Les "shadow apps" menacent l'informatique des entreprises

Les collaborateurs communiquent aujourd'hui avec leurs clients via WhatsApp ou utilisent des applications telles que Dropbox ou Google Drive pour partager et éditer des documents. L'utilisation largement incontrôlée et non autorisée de ce Shadow IT mobile augmente toutefois la surface d'attaque - surtout lorsque les collaborateurs utilisent leurs appareils à des fins professionnelles et privées, par exemple via des modèles BYOD (Bring your own device) ou COPE (Corporate-owned, personally enabled). Souvent non sécurisés, ils permettent aux pirates d'entrer dans l'entreprise quasiment "par la petite porte" et, dans le pire des cas, d'accéder aux données de l'entreprise. Les réglementations juridiques ou les directives de conformité sont également contournées par l'utilisation incontrôlée des apps les plus diverses.

Le spécialiste de la sécurité Solution virtuelle présente les cinq principaux risques liés aux "shadow apps" :

• E-mails non cryptés : Les e-mails professionnels envoyés via un smartphone privé offrent aux pirates un aperçu précieux de l'entreprise, depuis l'objet et le texte du mail jusqu'aux pièces jointes des documents internes. Le problème réside généralement dans une protection insuffisante : il n'existe pas de cryptage de bout en bout des e-mails et les mesures de sécurité dans les réseaux WLAN publics ne sont pas suffisantes pour empêcher la récupération des données. Aucune entreprise ne souhaite certainement que des secrets d'entreprise soient lus et transmis dans des e-mails non cryptés.
• Apps gourmandes en données : Outre les attaques ciblées des criminels, il existe également des "moyens légaux de fuite d'informations". De nombreuses applications intègrent des fonctions d'exfiltration de données, c'est-à-dire de retrait de données. Dans le cas de WhatsApp par exemple, il s'agit de l'accès à la liste de contacts, dans laquelle peuvent également être enregistrés des contacts professionnels. Cela constitue une infraction aux dispositions du RGPD, qui stipule que les données à caractère personnel ne peuvent pas être traitées et transmises simplement sans consentement. En conséquence, l'entreprise n'a plus le contrôle total des données et ne peut donc pas documenter l'endroit où les données à caractère personnel sont stockées ni les supprimer. Le RGPD exige en outre une stricte séparation des données privées et professionnelles. Si les entreprises ne respectent pas cette règle, elles peuvent être tenues responsables en payant de lourdes amendes. Il doit être clair pour les responsables que WhatsApp n'est pas autorisé pour un usage professionnel.
• Stockage de documents sensibles : Si les collaborateurs enregistrent des documents contenant des données d'entreprise sensibles sur leur appareil mobile, le risque est grand que ces informations tombent entre de mauvaises mains en cas de vol. Dans le pire des cas, n'importe qui peut consulter les données. En outre, si un appareil est perdu, endommagé ou volé, toutes les données qui y sont stockées disparaissent, à moins que des sauvegardes en temps réel ne soient effectuées. Une telle perte de données nuit énormément à la réputation d'une entreprise.
• Attaques de phishing dans le navigateur : Les criminels sont devenus si habiles qu'ils "glissent" des interfaces utilisateur trompeuses dans le navigateur. L'utilisateur sans méfiance se connecte alors à un faux site avec ses données d'accès. Les données ainsi obtenues peuvent par exemple être utilisées par les escrocs pour une tentative de chantage ou être publiées sur Internet.
• Les employés licenciés : Les employés qui partent en conflit se sentent souvent traités injustement et peuvent vouloir se venger de leur ex-employeur. Si des données d'entreprise se trouvent sur leur smartphone privé, ils ont suffisamment de munitions pour se venger, ce qui peut causer un énorme préjudice à l'entreprise, tant sur le plan financier que sur celui de la réputation.

Une grande insouciance

L'insouciance des collaborateurs dans l'utilisation des smartphones et des tablettes est souvent due à un manque de connaissances. La formation est donc d'autant plus importante. Il est tout aussi important d'impliquer les différents services dans le choix des outils. C'est la seule façon de garantir la mise à disposition d'applications utiles et le respect des normes de sécurité. Une solution facile à utiliser et à mettre en œuvre est une application de conteneur. Elle crée une zone cryptée sur l'appareil mobile, à laquelle les autres applications n'ont pas accès.

Quatre conseils

"Mon conseil aux entreprises : Premièrement, contrôlez l'utilisation de l'informatique. Deuxièmement, sensibilisez et formez vos collaborateurs. Troisièmement : découvrez les raisons de l'informatique mobile fantôme. Quatrièmement : autorisez plutôt qu'interdire - proposez des alternatives attrayantes. En fin de compte, il n'y a qu'une seule solution au problème du Shadow IT, le service informatique doit mettre à la disposition des collaborateurs les applications dont ils ont besoin pour leur travail et qui sont faciles à utiliser", explique Günter Junk, CEO de Virtual Solution AG.

Communiqué de presse de Virtual Solution