Productivité Digitale et Sécurité : la non demande en mariage ?

Productivité Digitale et Sécurité : la non demande en mariage ?

Depuis quelques années, deux types de solutions proposées aux entreprises ont le vent en poupe : les solutions de sécurité qui surfent sur l’effet Snowden (Edward Snowden, ancien consultant de la NSA, a divulgué à partir de juin 2013 des documents sur la surveillance de masse opérée par l’agence de renseignement américaine) et les solutions collaboratives d’échanges en ligne qui profitent de la transformation digitale des entreprises pour proposer de nouvelles façons de travailler toujours plus connectées et ouvertes. De prime abord, ces deux tendances semblent s’opposer : d’un côté la protection des données et des échanges, de l’autre, l’ouverture et la collaboration.

Sécurité et Snowden : séduisant pour les experts

Depuis les révélations de Snowden, de nombreuses solutions de chiffrement voient le jour afin de contrer les opérations de surveillance et de se protéger contre les cyberattaques de plus en plus fréquentes et médiatiques. Toute information ou communication peut désormais être chiffrée grâce à l’utilisation d’une panoplie d’outils :

  • un webmail chiffré (ex. : Protonmail, Tutanota, …)
  • une messagerie instantanée chiffrée (ex. : Threema, Telegram…)
  • un service de stockage et de partage de fichiers sécurisés en ligne (ex. : Tresorit, Bluefiles…)
  • un coffre-fort électronique (ex. : GostCrypt… )
  • une application de SMS chiffrés (ex. : Silence… )
  • une application de téléphonie chiffrée (ex. : Signal…)

Ces outils ont tous moins de 6 ans et sont unanimement appréciés par la communauté des experts en cybersécurité. Leur succès a notamment été renforcé par l’interview d’Edward Snowden dans The Intercept en novembre 2015, dans laquelle il livre les bonnes pratiques à adopter en termes de sécurité opérationnelle en faisant référence à ces nouveaux outils. Au sein des entreprises, la prise de conscience progressive des enjeux de sécurité permet aux Responsables Sécurité SI de déployer certains de ces outils sur leurs périmètres où des données sensibles sont manipulées. Cependant, même si les fuites massives de données, les reventes de millions de mots de passe… révélées régulièrement dans les médias facilitent le travail de sensibilisation et de conviction des métiers par leur RSSI, il est souvent constaté que ces outils sont peu utilisés ou contournés. Deux principales raisons expliquent ce constat : certains outils ne sont pas forcément simples d’utilisation pour des non-experts (génération d’une paire de clés PGP, initialisation d’un token…) et sont encore considérés comme des « freins » à la productivité par des métiers qui sont davantage séduits par les démarches « digitales » de leur entreprise.

Facilité digitale : attirant pour le plus grand nombre

La transformation digitale impose aux entreprises d’être plus « agiles » afin de gagner en rapidité et en flexibilité pour mieux répondre aux besoins de leurs clients ou utilisateurs. Au sein d’un projet, les échanges entre tous les acteurs – internes et externes à l’entreprise – doivent être plus faciles et plus rapides.

Face à ce besoin de rapidité et de facilité, les outils et méthodes de travail « traditionnels » que sont les e-mails, les réunions en présentiel et les espaces de stockage documentaire n’apparaissent plus toujours adaptés. Voici quelques chiffres édifiants :

  • un collaborateur passe environ 13 heures par semaine à consulter ses e-mails (cf. étude McKinsey Global Institute) !
  • sur 40 ans de carrière, un cadre passe 16 ans en réunion (cf. étude Perfony) !
  • dans une entreprise de 20 salariés, 40 à 60 minutes seraient perdues en moyenne par jour et par salarié : en cause, une mauvaise gestion des documents (cf. cabinet Gandys et Ludsen)

C’est ainsi que depuis quelques années, de nouvelles solutions collaboratives destinées aux entreprises apparaissent et promettent de répondre à ce besoin de rapidité et de facilité : « be less busy » (Slack), « great teams use HipChat » (HipChat), « le travail d’équipe n’aura jamais été aussi simple » (talkspirit)… En facilitant les échanges en temps réel entre deux ou plusieurs collaborateurs, ces solutions permettent de réduire considérablement le nombre d’e-mails échangés et d’éviter l’organisation de certaines réunions. Ces solutions facilitent l’accès aux informations qui sont trop souvent « égarées » dans des boites mails ou dans des serveurs de fichiers mal rangés.

Slack est certainement le symbole de cette dynamique : lancée en février 2014, elle a dépassé les 3 millions d’utilisateurs actifs quotidiens ! D’après le cabinet Lecko, « Slack est positionné sur le segment de la productivité collective » et a d’abord envahi les start-ups de la Silicon Valley. Son succès est aussi dû à une facilité d’appropriation et une expérience utilisateur nettement plus agréable que les messageries « traditionnelles ». Le succès de ces solutions B to B fait bouger les géants « historiques » du numérique :

  • Facebook propose désormais workplace by Facebook
  • Microsoft se positionne avec Skype for Business, Yammer et bientôt Skype Teams
  • Google lance Inbox by Gmail, « la boîte de réception qui vous simplifie la vie »

Les directions Digitales des grandes entreprises observent cette révolution collaborative mise en œuvre dans beaucoup de start-ups et commencent à se poser la question du déploiement de telles solutions pour tous leurs collaborateurs. C’est aussi à ce moment que les questions de la sécurité de ces solutions et de la confiance qui peut être apportée à leur propriétaire se posent.

Ni mariage, ni protection ?

Même si le gain de productivité est significatif, une organisation quelle qu’elle soit (une grande entreprise, une startup, un centre de recherche, une ONG…) peut-elle raisonnablement échanger, travailler et stocker ses données sensibles (secrets de fabrication, données RH, plans stratégiques, propositions commerciales, rapports d’audits, …) sur des plateformes propriétaires, mondialisées et aux contours de plus en plus flous ? De nombreux services cloud peuvent être intégrés dans Slack ou HipChat et leur nombre augmente tous les jours. Ces services intégrables mélangent des applications B to B et B to C : Dropbox, Google Drive, Hangout, Facebook, … La maîtrise de ses données dans de tels environnements multipropriétaires apparaît extrêmement complexe.

Les garanties de sécurité apportées par ces solutions restent « standards » et très inférieures à celles offertes par les outils dédiés à la sécurité. Leur succès, lié à la valeur d’usage et une expérience utilisateur très aboutie, les propulse rapidement dans les écosystèmes professionnels, sans réelle cohérence d’ensemble. Elles renforcent les statistiques du Shadow IT. Les entreprises deviennent progressivement le réceptacle des Géants Numériques de demain, au risque de perdre la maîtrise d’un pan colossal de leur patrimoine informationnel. Si l’ensemble de leurs utilisateurs commençait à utiliser leurs messageries et leurs apps personnelles à des fins professionnelles, il n’en serait pas autrement.