6. Comment gérer les risques qui viennent des réseaux sociaux ?
Dossier par Vivien Derest avec IDG news service, 910 mots
Les réseaux sociaux peuvent apporter beaucoup aux entreprises, mais ils s'accompagnent de risques non négligeables pour la sécurité.
Les réseaux sociaux, que l'on parle de Facebook, Myspace, LinkedIn, Youtube, Twitter ou de n'importe quel autre, deviennent rapidement un mode de vie pour des millions de personnes qui désirent partager des informations personnelles ou professionnelles.
Mais ils s'accompagnent d'énormes risques allant des vols d'identité aux infections par des virus, en passant par la diffusion de commentaires ou informations pouvant entacher
la réputation de personnes ou d'entreprises.
Du bon sens suffit-il ?
A la fois les directeurs IT et les experts en sécurité restent très méfiants face aux réseaux sociaux. Beaucoup voient peu de protections face à ces pièges si ce n'est le bon sens et quelques protections antivirus.
La plupart d'entre eux pensent que leurs efforts doivent d'abord aller à l'éducation des utilisateurs à propos des risques de ces réseaux. « Les réseaux sociaux en eux-mêmes sont vraiment une bonne chose. », considère Jamie Gesswein, ingénieur réseau au Children's Hospital of the King's Daughters de Norfolk. Bien que très impressionné par la capacité des réseaux sociaux à faciliter les relations entre les gens, il préfère en bloquer l'accès sauf si l'usage s'en avère vraiment nécessaire.
Des informations accessibles durant des années
« Attention à ce que vous publiez. », dit-il. « Je connais des utilisateurs qui publient tout et n'importe quoi sur ces sites. Certaines fois, c'est à celui qui en mettra plus que les autres. »
Il pense que les enthousiastes des réseaux sociaux oublient parfois que ces informations resteront accessibles pendant des années et qu'elles pourraient revenir les hanter si un recruteur s'intéressait à leur passé numérique. Jamie Gesswein croit aussi que les utilisateurs pourraient finir dans « un monde que des personnes mal-intentionnées pourraient exploiter. ».
Photo : D.R.
Une diffusion facilitée de ver
Gaby Dowling, responsable de l'informatique pour la firme internationale Proskauer Rose, considère qu'il y a des raions commerciales réelles à l'utilisation des sites de réseaux sociaux tels que LinkedIn, mais elle a peur que des codes malveillants puissent être diffusés facilement en abusant de la confiance des utilisateurs. « Le ver Koobface s'est diffusé sur Facebook car vous pensiez recevoir quelque chose de la part d'un utilisateur de confiance. », souligne-t-elle.
Ne pas y accéder depuis des systèmes de production
« Les réseaux sociaux s'accompagnent de risques importants d'infection des systèmes par des codes malveillants. », pense de son côté l'analyste Jonathan Gossels de SystemExperts. Il ajoute : « En ce qui concerne la politique d'entreprise, les employés ne devraient pas visiter les réseaux sociaux depuis les systèmes de production. »
Les réseaux sociaux sont en fait une « version numérique de la relation. » estime Greg Hoglund, PDG de la firme HBGary et expert de sécurité qui a co-écrit le livre "Exploiting Online Games" qui révélait comment les tricheurs pouvaient manipuler les jeux en réseau tels que World Of Warcraft.
Ne pas croire une personne virtuelle
à l'instar d'une personne réelle
Des milliers d'applications tierces sont développées pour les réseaux sociaux, et dans les grandes lignes, elles exposent toutes « des surfaces de vulnérabilité pour des attaques préparées potentielles », affirme Greg Hoglund.
De plus, l'attaque potentielle est raccrochée à une version numérique d'une relation humaine, quelqu'un que vous connaissez et à qui vous parlez tous les jours, explique-t-il.
Ce qui veut dire que « la version numérique de cette personne peut être facilement imitée ou exploitée. », et Doug Hoglund ne voit pas de solution évidente à ce dilemme. « En un mot, ne croyez pas une identité virtuelle comme vous croyez une relation humaine. »
« Les gens révèlent bien plus d'informations qu'ils ne le devraient. », poursuit Gary Gordon, Directeur exécutif de l'AIMR (Applied Identity Management Research pour Recherche appliquée sur la gestion des identités), une organisation non-lucrative formée en octobre dernier par des universités, des agences publiques et des industries afin d'explorer les problèmes clés liés à la gestion de l'identité.
Attention aux escrocs
"Les risques de vols d'identités et de social engineering (escroquerie et manipulations) à travers l'exploitation des réseaux sociaux sont réels", affirme-t-il. Mais il ne voit pas le blocage des réseaux sociaux comme une solution.
Le vol d'identité
Eddie Schwartz, Directeur de la sécurité chez NetWitness, a parlé des risques des réseaux sociaux lors de la récente conférence Infosec. Il avait mentionné le vol d'identité, l'espionnage et les codes malveillants comme des menaces potentielles.
« Une session typique d'un utilisateur de Facebook ou de MySpace va de quelques minutes à plusieurs dizaines de minutes, vous pouvez donc écrire une application qui récupère des informations personnellement identifiables. », explique Schwartz.
Des risques d'espionnage accrus
De plus, il dit avoir vu des preuves démontrant que des employés gouvernementaux utilisant des réseaux sociaux étaient abordés par des personnes d'autres pays, leur demandant des informations dans des objectifs d'espionnage.
L'ouverture proposée par beaucoup de sites de réseaux sociaux en fait des « plateforme idéales à exploiter », précise-t-il.
Quand on en vient aux réseaux sociaux en ligne comme Facebook, « il faut éduquer les gens qui ont des secrets pour qu'ils soient méfiants. », conseille Michael Rochford, responsable de la direction des initiatives globales du bureau de l'Intelligence et de la contre-Intelligence au département de l'énergie du Laboratoire National d'Oak Ridge. « Ils vont d'eux-mêmes sur ces plateformes où ils se feront exploiter. ».
Créer son propre réseau social interne
Beaucoup d'entreprises, dont Lockheed Martin qui crée son propre réseau social à usage interne uniquement, bloquent les réseaux sociaux publics pour des raisons de sécurité.
Mais de nombreuses firmes aujourd'hui considèrent le fait de bloquer les réseaux sociaux comme une mauvaise décision.
- I. 1. Devez-vous surveiller vos employés de près ?
- II. 2. Vaut-il mieux choisir un seul vendeur de sécurité stratégique, ou plutôt rassembler les meilleures solutions de différents constructeurs ?
- III. 3. A quel point devons-nous avoir peur des statistiques de sécurité ?
- IV. 4. Les questions de sécurité retardent-elles l'adoption du Cloud computing ?
- V. 5. L'informatique mobile est-elle le talon d'Achille de votre politique de sécurité ?
- VI. 6. Comment gérer les risques qui viennent des réseaux sociaux ?
- VII. 7. Les processus de sécurité pourront-ils être finalement automatisés ?