Avec la pandémie et la mise en place du télétravail, des vecteurs d’attaque supplémentaires sont apparus, provoquant une recrudescence des cyberattaques. Aujourd’hui, ces dernières sont toujours d’actualité et les entreprises victimes de ransomware sont, dans certains cas, contraintes de suspendre leur activité. «Les cybercriminels restent particulièrement actifs, utilisant parfois des canaux comme les boîtes e-mail des salariés. Cela ne veut en aucun cas dire que les entreprises ne réagissent pas», précise Olivier Reisch, Partner chez DLA Piper.
Proposer aux entreprises des outils intuitifs et abordables
Les entreprises ayant l’habitude de traiter des données sensibles ou réglementées, à l’instar du secteur financier, ont rapidement instauré des outils de surveillance de l’infrastructure informatique permettant d’utiliser leurs ressources (laptops, téléphone, etc.). «Nous observons deux phénomènes: les sociétés issues d’autres secteurs et peu habituées à ces outils commencent à découvrir et déployer ceux-ci. Les acteurs de la cybersécurité fournissent, quant à eux, des outils plus simples d’utilisation, efficaces et abordables pour les entreprises qui ne disposent pas des ressources nécessaires pour déployer de grands moyens dans ce domaine.»
Ces nouveaux outils étant soutenus par une forme d’IA, leur fonctionnement diffère des systèmes traditionnels. «Ces outils émergents sont capables, grâce au machine learning, de reconnaître ce qui constitue la normalité et ce qui en diffère, puis de décider par eux-mêmes de lancer une alerte», explique David Alexandre, Counsel.
Ces outils émergents sont capables, grâce au machine learning, de reconnaître ce qui constitue la normalité et ce qui en diffère, puis de décider par eux-mêmes de lancer une alerte.
Si certains dispositifs sont capables d’alerter l’humain sur la présence d’anomalies, d’autres vont plus loin et sont en capacité de mettre en place des mesures appropriées pour faire cesser le comportement anormal: couper certains accès réseaux ou corriger des erreurs de configuration et d’éventuelles failles. «Prenons l’exemple d’une interface nécessitant l’introduction d’un nom d’utilisateur et d’un mot de passe. Dans les configurations, il est possible de définir un nombre de tentatives d’accès avant que le compte ne soit bloqué. Si nous oublions de mettre en place cette limitation, l’outil d’IA peut bloquer le compte après un nombre élevé de tentatives, mais aussi vérifier la configuration du logiciel et si besoin la modifier», poursuit Olivier Reisch.
Pour les entreprises, les avantages sont multiples. Celles qui ne disposent pas de moyens importants bénéficient, grâce à ces outils accessibles, d’une plus-value et d’un gage de sécurité supplémentaire. «Ceux-ci deviennent de plus en plus simples d’utilisation et plus puissants pour un même niveau d’expertise du côté de leur utilisateur. Il est donc moins fréquent d’avoir besoin d’équipes techniques spécialisées», déclare David Alexandre.
Un risque pour les libertés fondamentales?
Conscients de l’intérêt de ces dispositifs, les utilisateurs doivent également se rendre compte que ces derniers ne peuvent être déployés sans une réflexion préalable d’un point de vue juridique. Le RGPD établit notamment certaines exigences en matière de traitement des données, et plus spécifiquement de profilage. Ces nouveaux outils traitant des données personnelles, leur utilisation peut soulever des questions concernant la surveillance sur le lieu de travail.
Pour Olivier Reisch, «Le challenge est de coordonner les règles de protection des données et le droit du travail. La principale difficulté, d’un point de vue juridique, concerne l’absence d’harmonisation des questions de surveillance au niveau des différents pays, au contraire du RGPD qui est communautaire.» Un outil, utilisé dans un pays libéral, peut être incompatible avec la législation d’un autre État. Les entreprises souhaitant déployer une solution technique en Europe, à l’échelle de leur groupe, se retrouvent alors face à un véritable casse-tête.
La principale difficulté, d’un point de vue juridique, concerne l’absence d’harmonisation des questions de surveillance au niveau des différents pays, au contraire du RGPD qui est communautaire.
Un second défi concerne l’effet «boîte noire» de ces outils. Entraînés d’une certaine manière pour détecter les comportements normaux et anormaux, ces derniers révèlent peu d’informations sur les règles qu’ils utilisent. «L’IA ne cesse d’évoluer. Auparavant, les outils de traduction en ligne apprenaient de manière empirique et incrémentale. Aujourd’hui, leur fonctionnement s’est amélioré. Ces outils auto-apprennent et nous n’avons plus le même niveau de contrôle (voire plus de contrôle du tout) sur leur manière de se développer et d’évoluer», reconnaît David Alexandre. Pour les outils de surveillance dans l’entreprise, le manque d’informations sur la manière de détecter une activité anormale et de traiter des données pose des questions en matière de vie privée et de profilage. Il existe, dès lors, un risque de détournement de ces outils.
Dans ce contexte, les équipes de DLA Piper sont disponibles pour conseiller sur la bonne mise en place de ces dispositifs et sur la gestion de situations problématiques en cas de plainte des salariés ou du régulateur.