Les réseaux sociaux, personnels ou professionnels, sont très à la mode. Ils constituent pourtant des risques pour l'entreprise. De quel ordre sont-ils et comment les éviter ?
Le principal risque est celui de la communauté de projet. Au sein d'une entreprise, vous pouvez avoir des experts qui vont créer une communauté sur Viadeo ou sur Facebook. Jusque-là tout va bien, mais cela devient problématique s'ils créent une communauté pour collaborer sur un projet spécifique, comme la mise en oeuvre d'une messagerie « exchange » chez un client. Pour y pallier, nous avons lancé le projet Teampark, qui est un réseau social interne. Il permet à nos collaborateurs de créer leur propre communauté de projet. Incidemment, la deuxième communauté montée sur Teampark a été celle des amateurs de pizzas... Nous avons beaucoup de collaborateurs à La Défense, et ils déjeunent souvent ensemble...
La bonne pratique serait donc de prévenir le mal en créant un outil spécifique ?
La sécurité est une analyse de risque en permanence. Une fois que le risque est analysé, on peut déterminer une mesure de couverture. Dans le cas présent, c'est une solution technique. Nous avons choisi de monter une plate-forme collaborative pour les 20.000 collaborateurs de Sogeti. C'est devenu un espace d'échange où des communautés professionnelles se montent, mais aussi des communautés de différents amateurs. Mais il existe un autre côté du risque. Il y a deux ans, nous avons identifié une entreprise, puis nous avons effectué une recherche sur Internet. Nous avons obtenu rapidement le nom d'un de ses dirigeants. En approfondissant les recherches et en visitant les réseaux sociaux, nous avons pu identifier sa résidence secondaire, sa femme, ses enfants et le numéro de son compte bancaire.
C'est effrayant...
Pour ma part, j'ai ouvert des comptes sur Viadeo, Facebook et LinkedIn, mais il n'y a rien dedans. Cela me permet de savoir qui fréquente qui. Et je ne suis pas le seul à le faire. Le site 123people corrèle toutes les informations disponibles sur un individu sur le Web. Vous tapez un nom et il va retrouver sa page Facebook, sa page LinkedIn, sa page Viadeo, les informations sur Pagesjaunes, les interviews, les photos et les vidéos.
Que faut-il faire pour se protéger ?
On peut éviter de donner des interviews ; on peut éviter d'ouvrir une page sur Facebook. Dès qu'une information sort sur un site Web, on peut écrire au propriétaire du site pour lui demander de l'enlever.
Existe-t-il des risques liés aux smartphones ?
Nous avons lancé une recherche sur les failles de sécurité des systèmes d'exploitation des assistants numériques et des smartphones. Depuis, nous avons été contactés par une grande banque et une grande société industrielle. Elles nous ont confié chacune un de leurs smartphones et nous ont demandé s'ils étaient suffisamment sécurisés. Nous avons réussi à récupérer les deux certificats de sécurité de ces smartphones, à les injecter dans un PC et à nous connecter sur les sites sécurisés des deux sociétés avec une identité qui n'étaient pas la nôtre. Un criminel qui ferait la même chose pourrait alors récupérer les e-mails, visiter les applications et récupérer des informations. Il s'agit de téléphones qui étaient éteints, qui auraient pu être récupérés sur une table, dans un restaurant. Nous gagnons une mission par semaine sur ce type de sujet...
