Le phénomène Pokémon Go n’épargne pas le monde des entreprises. En plus des dispositifs techniques qui sécurisent les systèmes,la mise en place de chartes d’utilisation et les alertes s’imposent.
Avec plusieurs centaines de millions de téléchargements, Pokémon Go est un incontestable succès populaire. Mais, en entreprise, ce jeu de réalité augmentée, proposé sur smartphone par Nintendo, se révèle être un cauchemar. En France, quelques semaines après sa sortie, Thales et Airbus en ont interdit l’utilisation à leurs salariés. Refusant « pour des questions de confidentialité » de fournir des informations détaillées à ce sujet, l’avionneur explique avoir jugé « important » de sensibiliser ses collaborateurs, via une note interne, aux risques encourus. La presse étrangère rapporte des dispositions similaires chez Boeing, Bosch ou Volkswagen…
Deux risques : physique et informatique
Au-delà de l’impact sur la productivité, l’utilisation d’un tel jeu en ligne constitue une menace réelle. Avec deux types de risque : la mise en danger des personnes et le pillage du patrimoine informationnel. Le risque physique, lié au manque d’attention, est évident pour des employés exerçant dans des environnements dangereux (chaîne de montage, chantier, etc.), ou pour les itinérants « en situation de conduite ». Autre aspect concernant la sécurité physique, relevé par William Culbert, directeur de solutions engineering de Bomgar, éditeur de solutions de gestion des accès privilégiés sécurisés : « La divulgation des voies de circulation et des accès autour de complexes sécurisés, à travers les fonctions de géolocalisation et de caméra, peut être utilisée dans le cadre d’actions malveillantes. »
Le risque informatique, lui, vient du fait que certains fichiers téléchargés peuvent contenir des « malwares », ces programmes espions capables de prendre le contrôle d’un système à distance et, a fortiori, d’accéder à des données sensibles. « 4,5 % des appareils mobiles, utilisés dans les entreprises que nous surveillons, ont Pokémon Go installé, dont un petit pourcentage d’entre eux utilise les premières versions du jeu, qui n’ont pas de patch pour les problèmes d’autorisations de Google », confie-t-on chez Proofpoint, prestataire en cybersécurité, spécialisé dans la protection contre les attaques menées par courrier électronique, sur les réseaux sociaux ou via des appareils mobiles. Bien entendu, le risque est plus ou moins important selon le secteur d’activité et/ou la localisation de l’entreprise, les hôpitaux, les banques-assurances et les industries sensibles …
Pour s’en prémunir, « la prise en compte de la problématique revient souvent à la direction juridique, mais il peut aussi s’agir d’une initiative des ressources humaines, voire de la direction informatique pour la gestion des cyber-risques », explique Christiane Féral-Schuhl, avocat associé du cabinet Féral-Schuhl Sainte-Marie, spécialisé en droit informatique. Pour la protection des données, les entreprises disposent en général d’un responsable de la sécurité des systèmes d’information (RSSI) ou de la conformité. Aux côtés des équipes chargées de la mobilité ou du poste de travail, il participe à la rédaction de chartes, puis se charge de les faire appliquer, notamment lorsqu’une politique BYOD (utilisation des équipements personnels) est en place. Mais si l’employeur dispose d’un pouvoir de contrôle sur les outils utilisés dans le cadre professionnel, il a aussi une obligation de transparence à l’égard des employés et du comité d’entreprise. « Il faut donc informer, insiste l’avocat. À ce titre, le règlement intérieur et les alertes lui permettent de justifier les mises en garde. »
Divers dispositifs techniques permettent aussi de renforcer la sécurité informatique. « En plus des proxies ou des pare-feu déjà utilisés sur les ordinateurs traditionnels, le marché propose des solutions d’Enterprise Mobility Management (EMM) qui peuvent à la fois bloquer la navigation sur des sites inappropriés, et empêcher les utilisateurs d’installer certains types d’applications, comme les jeux, par exemple », explique Gérard Beraud-Sudreau, directeur des ventes chez Proofpoint. Il existe, par ailleurs, des outils de Mobile Threat Defense (MTD) qui identifient les applications malicieuses puis, en lien avec les EMM, bloquent l’accès aux données du système d’information à des périphériques mobiles infectés. Dans le cas de Pokémon Go, il serait aussi possible de faire une demande auprès de Niantic, la société qui développe le jeu, pour retirer les créatures virtuelles de certains sites, en invoquant la notion de « propriété privée ».
Cet article est extrait du magazine Alliancy n°16 à commander sur le site.
Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !
Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. |