Des chercheurs financés par l'UE ont développé et testé un nouveau système de cyber-sécurité d'entreprise conçu pour s'adapter à la tendance actuelle, qui consiste à travailler sur plusieurs appareils. Ils ont également identifié un moyen simple pour mieux sécuriser l'espace cybernétique de l'entreprise.

Économie numérique

La mobilité et la vie moderne signifient qu'un travail commencé au bureau sur un ordinateur est souvent terminé sur l'ordinateur portable dans le train du retour, et envoyé au client le matin suivant via un smartphone. Si cette pratique est commode et efficace, elle risque d'exposer les entreprises à des menaces sur leur sécurité. «Fréquemment, les protocoles et pratiques de sécurité des entreprises ne sont pas parvenues à rester en phase avec les nouvelles technologies et l'utilisation de ces dernières, que ce soit au bureau ou à domicile», explique le coordinateur du projet Sergio Zaparripa de S2 Grupo en Espagne. «L'adoption généralisée des appareils mobiles et portables a brouillé la frontière entre le travail et la vie privée, et cela constitue un problème majeur.» Certaines tendances, comme l'utilisation croissante des réseaux sociaux et la pratique du BYOD (Bring Your Own Device: apportez vos appareils personnels), font courir de nouveaux risques. «Imaginez un employé adepte du BYOD qui utilise chez lui l'appareil qui lui a servi quelques heures auparavant à télécharger un document professionnel confidentiel», déclare M. Zamarripa. «Si l'utilisateur ignore que certaines actions risquent de compromettre la confidentialité, un agresseur mal intentionné pourra voler des informations sensibles.» D'autre part, les grandes organisations adoptent des technologies informatiques de plus en plus complexes, qui imposent aux utilisateurs de réaliser une série de tâches compliquées. Cette tendance augmente la probabilité d'erreur humaine. Adapté au lieu de travail moderne Le projet MUSES a abordé ce maillon faible de la chaîne de sécurité en développant un système de sécurité d'entreprise indépendant de tout matériel et centré sur l'utilisateur, qui permet de travailler de façon fluide sur plusieurs appareils. Le système interagit avec les utilisateurs en leur envoyant en temps réel des notifications contenant des informations et des recommandations relatives aux actions en cours. Certaines notifications peuvent se limiter à suggérer comment effectuer une action en toute sécurité, alors que d'autres pourront bloquer une action dangereuse et guider l'utilisateur pour garantir que l'action soit réalisée en toute sécurité (par exemple, la connexion à un wifi sécurisé). «Les règles de sécurité des entreprises devraient régir la façon dont interagissent les employés, les appareils et les systèmes informatiques», explique M. Zamarripa. «Ce que nous voulions faire, c'était sensibiliser les employés au sujet des situations à risque, et les aider à faire face à ces risques. Cela leur permettra d'effectuer leur travail comme d'habitude, et aidera les entreprises à appliquer activement des règles de sécurité sans imposer de nouveaux obstacles.» Après avoir réalisé plusieurs essais sur le terrain, le consortium MUSES a constaté que l'utilisation de son système de sécurité d'entreprise a conduit à une réduction des incidents, grâce à un meilleur comportement des utilisateurs. «Les essais ont révélé une diminution progressive du nombre d'incidents au fil du temps, car les recommandations automatiques fournies par le logiciel de MUSES apprenaient aux utilisateurs à accomplir leurs tâches de façon sécurisée», explique M. Zamarripa. Des avantages pour l'employeur et pour les salariés Le projet a montré que la sensibilisation directe des utilisateurs aux questions de sécurité cybernétique permet d'améliorer la compétitivité et de réduire les coûts directs et indirects associés aux incidents de sécurité, et dus aux indisponibilités et à la remise en service, voire aux dommages portés à la réputation de l'entreprise. «Nous avons déterminé que les PME constituent la cible la plus indiquée, car elles ne disposent en général pas d'un département sécurité», déclare M. Zamarripa. «Pour ces entreprises, le concept de MUSES constitue une méthode économique pour protéger leurs avoirs, et la prochaine étape pour que le consortium étudie les moyens de le commercialiser.» Ces essais réussis ont également eu pour conséquence de mieux sensibiliser les employés à l'importance de la fiabilité des technologies de l'information, et de mieux leur faire comprendre les conséquences légales et sociales liées à l'utilisation d'appareils professionnels et personnels. M. Zamarripa estime également que le succès du projet pourrait ouvrir la voie à des recommandations relatives à de futures normes, en particulier celles liées à la pratique du BYOD.

Mots‑clés

MUSES, cyber-sécurité, protocoles de sécurité, appareils mobiles, smartphone, employés, entreprises, compétitivité