Comment maîtriser les risques liés à l’utilisation des réseaux sociaux en entreprise?

L’utilisation des réseaux sociaux en milieu de travail peut comporter certains risques pour une entreprise. C’est ce que pensent 63 % des chefs d’entreprises, selon une enquête de McAfee – antivirus. C’est aussi ce que révèle Intel Security dans un de ces rapports : l’une des plus grosses augmentations d’incidents de perte de données est liée à l’utilisation des réseaux sociaux par les employés, représentant près de 20 % des causes de ce genre d’incidents en 2016. Hervé Chrétien est consultant en web marketing, spécialisé dans la sécurité informatique et chargé de cours à Polytechnique. Nous lui avons demandé comment se prémunir contre ce genre de risques.

 

À quels risques les entreprises sont-elles exposées à travers l’utilisation des réseaux sociaux?

Que ce soit à travers l’utilisation des différents réseaux sociaux personnels et professionnels sur les réseaux de l’entreprise ou la publication d’informations liées à l’entreprise sur son compte personnel, les risques sont multiples et varient en fonction de la nature des opérations d’une entreprise. Ils peuvent se traduire par des pertes des données ou bien même des pertes financières liées à des interruptions des opérations ou des fuites d’information confidentielle.

Un acte anodin peut avoir de lourdes conséquences. Une photo prise dans un contexte professionnel peut paraitre insignifiante mais peut révéler certains indices intéressants pour la concurrence, ou des cybercriminels. Par exemple, lors d’une compétition sportive internationale, une photo parue dans les journaux montrait un membre du personnel de sécurité à son poste de travail. En zoomant suffisamment, on pouvait apercevoir un mot de passe accroché sur le mur.

Avec l’apparition des réseaux sociaux, on a aussi vu l’arrivée du bad buzz, un phénomène d’actualité qui devient viral et se retourne contre une entreprise ou une personne et qui impact son image de marque et sa réputation. Ça a été le cas pour Lassonde avec sa marque Oasis en 2012, qui s’est résigné à rembourser les frais de justice d’une entreprise contre laquelle elle venait de perdre un procès sous la pression des réactions venant des réseaux sociaux. Pour gérer efficacement un bad buzz, toute entreprise devrait avoir un plan d’urgence numérique, c’est-à-dire qu’elle devrait réfléchir à la manière de gérer des mauvaises nouvelles concernant l’entreprise et à la mise en œuvre d’une procédure : qui va parler, pour dire quoi, sur quel canal? Cela prend une réflexion stratégique en amont pour diminuer, voir annulé l’effet de bad buzz.

Quelles sont les erreurs les plus fréquentes en entreprises?

Le problème est souvent que les entreprises ne possèdent pas de politique d’utilisation des réseaux sociaux qui soit connue, respectée et approuvée par les employés. La majorité des réseaux sociaux sont autorisés en milieu de travail mais la façon dont ils sont utilisés n’est souvent pas définie. Certaines entreprises ferment l’accès à Facebook ou à certaines autres plateformes. Il faut trouver un juste milieu pour autoriser l’usage des réseaux sociaux sans brimer ces employés.

Les entreprises doivent se questionner et fixer certaines balises : est-ce que ce qui est publié respecte les valeurs de l’entreprise? Est-ce que l’information publiée sur un compte personnel est confidentielle, est-ce que l’information a été validée comme conforme par la personne répondante?

Dans le cadre de votre travail, comment aidez-vous les entreprises à mieux gérer ou protéger leurs réseaux sociaux?

Au départ je suis diplômé d’une école de commerce et j’ai toujours été attiré par le domaine des technologies. Depuis les années 90, je travaille en sécurité des nouvelles technologies et d’internet. J’ai d’abord travaillé avec les réseaux sociaux en tant que gestionnaire de communauté tout en gardant l’aspect sécurité.

Mon rôle est de prévenir les utilisateurs des risques de sécurité liés à leurs systèmes informatiques. Je réalise des audits de sécurité sur les sites web qui ont besoin de savoir s’il y a des failles en termes de gestion de contenu ou pour voir si toutes les fonctionnalités sont sécurisées. Une autre grande partie de mon travail est de faire de la sensibilisation auprès d’entreprises et de les tenir au courant des nouvelles tendances au niveau des attaques et voir avec eux comment anticiper ces menaces.

J’essaie de voir en arrière du décor et comprendre comment un hacker peut infiltrer le système de mes clients en observant les paramètres de confidentialité, le statut de téléchargement des dernières mises à jour… J’amasse continuellement des connaissances en faisant de la veille informatique et je me tiens au courant des nouvelles sur les différentes plateformes sociales et les nouvelles technologies.

Si vous aviez une suggestion à donner aux entreprises pour mieux sécuriser leur présence sur les réseaux sociaux, quelle serait-elle?

Ma suggestion serait de travailler en amont et mettre en place une politique de publication qui définisse ce que l’on doit ou l’on peut faire, ou non. Les employés doivent comprendre cette politique et y être sensibilisé régulièrement, sur le long terme. Par exemple, en mettant des affiches de prévention dans les locaux, ou en faisant des tests ponctuellement.

Je donne une formation en ligne au Carrefour Perfectionnement de Polytechnique Montréal qui explique les différents processus à mettre en place. Toute entreprise devrait avoir une charte bien établie sur ce que les employés peuvent faire ou non sur les réseaux sociaux et à qui ils doivent s’adresser en cas de doute sur une pratique.

 

Hervé Chrétien donne les cours suivants :