Le blog est-il l'ami de l'entreprise ?

Quel que soit son contenu, le blog est l'expression de l'envie des personnes à sortir de l'anonymat.
On trouvera donc des blogs traitant de rien et de tout. Depuis ce que fait un individu à chaque instant (je viens de me lever, je me rase...) jusqu'à des versions plus intéréssantes, miroirs de vies plus passionantes ou des pensées et réflexions de personnes plus riches culturellement.

Mais cette pratique peut-elle nuire à l'entreprise ?


Récemment, nous avons reçu une demande un peu exceptionnelle de la part d'un client. En effet, celui-ci voulait que nous barrions l'accès au site WWW d'un autre client sans autre forme de procès et sans plus d'explications.

Bien sur, ce type de pratique est très encadré juridiquement et cela n'était pas possible exprimé ainsi. Nous avons alors cherché à déterminer les motivations pour justifier une telle demande et avons alors découvert...les fondations d'une situation assez grave.

Notre client voulait donc couper le site parce qu'il avait trouvé, par hasard via un moteur de recherche, que celui-ci hébergeait un blog qui contenait des informations confidentielles.
En effet, une équipe opérationnelle située à l'étranger avait construit un blog, jusque là pas de souci, sauf que la dite équipe stockait sur ce blog...les moyens de se connecter aux réseaux des clients qu'elle opérait. On trouvait donc parmi les informations disponibles, l'adresse IP de la passerelle IPsec avec le nom d'utilisateur et le mot de passe associé, de moult entreprises. Ces informations permettaient de pouvoir se connecter à ces entreprises et accéder ainsi à toute ou partie de leur système d'information.
Nous avons alors oeuvré avec les parties prenantes pour que le site en question soit modifié pour oter les informations confidentielles, puis réindexé sur les moteurs de recherche afin que les caches éventuels soient rafraichis.

Ce type d'incident remet à l'honneur l'awareness, à savoir l'éducation des employés sur leurs rôles et responsabilités, mais aussi les conséquences de leurs actes.

En effet, il n'est pas simple ici, pour ne pas dire impossible, d'empêcher une personne de construire un tel blog et y déposer ce type d'information avec des moyens techniques. Par le biais de flux chiffrés (HTTPS par exemple) ou même en mettant à jour le blog de chez lui, l'information transitera toujours.

La seule approche qui reste possible reste donc l'éducation des employés. Un employé doit comprendre que certaines informations n'ont pas à être mises à disposition du public et ce qu'est le devoir de confidentialité.
Malheureusement, comme avec l'éducation d'un enfant, c'est un travail de longue haleine qui ne débouche pas forcément sur un résultat concret qui peut être évalué, même s'il peut être quantifié par des contrôles de connaissance qui feront partie de l'awareness.


Blogger Anonymous

-