Protection des données : les réseaux sociaux montrent la bonne direction

Digital & innovation Risk management et cybersécurité

Publié le

Derrière ce titre provocateur se cache une réalité contrastée pour la protection des données. D’un coté les réseaux sociaux, et les sociétés les exploitant, prennent régulièrement des largesses sur le respect de la vie privée de leurs membres. Changement peu clair des conditions générales d’utilisation, apport de nouvelles fonctionnalités très « ouvertes », partage d’informations à but commercial sont autant d’exemples récents. Et ce n’est justement pas la direction à suivre !

Mais de l’autre coté, les réseaux sociaux implémentent des mécanismes innovants de protection et de partage de l’information, précurseurs du futur de la protection des données. Même si ces innovations sont moins évidentes de prime abord, elles sont concrètes et en place dès aujourd’hui.

Prenons l’exemple du partage d’information entre des applications. Aujourd’hui, dans le monde de l’entreprise, chaque application échange des flux avec d’autres sans mettre en place (ou alors très rarement) des mécanismes d’authentification et d’autorisation. A contrario, les plateformes tels que Twitter permettent des gérer des droits d’accès applicatifs de manière simple et  efficace. L’utilisateur, avec son compte Twitter, peut autoriser des applications tierces à réaliser plus ou moins d’actions sur ses données. Lire les messages, ajouter des utilisateurs, écrire des messages, il est possible de gérer toutes ces opérations de manière transparente et claire avec un tableau de bord qui résume les droits accordés. Ces autorisations peuvent aussi être limitées dans le temps comme le propose LinkedIn.

Innovation complémentaire, la simplification et le renforcement de l’authentification de l’utilisateur. De plus en plus d’applications web permettent de s’authentifier en utilisant le compte Twitter ou Facebook de l’utilisateur. Voilà un moyen simple de limiter le nombre de comptes et de mots de passe dans la lignée des WebSSO mis en place dans l’entreprise. Certains vont même jusqu’à mettre en place gratuitement une authentification forte (Google par exemple) ou des mécanismes de ré-authentification pour les opérations les plus sensibles. Ces mêmes applications vont générer des alertes en cas de comportements suspicieux (utilisation depuis un autre pays, à des heures non cohérentes). Ces mécanismes avancés, au combien difficile à exiger en entreprise, sont implémentés aujourd’hui dans des applications grand public protégeant parfois de simples photos de vacances !

Autre exemple, la gestion des droits d’accès utilisateurs. L’utilisation de Google Docs montre comment l’utilisateur peut décider d’accorder des accès de manière simple (lecture, modification) à des utilisateurs qu’il connaît. Couplé avec une traçabilité et un suivi des modifications dans le temps implémentées nativement, ces fonctionnalités sont à des années lumières de ce que permettent aujourd’hui le partage de fichiers par messagerie, ou encore pire sur des clés USB. Google+ et sa gestion de « cercles » de contacts amène également une vue simple et compréhensible par l’utilisateur de la gestion des droits d’accès.

Bien entendu, ces mécanismes ne fonctionnent aujourd’hui que dans un monde « connecté » et dans l’écosystème d’un fournisseur (Google, Twitter, LinkedIn…). Bien entendu les grands acteurs du web ont des ressources importantes et des équipes expérimentées pour gérer leurs écosystèmes. Mais les entreprises pourraient à minima s’inspirer de ces innovations, voire même dans certains cas s’appuyer sur elles ! Nul besoin de recréer des comptes utilisateurs sur un site de recrutement externe, l’utilisation du compte Twitter ou Facebook peuvent être une alternative permettant de simplifier l’accès pour les candidats. Ceci peut également être vrai dans des campagnes de promotion B2C ou dans l’accès à certains espaces clients.

Il va donc être intéressant de suivre toutes les innovations apportées par ces réseaux sociaux dans la protection des données et d’estimer, en analysant les risques, comment ceux-ci peuvent être transposés ou utilisés dans les systèmes d’information des grandes entreprises !