La sécurité des terminaux d'accès aux outils professionnels : pourquoi ?

 

Depuis quelques semaines, je n’avais plus accès aux applications professionnelles Teams et Outlook sur mon iPhone. Il y a deux semaines, l’écran intégré à mon ordinateur portable du boulot est tombé hors service (l’écran distant fonctionnait). Mardi, tout s’est résolu ! Un technicien est passé changer l’ordinateur et un consultant fraichement arrivé mais que je connaissais de longue date a reconfiguré mon bigo. A ma grande surprise, j’ai constaté que les procédures de sécurité avaient été allégées. J’ai donc réfléchi.

Avec le PC, l’accès au VPN est simplifié. Avec l’iPhone, il n’y a plus de VPN.

On se doute des raisons de la simplification : c’est moins cher et il y moins de problèmes donc d’intervention de maintenance sans compter que les utilisateurs peuvent se débrouiller eux-mêmes.

 

La seule question intéressante, en fait, est de savoir ce que l’on veut protéger. On se trompe souvent pour deux raisons : on a plein d’a priori et on est perdus devant des technologies qu’on ne connait pas, le tout se mélangeant dans nos caboches. Je vais tenter de l’illustrer.

Dans le temps, on nous empêchait l’accès à beaucoup de sites web avec nos ordinateurs professionnels. Il y avait des raisons liées à la sécurité, comme éviter d’avoir accès à des sites malsains susceptibles de foutre le bordel (virus…) dans nos PC et d’autres liées à des « problématiques RH » (au fond, on n’est pas au bureau pour aller sur Facebook ou pour voir le tour de France. Les restrictions ont progressivement été levés, d’une part, je suppose, avec les progrès techniques qui permettent de s’assurer de la sécurité des sites et, d’autre part, parce que les smartphones se sont développés et on peut les utiliser pour faire des actions pour lesquelles on n’est pas rémunérés. En outre, on peut très bien avoir besoin de certains sites pour le boulot (par exemple, il faut que je suive certains buzz dans Twitter ou Youtube).

La plupart des accès ont été rouverts.

En revanche, je ne peux pas consulter beaucoup de blogs. En gros, j’ai accès aux mien et à ceux de Didier Goux (et certains blogs Wordpress). Je n’ai jamais compris. Comme je n’ose imaginer que gens sont salariés pour tester les blogs et juger de leur niveau de « conformité » (à quoi, d’ailleurs), je suppose qu’il y a des critères techniques, disponibles dans les paramètres du site ou de la redirection mais je ne vois pas lesquels…

Ainsi, les aspects technologiques viennent se mélanger avec les choix de services informatiques de mon entreprise, dans mon esprit.

 

Par contre, certains sites restent interdits ou le sont devenus, comme les messageries personnelles et les services de messagerie instantanées des réseaux sociaux (comme Messenger ou les DM de Twitter/X).

Les entreprises veulent lutter contre les « fuites de données ». Il est impossible de faire suivre hors du cadre professionnel des fichiers ou données propres à l’entreprise.

Ainsi, notre VPN sert évidemment à vérifier que seuls des opérateurs habilités (et authentifiés) puissent se connecter aux serveurs de l’entreprise s’ils sont connectés via Internet (comme en télétravail) mais aussi qu’ils ne peuvent le faire qu’à partir d’ordinateur de l’entreprise (donc protégés, non seulement au niveau informatique, comme par des antivirus puissants mais aussi « physiquement » : on n’a pas accès aux ports USB pour des périphériques de stockage) et qu’ils ne peuvent pas se connecter à des sites web qui permettent de transférer des données vers l’extérieur (sauf des textes idiots dans les blogs).

On est bien éloignés de ce que l’on pouvait imaginer à l’origine, comme le chiffrement ou le scellement des données, assurés par les outils eux-mêmes (ou via les données de connexion aux applications Microsoft, telles que Outlouk, Teams mais aussi des Sharepoint de la boite) ou la protection contre des sites malveillants.

                                                                                                                                                                     

De même, des mécanismes mis en place sur les iPhone (et probablement les Android mais c’est un volet que je ne connais), via Microsoft Intune, ne servent pas qu’à authentifier les utilisateurs mais aussi à étanchéifier les données privées et personnelles. Ainsi, je ne peux pas récupérer des fichiers du boulot et les utiliser par ma messagerie Gmail, par exemple, et je ne peux pas transférer dans les systèmes du boulot des choses personnelles comme des images ou des liens que je pourrais trouver en glanant sur le web.

Un complément de sécurité est assuré par la charte d’utilisation des moyens informatiques que nous avons à signer. Par exemple, il est interdit d’utiliser la messagerie professionnelle pour des besoins personnels sans le préciser dans l’objet du message et le faire très fréquemment (quand je le fais, c’est uniquement avec des membres de ma famille en précisant pourquoi je le fais).

 

Voila l’origine de ces petits tracas que nous pouvons avoir… La protection « absolue » des données.