant à des besoins en interne, faciliter la mise en place des outils communautaires avec le concours de certains de ses services (informatique, juridique, achat, etc.), souscrire à un contrat commercial pour obtenir plus de garanties de la part du concepteur du logiciel ou du service, bref, maîtriser cet usage qui s'avère comme le futur d'Internet, au point que l'on parle de Web 2.0. Un refus systématique des outils communautaires briderait des salariés, qui auraient le sentiment d'avoir affaire à des informaticiens incompétents ou à des responsables de la sécurité informatique bornés. Inventée au début des années 70, la messagerie électronique a mis quinze ans à entrer dans les entreprises. Aujourd'hui, quelle société pourrait s'en priver ?

Les commentaires sont fermés.

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu