Le 28 octobre 2022, Elon Musk officialisait son rachat de la plateforme Twitter. Depuis, le réseau social a passé quelques semaines riches en rebondissements, du licenciement de la moitié de ses effectifs au lancement d’une nouvelle fonctionnalité permettant l’usurpation de l’identité de nombreuses personnes et marques ; sans oublier le blocage accidentel de certains utilisateurs qui avaient activé une configuration d’authentification multifacteurs. En outre, plusieurs employés clés chargés de la cybersécurité, du respect de la confidentialité et de la conformité ont démissionné.
A première vue, ce sont les utilisateurs individuels qui semblent les plus concernés par ces bouleversements, mais ce qui arrive à Twitter démontre également la facilité avec laquelle l’image de marque d’une entreprise peut changer du jour au lendemain. Ainsi, cela soulève un certain nombre de questions sur la stabilité des dispositifs de sécurité chez les fournisseurs en cas de rachat.
Le contrôle des activités des éditeurs logiciels
Bien que l’acquisition de ce réseau social ait été annoncée bien en amont, la plupart des changements ont pris tous les utilisateurs de court : les revirements en termes de politiques de sécurité et de confidentialité ont immanquablement influé sur le cyber-risque. Il semble donc essentiel que les organisations soient prêtes à faire face à une telle éventualité suite à une acquisition, tout en prenant en compte la dépendance de la sécurité aux applications. De plus, en cas de changements au niveau des applications et des services, elles doivent être capables d’ajuster rapidement les contrôles de sécurité du cloud.
Lorsque des problèmes de ce type surviennent avec un fournisseur technologique qui détient des données d’entreprise, les équipes doivent interroger ce partenaire et élaborer des plans de gestion des risques dans les domaines suivants : la disponibilité du service, les mises à jour et les changements d’interlocuteurs, qui peuvent entraîner de nouveaux obstacles. Dans le cadre d’un modèle de responsabilité partagée, toute organisation se doit de disposer d’un organigramme listant les contrôles et les responsabilités de chacun. Ce dernier peut également être flexible, pour anticiper toute variation du niveau de risque découlant d’un changement majeur chez un fournisseur. Des processus bien définis, documentés et régulièrement vérifiés permettront ainsi à l’entreprise d’éviter de se laisser surprendre face à ce type de bouleversement.
La sécurité des collaborateurs actuels et antérieurs
Le rachat de Twitter rappelle que les salariés stockant et échangeant des données sensibles représentent un risque permanent pour l’organisation ; surtout si ces informations circulent à travers une multitude d’applications SaaS, dont la majorité ne sont pas connues, et donc gérées par les équipes informatiques. Si, de prime abord, autoriser l’utilisation d’une application SaaS de confiance, sans supervision des employés IT, ne présente pas un risque aussi important que l’utilisation d’un service de transfert de fichiers non fiable et doté d’une mauvaise politique de confidentialité, la dispersion des données ne fait qu’augmenter le risque que l’organisation en perde le contrôle. C’est pourquoi de nombreuses entreprises limitent les services SaaS non approuvés que leurs salariés peuvent utiliser. En outre, elles mettent en œuvre une politique d’accès basée sur le Zero Trust, en limitant la quantité et le type de données transmis à ces services.
Enfin, il est nécessaire de garder en tête la possibilité qu’un ou plusieurs des milliers de salariés licenciés, ou simplement mécontents, puissent saboter leur service en divulguant des données sensibles. Or, une menace interne, même chez un fournisseur d’application ou de services cloud, peut affecter l’organisation. En outre, les employés ne sont pas exempts de commettre une erreur sous l’effet du stress ou du surmenage. Toutefois, ces phénomènes peuvent être limités grâce à une attention accrue portée aux conditions de travail.
Ainsi, comme pour toute stratégie de cybersécurité, trouver le juste équilibre entre les risques encourus et les avantages pour l’entreprise est crucial. Alors que les équipes continueront à consommer des services cloud à un rythme croissant, les événements induits par le rachat de Twitter permettront peut-être de sensibiliser les conseils d’administration aux cyber-risques. De plus, cela aidera les responsables de l’infrastructure et de la sécurité à justifier leurs stratégies et leurs besoins en investissements continus pour sécuriser le cloud et déployer des politiques Zero Trust.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));