Perspectives

Utiliser les réseaux sociaux de faҫon sécuritaire

Contrer les menaces par des stratégies et connaissances

Les technologies émergentes telles que l'informatique en nuage, les services mobiles, l'analytique et les médias sociaux peuvent offrir aux organisations de formidables occasions d'exercer leurs activités avec plus d'agilité, de se concentrer sur leurs compétences de base et d'étendre leur portée. Mais ces technologies peuvent aussi fournir de nouveaux points d'entrée aux pirates à la recherche de gains financiers ou politiques.

Informatique
en nuage

Services mobiles

Analytique

Médias sociaux

	Utiliser les réseaux sociaux de faҫon sécuritaire

Partager et faire confiance

Les réseaux sociaux sont des technologies qui permettent aux entreprises d’élargir la portée de leurs campagnes de marketing et d’entretenir un lien plus étroit avec leurs clients. Leurs activités reposent sur la communication de renseignements importants et fiables. Le partage et la confiance sont au coeur du pouvoir des réseaux sociaux. Ils sont aussi à l’origine des risques que présentent les médias sociaux. Sans une stratégie solide en matière de réseaux sociaux, les entreprises risquent de communiquer sans le savoir des renseignements sensibles par l’intermédiaire de leurs comptes ou de trop faire confiance à des personnes qui pourraient leur nuire.

Les personnes susceptibles d’attaquer votre entreprise font d’abord de la reconnaissance, et votre présence dans les réseaux sociaux leur offre une excellente occasion de mieux connaître vos faiblesses et de trouver une façon de pénétrer votre entreprise; elles repèrent vos vulnérabilités et les exploitent. Un pirate utilisant une fausse identité virtuelle peut facilement se lier d’amitié avec vos employés sur des sites sociaux et commencer à recueillir de l’information qui pourra lui servir à accéder à vos actifs les plus précieux : vos données cruciales. Par exemple, si le CV d’un employé dans le réseau LinkedIn fait mention des outils de pare-feu et des autres applications de sécurité qu’il a utilisés au sein de votre entreprise, et si cet employé devient ami sans le savoir avec un pirate, ce dernier pourrait déceler des indices sur le mode de fonctionnement de votre entreprise. Les pirates utilisent aussi les réseaux sociaux pour réunir d’autres indices, par exemple, des organigrammes, l’emplacement d’actifs informatiques physiques ou les catégories de données que vous recueillez afin d’avoir une meilleure idée de votre entreprise et de planifier une attaque contre vos actifs précieux.

La complexité des réseaux sociaux amplifie cette menace. Les médias sociaux sont plus vastes qu’on ne le croit. Ils ne se limitent pas aux sites de réseautage tels que Facebook et LinkedIn ou de microblogage tels que Twitter. Le Web social est expansif : il comprend des plates-formes de jeu, des sites de vidéos et de photos, des sites de blogage et de publication, des communautés virtuelles, des applications de conversation et des mondes virtuels. Il est composé d’une foule de propriétés virtuelles fréquentées par des milliers d’entreprises et des millions de personnes qui communiquent au moyen de milliards de billets et de messages. Des fuites de données sensibles peuvent se produire. Il arrive que l’on fasse confiance aux mauvaises personnes.

Socialiser prudemment

Sans une stratégie solide en matière de réseaux sociaux, les entreprises risquent de communiquer sans le savoir des renseignements sensibles par l’intermédiaire de leurs comptes ou de trop faire confiance à des personnes qui pourraient leur nuire.

Surmonter ses craintes

Les réseaux sociaux peuvent susciter des craintes, mais priver votre entreprise de toute activité dans ce domaine n’est pas la solution. C’est un outil trop important qui permet de diffuser des renseignements utiles et de comprendre les intérêts et les activités des autres, que ce soit des amis ou des clients. Les médias sociaux sont devenus le meilleur moyen de partager de l’information, de quelque nature qu’elle soit.

Les entreprises qui n’utilisent pas les réseaux sociaux comme outil d’affaires ne pourront que regarder leurs concurrents les dépasser à toute vitesse pour saisir des occasions de croissance. Aussi, leurs clients s’attendent de plus en plus à ce qu’elles soient présentes sur ces réseaux, qui permettent de diffuser de l’information cruciale et d’y avoir des interactions fructueuses. Si vous n’avez aucune présence dans l’univers social, vous n’avez aucune visibilité.

Pour résoudre les problèmes de sécurité que posent les réseaux sociaux, les entreprises doivent utiliser des techniques de base d’exploration et de planification. Peu importe leur niveau actuel de connaissances dans ce domaine, toute entreprise peut commencer à prendre des mesures pour atténuer la vulnérabilité des données qu’elle y diffuse.

Soyez avisés. Pour comprendre les menaces que posent les réseaux sociaux, examinons d’abord ce qui est à risque. Pour ce faire, vous devez :

déterminer quels sont vos actifs les plus précieux : vos données cruciales et sensibles;
déterminer à quels risques ils sont exposés. Vous devez prendre conscience des menaces et savoir ce qui peut arriver si une personne accède à ces actifs. (L’accès non autorisé à certains types de données pourrait-il miner la confiance du public ou diminuer vos revenus, ou ne ferait-il que mettre votre entreprise dans l’embarras?);
être plus informés. Continuez à rafraîchir vos connaissances sur les vulnérabilités et les menaces émergentes liées aux réseaux sociaux.

Organisez-vous. Élaborez une politique pour gérer la façon dont votre entreprise exploite les réseaux sociaux. Commencez par prendre des décisions clés sur le contenu et les tâches.

Décidez quel type de contenu vous publierez et sur quels sites.
Déterminez qui créera ou modifiera l’information, et qui y accédera ou la récupérera avant sa publication sur les réseaux sociaux; cela vous permettra de créer des contrôles pour l’information et de vous assurer que vos données sensibles ne se retrouvent entre de mauvaises mains. Balisez le type et le ton des interactions que vous permettrez.
Établissez des rôles, des responsabilités et des règles pour les personnes qui géreront vos comptes sociaux ainsi que des règles sur la façon de les gérer. Par exemple, le gestionnaire des réseaux sociaux pourra-t-il utiliser son appareil mobile personnel pour publier dans ces médias au nom de votre entreprise?
Fixez des règles sur la façon dont vos employés peuvent accéder à leurs comptes personnels pendant les heures de travail ou au moyen du matériel de l’entreprise.
Expliquez les conséquences du non-respect de cette politique.

Restez maîtres de la situation. Assurez-vous que votre politique est efficace en prenant les mesures suivantes :

Surveillez votre activité sur les réseaux sociaux en veillant à ce que votre entreprise respecte la politique mise en place. (Vérifiez votre activité.)
Portez un regard critique sur le contenu que vous publiez pour vérifier si l’information et les messages que vous diffusez sont conformes non seulement à votre politique en matière de réseaux sociaux, mais aussi à votre plan de sécurité général et à vos objectifs d’affaires.

Gardez la forme. Il ne suffit pas d’avoir une politique efficace en matière de réseaux sociaux. Vous devez aussi faire des efforts pour qu’elle reste efficace.

Réévaluez constamment votre politique et votre activité sur les réseaux sociaux à la lumière des nouvelles menaces et des nouveaux besoins.
Simulez divers scénarios pour tester à quel point votre politique et vos procédures sont bien adaptées.
Modifiez votre stratégie en matière de réseaux sociaux pour qu’elle soit adaptée aux nouvelles faiblesses et aux nouveaux défis qui se présentent.

Outils et techniques

Pour élaborer une politique complète en sécurité sur les réseaux sociaux, votre entreprise ne doit pas se contenter d’une stratégie générale. Vous devez aborder des questions et des problèmes bien spécifiques et prendre des mesures appropriées pour minimiser votre vulnérabilité tout en exploitant de façon optimale les réseaux sociaux. Voici quelques conseils essentiels qui peuvent aider votre entreprise à adopter une stratégie adéquate en matière de sécurité sur les réseaux sociaux.

Sachez la valeur de ce que votre entreprise et vos employés publient en ligne. Rappelez-vous que vous ne pouvez pas tout contrôler. Toute information que vous publiez, même s’il s’agit de l’historique de l’entreprise ou d’un article sur l’une de vos activités, peut fournir des munitions aux pirates. Or, le fait de ne pas divulguer de tels renseignements de base peut donner l’impression que vous avez quelque chose à cacher. Optez pour une approche équilibrée. Déterminez les domaines où vous imposerez des limites. Par exemple, le fait de parler de projets informatiques peut donner des indices sur vos vulnérabilités et vos failles technologiques. Invitez vos employés à être prudents concernant les renseignements qu’ils diffusent. Par exemple, si un employé met en ligne un CV mentionnant les outils de pare-feu et les autres applications de sécurité qu’il a utilisés au sein de votre entreprise, cela peut donner des indices à des pirates pour préparer une attaque.

Soyez conscients que les gens avec qui vous interagissez ne sont peut-être pas ce qu’ils prétendent être. Renseignez vos employés au sujet des maliciels qui sont transmis par l’intermédiaire des relations dans les réseaux sociaux. Expliquez-leur le fonctionnement des attaques d’« ingénierie sociale », qui utilisent des techniques de manipulation ou des subterfuges (liens qui semblent officiels, mais qui sont faux, faux profils et autres) pour accéder à vos données.

Pensez toujours à prévenir la perte de données quand vous configurez vos comptes sociaux. Par exemple, avez-vous des mécanismes de contrôle qui garantissent que l’information que vous transmettez sur les réseaux sociaux (par exemple, le nombre de nouveaux clients en février) n’est pas liée à des données sensibles comme des renseignements permettant d’identifier ces clients?

Tenez compte du « facteur de permanence ». Ce que vous publiez en ligne peut y demeurer pour toujours, même si vous l’effacez. Les sites miroirs et l’antémémoire font en sorte que vos publications peuvent rester accessibles pendant longtemps. Vous devez donc déterminer la valeur potentielle future de ces publications pour des pirates. Cette valeur est peut-être nulle aujourd’hui. Par exemple, un employé qui indique où il se trouve sur un réseau social pose un geste qui semble anodin. Cependant, au fil du temps, ces localisations peuvent aider des cybercriminels à repérer des tendances qu’ils utiliseront pour planifier une entrée par effraction ou une cyberattaque.

Analysez ce qui est dit sur votre entreprise et votre secteur dans les réseaux sociaux et qui le dit. Si vous constatez que les commentaires dénotent de plus en plus d’insatisfaction ou du mécontentement, cela peut être un signe avant-coureur d’une cyberattaque. Vous devez être à l’affût des indices vous alertant que vous êtes une cible. Sachez qui vous suit et quels sont leurs objectifs. Utilisez des outils d’analytique et d’écoute sociale pour repérer des tendances et anticiper des problèmes et des attaques. Il est également utile de connaître les deux principaux types de menace : les pirates traditionnels (en quête d’actifs qui ont une valeur pour eux) et les cybermilitants (qui peuvent cibler votre entreprise pour défendre des causes). Surveillez aussi les usurpateurs de votre présence sur les réseaux sociaux; par exemple, certains imposteurs se font passer pour des employés de votre entreprise et demandent à vos clients de leur fournir des renseignements personnels qu’ils utiliseront ensuite pour accéder à leurs comptes.

Encouragez les employés à se méfier des inconnus lorsqu’ils utilisent leurs comptes personnels. Des inconnus peuvent tenter de leur soutirer des renseignements exclusifs. Rappelez également aux employés l’importance de vérifier les réglages de confidentialité de leurs comptes personnels dans les réseaux sociaux. Selon vos besoins en matière de sécurité, vous souhaiterez peut-être établir des règles sur l’utilisation des médias sociaux par les employés pendant les heures de travail.

Attention aux enchevêtrements d’applications et de sites sociaux. Par exemple, un site social peut vous offrir l’option de lier votre compte à un autre site social ou à un compte de courriel afin de faciliter la republication de messages ou la recherche d’amis. Si un pirate réussit à attaquer l’un de ces comptes, il pourrait avoir accès à l’information qui se trouve dans les comptes auxquels il est lié.

Vérifiez les contrôles internes qui protègent vos données. Lesquels de vos employés sont autorisés à se connecter à vos comptes d’entreprise? Quels types de renseignements ou de sujets font l’objet de restrictions? Passez en revue les procédures de formation des employés qui traitent des données sensibles. Soyez également conscients que certains employés peuvent être malveillants. Un employé mécontent peut utiliser les réseaux sociaux pour divulguer des données sensibles, que ce soit de façon manifeste ou plus discrète. Vérifiez vos mécanismes de contrôle et les activités qui s’y rattachent afin de minimiser le risque de fuite de données sensibles dans les réseaux sociaux.

Comprenez le rôle de vos partenaires. Vérifiez la façon dont vos partenaires utilisent les réseaux sociaux et parlent de votre entreprise. Leurs activités sur les réseaux sociaux peuvent avoir une incidence sur votre sécurité. Si vous confiez une partie de vos activités dans ces médias à un tiers, assurez-vous de bien comprendre la valeur et le caractère sensible des données que vous lui transmettez et vérifiez ses contrôles et procédures de sécurité. Vérifiez aussi les contrôles qui régissent la façon dont vous traitez les données de tiers et la façon dont ces derniers traitent vos données.

Assurez-vous d’utiliser des mots de passe plus sûrs pour vos comptes. Évitez également d’utiliser le même mot de passe pour plusieurs comptes.

Faites la liste de vos comptes sociaux, tant dans les réseaux sociaux que les communautés virtuelles. Votre entreprise est peut-être plus présente dans l’univers virtuel que vous ne le pensez. Dotez-vous d’un plan d’intégration pour vos nouveaux comptes. Comme les réseaux sociaux regroupent des centaines de sites, de forums et d’applications, déterminez des critères pour la sélection des sites dans lesquels vous ouvrirez un compte d’entreprise.

Déterminez le type de messages que le public peut publier sur vos comptes sociaux. Surveillez ou modérez le contenu que les gens peuvent publier dans vos comptes. Des ennemis ou d’anciens employés mécontents peuvent utiliser votre présence sur les réseaux sociaux pour vous nuire en publiant des renseignements qui révèlent vos vulnérabilités en matière de sécurité.

Préparez un plan d’intervention en cas de crise. Sachez quoi faire quand des mots de passe sont découverts et quand des employés ou des pirates publient sur les réseaux sociaux au nom de votre entreprise. Connaissez la procédure à suivre pour récupérer ou réinitialiser des mots de passe ou pour suspendre un compte. Sachez comment annoncer ou expliquer une intrusion au public en utilisant les réseaux sociaux pour parler de problèmes de confidentialité ou de fuites. Sachez qui est responsable des interventions en cas de crise et simulez de telles crises pour vous assurer d’être bien préparés.

N’oubliez pas les appareils mobiles. Vos gestionnaires de comptes de réseaux sociaux utilisent peut-être des appareils mobiles pour publier au nom de votre entreprise. L’utilisation de tels appareils présente des risques pour votre sécurité, notamment le téléchargement d’applications mobiles malicieuses et la perte de l’appareil. Rédigez des politiques et des procédures afin d’améliorer la sécurité de vos appareils mobiles et la gestion des applications. Sachez quoi faire si un appareil est perdu, infecté ou endommagé.

Faites des réseaux sociaux vos amis

Les réseaux sociaux étant maintenant des outils de communication et de marketing cruciaux pour les entreprises, il serait imprudent d’en ignorer les avantages et les inconvénients. Les entreprises qui adoptent les réseaux sociaux tout en traitant avec rigueur les questions de sécurité et en trouvant des solutions à ces problèmes ont de meilleures chances de réussir.

Pour naviguer dans l’univers des réseaux sociaux, il importe de comprendre comment vous les utilisez, comment vous les exploitez à des fins commerciales et comment les pirates peuvent les utiliser contre vous. C’est un univers qui évolue plus rapidement que les entreprises qui doivent s’y adapter. Il est essentiel de poser les bonnes questions et de trouver les bonnes réponses. Deloitte peut vous aider à le faire grâce à sa vaste expérience en élaboration de stratégies et en adaptation d’outils. Nous pouvons soutenir votre entreprise à être sécurisée, vigilante et résiliente dans l’univers des réseaux sociaux.

Audit et Certification

Consultation

Conseils en gestion des risques

Conseils financiers

Deloitte Sociétés privées

Services d’analytique

Fiscalité et Services juridiques

Collaborations

Services d’exécution

Consommation

Énergie, ressources et produits industriels

Services financiers

Services gouvernementaux et services publics

Technologies, médias et télécommunications

Postuler

Professionnels expérimentés

Étudiants

La vie chez Deloitte

Anciens