Par Ismael Valenzuela, Vice President of Threat Research & Intelligence, chez BlackBerry
L’annonce est tombée : depuis vendredi dernier, « les applications récréatives comme TikTok » sont désormais interdites de téléchargement et d’utilisation sur les smartphones des fonctionnaires.
Cette annonce, bien qu’impromptue, n’est pas surprenante, d’autant plus que la France n’est pas le premier pays à prendre cette initiative – et ne sera certainement pas le dernier. Toutefois, il semble que ce soit la première fois que l’Union Européenne interdit l’usage d’une application mobile, soulignant des inquiétudes qui semblent fondées.
Cette interdiction ne se limite pas non plus aux appareils gouvernementaux, puisque nombreux sont les DSI à envisager d’interdire TikTok sur l’ensemble des appareils professionnels. De leur côté, les nombreuses entreprises qui appliquent aujourd’hui des politiques de type BYOD, ne suivront peut-être pas la tendance. Néanmoins, il est plus que probable que d’autres, qui sont dans des secteurs d’activités et dans des environnements très réglementés - comme le secteur financier - procéderont à leurs propres investigations en matière de sécurité. Elles feront également des examens juridiques des termes de la politique de confidentialité afin de restreindre l’utilisation de TikTok, au moins sur les appareils de l’entreprise ou sur ceux des utilisateurs stratégiques et sensibles. Ce n’est un secret pour personne : des États-nations ciblent régulièrement les grandes entreprises pour collecter des renseignements pour générer des revenus. Alors, il n’est pas surprenant que les entreprises qui souhaitent se protéger au mieux soient d’accord avec cette stratégie. Celles qui mettent régulièrement à jour leur modèle de cyberdéfense sur la base de renseignements contextuels de ce genre, et qui gèrent leurs actifs ainsi que des solutions de gestion unifiée des endpoints, sont certainement les mieux placées pour gérer ce risque à leur échelle.
L’annonce gouvernementale vient souligner l’importance de la gestion des risques au sein des entreprises et administrations publiques. De plus, il est nécessaire d’évaluer régulièrement les niveaux de sécurité des nouveaux produits, technologies, systèmes de messageries ou réseaux sociaux (qui peuvent sembler au premier abord inoffensifs), car ils peuvent avoir notamment un impact sur la sécurité globale d’une entreprise. Si les attaques contre la supply chain sont un problème de taille, les risques liés à la protection de la vie privée devraient également figurer en tête des priorités des DSI pour les entreprises et structures stratégiques. Combien de DSI connaissent les déclarations contenues dans la politique de confidentialité de TikTok ? Quelle serait la valeur de données sensibles ou stratégiques collectées par TikTok entre les mains de cybercriminels motivés par l’appât du gain ou mandatés par des États-nations ?