Les outils de communication et de collaboration : comprendre les risques et les opportunités
25 février 2021
Par Eric Lebegue & Lilian Gaichies, StreamwideConséquence du coronavirus, de nombreuses entités privées et publiques se voient forcées de passer par les plateformes de collaboration en ligne pour leurs activités de communication et de partage de fichiers. Toutefois, ces mêmes entités devraient être conscientes des menaces potentielles auxquelles elles s’exposent et recourir à des outils professionnels afin de garantir la sécurité de leur environnement informatique et le respect des règlementations sur la protection des données. Loin de se limiter à répondre aux problèmes de sécurité, les outils de communication professionnels offrent actuellement aussi une vaste gamme de fonctionnalités qui permettent aux organisations non seulement d’améliorer les flux d’informations mais aussi d’automatiser leurs procédures, de garder le contrôle de leurs données, de faciliter l’élaboration de rapports et de maintenir la visibilité quant à leurs effectifs mobiles à tout moment.
L’utilisation de technologies audio et vidéo pour communiquer avec des personnes qui ne sont pas physiquement présentes en face de soi n’a rien de nouveau. Dans la plupart des pays, les douaniers de première ligne utilisent, depuis quelque temps déjà, les outils de communication numériques pour communiquer et échanger des données, notamment des fichiers audio, des photos et des vidéos, avec le siège central. Cette tendance s’est accélérée depuis le début de la pandémie de COVID-19, au début de l’année 2020. À présent que les gouvernements demandent aux individus de travailler autant que possible à domicile afin de contenir la propagation du virus, la communication virtuelle est devenue la norme.
Certains des outils de communication mis à leur disposition sont des solutions personnalisées et professionnelles, mais, parfois, les employés n’ont souvent pas d’autre choix que de se tourner vers des applications grand public. Étant donné que les salariés, les entreprises et les organisations sont susceptibles de continuer à recourir aux nouvelles pratiques de travail même après la fin de la pandémie, compte tenu des avantages qu’elles offrent, il est essentiel que les risques sécuritaires associés à l’utilisation des outils grand public soient pleinement compris. Ces applications ne sont tout simplement pas conçues de façon à être sécurisées au niveau de l’utilisateur et les usagers risquent donc de s’exposer à de sérieux risques en termes de cyber-sécurité et de conformité aux lois sur la protection des renseignements personnels.
Les administrations douanières utilisant ce genre d’outils pourraient elles-mêmes s’exposer à des risques, notamment à des fuites de données ou encore à des atteintes à leur sécurité. Lorsque des systèmes de télécommunications non sécurisés sont utilisés, il en va de la sûreté des travailleurs isolés, de la confidentialité des négociations, de la sûreté des produits et des transports, de la confiance des opérateurs et du respect de leur vie privée.
De surcroît, les entités publiques et privées, surtout celles pour qui la collaboration est essentielle compte tenu du fait que leurs effectifs sont extrêmement dispersés et mobiles, auraient tout intérêt à se tourner vers des applications professionnelles pour sécuriser leurs canaux de communications pour une autre raison : ces outils offrent actuellement aussi une vaste gamme de fonctionnalités qui permettent à ces organisations non seulement d’améliorer les flux d’informations mais aussi d’optimiser leurs procédés, de garder le contrôle de leurs données, de faciliter la présentation de rapports et de maintenir leur visibilité vis-à-vis de leurs effectifs mobiles à tout moment.
Principaux enjeux
L’utilisation de produits grand public pose trois grands problèmes, par comparaison avec les applications professionnelles.
- Vulnérabilités de sécurité : la sécurité informatique et les mesures de protection des données ou les certifications que le prestataire de services offre peuvent ne pas être suffisamment solides pour empêcher que des tiers n’accèdent au système. Les applis de messagerie favorites des consommateurs, par exemple, ne contiennent pas les protocoles de chiffrement et de sécurité essentiels qui seraient exigés pour verrouiller la communication. Il en va de même pour les outils de visioconférence grand public. Les liens des réunions peuvent être interceptés par des individus non autorisés, qui peuvent alors mener des attaques automatisées, et, si aucun mot de passe n’est demandé avant de rejoindre une réunion, ces intrus seront instantanément ajoutés à l’ En quelques minutes seulement, les pirates informatiques peuvent usurper des comptes professionnels légitimes, « hameçonner » les identifiants des utilisateurs, voler des données et infecter les ordinateurs des employés avec un programme malveillant.
- Souveraineté des données : cette notion pose un autre défi, puisque les données sont soumises aux lois du pays où elles sont physiquement stockées. Les applis de messagerie ou de visioconférence collectent, entreposent et traitent les données. En général, les organisations qui utilisent des applications grand public ne savent pas exactement où leurs données sont traitées ou stockées ni par qui, ce qui peut les amener à être en infraction par rapport aux législations de protection des données en vigueur. Par exemple, les organisations établies dans l’Union européenne doivent respecter le RGPD[1] qui exige que toutes les données recueillies sur les citoyens de l’Union soient stockées soit dans l’UE, soit dans une juridiction qui garantisse le même niveau de protection.
- Trop d’applications et de systèmes : la plupart des outils de communication et de collaboration grand public n’offrent qu’une ou deux fonctions et les organisations doivent par conséquent s’abonner à de multiples plateformes pour couvrir tous leurs besoins. L’utilisation d’applications et d’outils différents demande du temps, est inefficace et finit par frustrer les salariés et par accroître le risque d’ Les employés passent plus de temps à gérer les applications qu’à faire leur travail. En outre, la plupart des prestataires de services offrent des outils conçus pour un usage personnel, avec des abonnements de base et un soutien rudimentaire. Une limite est souvent imposée au nombre de licences et la politique de prix n’est généralement pas assez souple pour être adaptée aux besoins opérationnels des clients. Une telle situation aboutit inévitablement à des pratiques de sécurité plus qu’inadaptées. Les organisations doivent se rendre compte qu’elles prennent des risques en n’adoptant pas une démarche intégrale dans leur stratégie de technologie de la communication et de la collaboration professionnelle.
Solutions
Les organisations, et surtout celles comptant des effectifs très dispersés et mobiles, doivent impérativement se doter d’une stratégie claire et offrir à leurs employés des outils professionnels afin de garantir la collaboration, la productivité, la sécurité et la conformité tout à la fois. Il est préférable dans ce cas d’utiliser un seul outil de communication et de collaboration sécurisé et professionnel. Il est possible de remplacer les applications grand public existantes par une solution unique qui peut être contrôlée et gérée par l’utilisateur.
De telles applications professionnelles devraient :
- utiliser des canaux de communication chiffrés et des protocoles empêchant toute vulnérabilité et protégeant la confidentialité des données de tous les utilisateurs ;
- fournir des liens URL sécurisés ;
- respecter les obligations de transparence en matière de réglementation et présenter une politique de protection de la vie privée claire, univoque, constamment mise à jour et facilement accessible ;
- offrir des solutions sur site et de SaaS (de logiciel en tant que service) ;
- lorsque les solutions sont proposées en tant que SaaS, entreposer idéalement les données sur des serveurs situés dans la juridiction même du client afin qu’il soit tenu de ne respecter que la législation sur la vie privée de son pays ;
- remplacer les applications multiples par une solution professionnelle intégrée sécurisée qui permette à l’utilisateur de gagner du temps et de ne pas devoir chercher ailleurs ;
- permettre à l’utilisateur d’organiser des séances sans limite de temps.
Fonctionnalités
Concernant les fonctionnalités, certains outils permettent à des équipes situées à différents endroits, tant dans le pays qu’à l’étranger, de communiquer facilement en utilisant des outils de messagerie instantanée, de partage de notes sur tableau blanc (whiteboarding) ou de téléconférence. La communication push to talk (PTT) est particulièrement intéressante pour les administrations douanières dans la mesure où son fonctionnement ressemble énormément à celui des appareils de communications radio classiques. Les applications PTT transforment tout téléphone intelligent en un appareil de radio virtuelle, fonctionnant comme un talkie-walkie et capable aussi de joindre différents réseaux radio. Les usagers qui doivent passer sur de tels réseaux peuvent le faire en utilisant leur smartphone, sans devoir s’équiper d’un appareil radio supplémentaire.
Pour utiliser le PTT, il suffit de pousser sur un bouton dans l’appli pour entrer immédiatement en contact avec la personne souhaitée. Plus besoin de déverrouiller son téléphone, de saisir un code d’accès, de passer en revue ses contacts et d’attendre que le téléphone se connecte au réseau, pour devoir quand même laisser un message sur la messagerie du collègue qui ne répond pas, sans vraiment savoir s’il recevra le message puisque rien ne permet de le confirmer.
Outre le PTT, les outils de communication professionnels comprennent toutes les fonctionnalités dont les agents ont besoin, qu’ils travaillent derrière un bureau ou sur le terrain, puisqu’ils offrent la possibilité de partager l’écran sur un appareil portatif ou sur un PC, de créer des groupes de discussions, d’échanger des documents, des photos, des vidéos ou tout autre contenu en temps réel, mais aussi de visionner du contenu vidéo depuis une grande variété de sources différentes (drones, caméras, ordinateur de bureau, etc.).
En outre, les fonctions suivantes présentent un intérêt particulier pour les organisations, comme les douanes, dont les effectifs sont mobiles :
- Localisation et communication en temps réel : les agents travaillant dans un centre de contrôle doivent pouvoir localiser les douaniers de terrain en temps réel et déterminer qui, parmi eux, se trouve le plus près d’une adresse donnée sur une carte. Si l’état d’urgence est déclaré, les agents du centre de contrôle doivent pouvoir utiliser une appli PTT pour contacter les employés ou les équipes ambulantes qui sont près du lieu où un accident s’est produit, et l’équipe de terrain doit pouvoir en transmettre les images en direct au centre de contrôle par flux vidéo.
- Processus de compte rendu sécurisé : lorsque les agents sont en mission à l’étranger ou qu’ils ne sont pas en mesure d’utiliser un réseau privé pour communiquer, ils peuvent recourir à Internet pour se connecter à partir de n’importe quel appareil à une « plateforme de mission » sécurisée, où ils peuvent préparer et partager des rapports confidentiels ou d’autres informations de ce type.
- Nouveaux logiciels de téléphonie : les logiciels de téléphonie dernier cri peuvent transformer n’importe quel appareil électronique en un véritable système intégré, comblant ainsi la brèche entre les appareils intelligents, les téléphones fixes, les ordinateurs et les appareils radio.
Interopérabilité
Dans la plupart des pays, les entités publiques peuvent recourir à deux types de réseaux de communications :
- Les réseaux de radiocommunications mobiles professionnelles (PMR) à bande étroite traditionnels sont essentiellement des réseaux privés réservés à l’usage des gouvernements. Ils ont vocation à répondre aux besoins spécifiques de couverture de zone et de capacité d’une entreprise ou d’une organisation particulière. Les organisations investissent habituellement dans des réseaux PMR parce que la communication est un outil professionnel ou essentiel pour leur mission. Outre leur utilisation par les services responsables de la sûreté publique, parmi lesquels les forces de l’ordre, ces réseaux peuvent également être utiles pour le secteur des transports, des services publics, du pétrole et du gaz, de la pétrochimie, des mines et de la logistique ainsi que pour les grands groupes industriels. De tels réseaux sont intéressants non seulement pour leur couverture (à l’intérieur des bâtiments, dans les étages souterrains et les tunnels) et pour leur capacité mais aussi pour leur disponibilité. Une alerte ou un appel d’urgence doit passer à n’importe quel moment et il est donc vital de réduire au maximum toute interruption du réseau.
- Les réseaux fondés sur la technologie d’évolution à long terme (LTE de son acronyme anglais) sont généralement construits et exploités par les opérateurs de réseau mobile et s’adressent pour l’essentiel à une base de consommateurs abonnés grand public. Les opérateurs de réseaux mobiles déploient leur réseau sous un accord de licence passé avec le gouvernement et offrent un service « dans la mesure du possible » visant à maintenir un équilibre entre les exigences commerciales de leurs actionnaires, qui souhaitent maximiser les bénéfices, et le respect des obligations contractées au titre de leur licence. Ces réseaux peuvent être publics ou privés. Des entités autres que les opérateurs de réseau mobile peuvent installer et exploiter un réseau de LTE privé.
Si, par le passé, les administrations des douanes devaient s’accommoder aux limites de chaque système, aujourd’hui, par contre, le paysage de la communication mobile est en train de changer. Une nouvelle norme industrielle pour la communication push to talk « essentielle à la mission » est en train de façonner l’avenir des réseaux publics et privés. Le consortium d’organismes de normalisation de la téléphonie cellulaire mobile, le Third Generation Partnership Project ou 3GPP, travaille depuis quelque temps à l’élaboration de normes (connues sous l’appellation de normes MCPTT) afin d’introduire les attributs « essentiels à la mission » propres à la technologie PMR dans la norme LTE 4G et dans la norme 5G. Il sera ainsi possible d’incorporer les fonctionnalités typiques du PRM dans le domaine de la téléphonie cellulaire mobile, tout en garantissant que les exigences de sécurité soient remplies. Par exemple, la technologie push to talk, jugée « essentielle à la mission », offre les mêmes fonctions sur un réseau LTE que sur PMR, avec le même niveau de sécurité. Les normes 3GPP pour les services essentiels à la mission couvrent à présent les services vidéo, de données, de messagerie et de localisation.
Ces normes aident les prestataires de services technologiques à élaborer des solutions de communication qui permettent aux agences gouvernementales d’utiliser les réseaux cellulaires publics, lorsqu’ils sont disponibles, et leurs réseaux privés compatibles en cas de besoin, et aux agents d’utiliser un seul type d’appareil pour couvrir tous leurs besoins opérationnels.
Conclusion
La capacité à communiquer depuis n’importe quel endroit, à n’importe quel moment et avec n’importe quel appareil est vitale pour toutes les organisations. Au moment d’arrêter leur choix sur les solutions à utiliser, toutefois, ces dernières devraient accorder la priorité tant à la sécurité qu’à la fonctionnalité. Heureusement, il existe aujourd’hui des solutions de messagerie et de collaboration professionnelles qui permettent d’éliminer les barrières à la collaboration tout en offrant des outils de communication sur le lieu de travail qui sont sûrs et efficaces.
En savoir +
http://www.streamwide.com
elebegue.ext@streamwide.com
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)