Applications de messagerie en milieu de travail : où en sommes-nous?
La pandémie de la Covid-19 a forcé des millions de personnes à travailler à distance. Pour pallier au manque d’interactions physiques, les travailleurs comptent de plus en plus sur les applications de messagerie grand public comme Facebook Messenger, WhatsApp, Telegram, Signal, WeChat… pour communiquer avec leurs collègues.
Déjà en 2019, avant la pandémie, une étude menée par Speakup[1] a révélé que 18 % des télétravailleurs utilisaient une ou plusieurs applications de messagerie comme principal canal de communication avec leurs collègues et superviseurs. De plus, 53 % des télétravailleurs auraient utilisé des applications de messagerie entre une et six fois par jour en moyenne, pour des questions liées au travail. Plus inquiétant encore, 16 % des travailleurs à distance qui ont participé à l’étude ont indiqué que leurs services des RH et des communications internes n’étaient pas au courant de leur utilisation de ces applications.
Plus d’un an après le début de la pandémie, ces statistiques ne sont probablement plus à jour et un plus grand nombre d’organisations seraient inconscients des mesures dans lesquelles leurs employés utilisent les applications de messagerie grand public pour des activités liées au travail.
Les applications de messagerie mobile permettent aux travailleurs de rapidement résoudre des imprévus via des plateformes simples d’utilisation et sans surveillance. Une réalité d’autant plus marquée lorsque les nouvelles normes consistent à télétravailler et utiliser les outils personnels pour un exercice professionnel – BYOD (Bring Your Own Device).
Risques relatifs à la protection des données et de la vie privée
Les organisations sont confrontées à de graves risques liés à la protection de la vie privée et des données personnelles lorsqu’il s’agit de l’utilisation d’applications non-approuvées pour des communications liées au travail.
Pour commencer, toute application peut subir une fuite de données confidentielles et personnelles – que la fuite soit accidentelle ou intentionnelle. Une violation de données pourrait être encore plus problématique lorsque les employés utilisent des services de messagerie grand public, car en cas de perte ou de vol d’un appareil, il serait impossible pour le service informatique de supprimer à distance toutes les données commerciales et personnelles sensibles des applications de messagerie de l’appareil concerné. De la même manière, l’absence de capacités de gestion des accès empêcherait le service informatique de bloquer l’utilisation non-autorisée des applications de messagerie.
Par conséquent, de telles fuites de données déclencheraient immédiatement de lourdes obligations en matière de notification des violations aux données en vertu des lois applicables en matière de protection des données et de la vie privée, comme : le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD), la Loi Canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la Loi sur les atteintes aux données en Californie (CCPA).
En outre, les organisations opérant dans des secteurs hautement réglementés tels que la santé, la finance et la défense, pourraient faire face à de plus graves conséquences quant à l’utilisation non-autorisée d’applications de messagerie grand public par leurs employés. Étant donné que les gouvernements, les autorités publiques et la réglementation sectorielle pourraient, par défaut, considérer certaines de ces applications comme insuffisantes pour protéger des informations sensibles et faire l'objet d'un audit approprié, les organisations pourraient se voir infliger de lourdes amendes et être privées de leur capacité à soumissionner pour des marchés publics. Par conséquent, ces organisations devraient envisager d’interdire purement et simplement l’utilisation à des fins professionnelles, les applications de messagerie destinées à un usage personnel.
Ce ne sont là que quelques-uns des risques auxquels les organisations de toutes tailles et de toutes les industries sont confrontées en raison de l’utilisation non approprié d’applications de messagerie grand public. Étant donné que la plupart des organisations traitent des informations sensibles et des données personnelles qui nécessitent un niveau adéquat de protection de la vie privée et des données[2], il est essentiel d’évaluer et d’atténuer les risques associés aux applications de messagerie initialement destinées à un usage personnel.
Comment l’Organisation peut-elle mesurer et traiter ces risques?
Comment les organisations peuvent-elles mesurer et traiter le niveau de risque pour la vie privée et la protection des données que présentent les applications de messagerie ?
En quelques mots, les organisations doivent s’assurer qu’elles appliquent les mêmes normes et la même diligence pour protéger la confidentialité, l’intégrité et la disponibilité des données personnelles qui transitent par les applications de messagerie que pour toutes les autres formes de communication de l’entreprise.
Les RSSI, Directeurs de la technologie (CTO) et tous les autres décideurs en matière de sécurité de l’information savent qu’aucun logiciel ou application n’est entièrement sécuritaire. C’est pourquoi la majorité des organisations évaluent les risques de sécurité et de protection de la vie privée liés à l'envoi de courriers électroniques, à la navigation sur le web et aux médias sociaux. Elles mettent alors en œuvre des politiques, des procédures et des contrôles ad hoc pour atténuer les risques évalués et maximiser la sécurité et la protection de la vie privée.
Mettre la sécurité et la protection de la vie privée de la messagerie mobile sur un pied d’égalité avec le courrier électronique d’entreprise, la navigation Web et les médias sociaux devrait être une priorité pour les organisations.
Pour ce faire, les organisations doivent évaluer les risques liés à la protection des données, à la sécurité, à la vie privée et à la conformité générés par l’utilisation d’applications de messagerie personnelles pour des activités liées au travail.
Dans un premier temps, comme de nombreuses organisations ne savent pas à quel point leurs employés s’appuient sur les applications de messagerie mobile, les services informatiques devraient utiliser des solutions de gestion d’appareils mobiles pour évaluer le nombre d’appareils exécutant des applications de messagerie.
Dans un deuxième temps, les organisations peuvent mener des enquêtes anonymes pour obtenir des informations sur la façon dont les applications de messagerie sont utilisées au sein de l’organisation.
Dans un troisième temps, il n’est pas nécessaire de suivre le volume de trafic de messagerie[3] afin de déterminer le niveau de risque d’applications de messagerie mobile non-approuvées. Au lieu de cela, les organisations devraient demander l’avis d’experts externes pour effectuer des évaluations sur mesure afin de déterminer le niveau de risque associé à chaque application de messagerie. Ces évaluations devraient être effectuées en fonction de la position de l’organisation en matière de sécurité et de protection de la vie privée, de la tolérance au risque et du cadre de conformité. Les décideurs internes en matière de sécurité informatique, de protection de la vie privée et de conformité devraient coopérer pour fournir aux experts externes les meilleurs renseignements possibles sur la façon dont l’organisation gère les risques et les défis en matière de protection des données et de la vie privée.
Ces étapes devraient fournir une base de référence suffisante pour que les organisations définissent des politiques visant à réglementer les applications de messagerie pouvant être téléchargées et leurs modes d’utilisation par les employés dans le cadre professionnel. En plus de ces politiques, les organisations peuvent sensibiliser et former les employés aux risques liés à la protection de la vie privée et des données personnelles associés aux applications de messagerie habituellement utilisé dans un cadre personnel.
Pourquoi envisager la mise en œuvre d’un outil de messagerie sécurisé
Le dénominateur commun parmi toutes les organisations concernées par l’usage d’applications de messagerie mobile non-sécuritaires est qu’elles n’ont pas encore déployé leur propre application de messagerie d’entreprise privée et sécurisé.
Ces solutions de messagerie ajoutent des capacités essentielles à la communication d'entreprise et comblent le vide laissé par le courrier électronique et les appels téléphoniques. Elles le font grâce à une communication sécurisée et privée en temps réel, qui améliore l'interaction et la productivité des employés.
De nombreuses applications de messagerie privée et sécurisée prennent en charge les différents cas d'utilisation à des fins professionnelles, ce qui permet une communication et une collaboration plus efficaces. Par exemple, elles sont directement intégrées à des outils de travail et à des applications commerciales, ce qui a un impact positif sur la productivité.
Conclusions
Le courrier électronique et le téléphone sont indéniablement liés au travail effectué dans les bureaux d’une organisation. Le télétravail fait cependant inévitablement partie de la « Nouvelle Normalité » et il paraît inévitable que l’utilisation d’applications de messagerie mobiles pour la communication liée au travail continuera de croître.
Par conséquent, les organisations devraient agir dès maintenant pour s’assurer que leur protection des données personnelles et de la vie privée puisse faire face aux risques posés par la dépendance croissante à la messagerie mobile en milieu de travail.
Pour obtenir des résultats optimaux, les organisations devraient :
[1] Bridging the Internal Communications Gap: What Frontline Employees Really Want & Need, Speakap, Janvier 2019, disponible en anglais sous le lien suivant : https://www.speakap.com/en/blog/bridging-internal-comms-gap
[2] par exemple, des informations sur les clients, des données sur la propriété intellectuelle, des rapports financiers, des contrats et des notes de service, des brevets, des secrets commerciaux et des accords de fusions et acquisitions,
[3] Ceci serait impossible à faire à moins que les appareils ne soient connectés à un réseau Wi-Fi d’entreprise)