Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Interdire les médias sociaux et les applications de messagerie, un problème majeur (et coûteux)
Les organisations et leurs responsables de la conformité ont du mal à maîtriser les interdictions de communications hors canal, interdisant aux employés d'utiliser des applications comme WeChat, Whatsapp ou TikTok, pour n'en nommer que quelques-unes.
Dans une étude, 61,5 % des responsables de la conformité interrogés ont déclaré que « faire en sorte que les employés se conforment aux règles en matière de communication électronique était leur plus grande préoccupation ». L'enquête a également révélé que seulement 3 % des responsables de la conformité ont déclaré qu'ils « croient fermement » que les interdictions de canaux sont efficaces pour garantir la conformité des communications au sein de leur organisation.
Ce sentiment de futilité persiste, même si la plupart (59 %) ont interdit l'utilisation des réseaux sociaux et des applications de messagerie en raison d'une surveillance réglementaire accrue.
Rob Mason, directeur du renseignement réglementaire chez Global Relay, explique que les interdictions de chaînes sont inefficaces car elles sont presque toujours contournées – d'où le grand nombre d'amendes qui ont été infligées ces dernières années.
En plus des amendes de la FTC, les entreprises qui autorisent le shadow IT et la communication hors canal courent également un risque plus élevé de fuites de données et de failles de sécurité, car les équipes informatiques et de sécurité n'ont aucune surveillance ou contrôle sur la manière dont les employés utilisent ces outils et quelles données sont transférées. partagé.
Les organisations sont également susceptibles d’encourir des coûts plus élevés à long terme associés au shadow IT.
« Tant que des interdictions de canaux seront en place, nous verrons toujours un courant sous-jacent de communication hors canal pour les entreprises », dit-il. "Je pense que les interdictions de chaînes sont désormais une mesure tactique temporaire pendant que des stratégies sont déployées pour gérer le risque plus efficacement."
Il ajoute que l'interdiction des canaux de communication non approuvés a toujours été le cas.
« Les collègues sont conscients qu'ils doivent effectuer des communications professionnelles sur des supports enregistrés, qui sont ensuite soumis à une surveillance et à une tenue de registres conformément à la réglementation », note-t-il. "Cela garantit le respect des politiques internes qui reflètent les réglementations en vigueur."
Lorsque le COVID-19 a frappé, le confinement a obligé les gens à travailler à domicile, mais le « maintien de l’ordre » de la politique d’interdiction des appareils mobiles n’a pas eu lieu, même si les frontières entre les communications personnelles et professionnelles sont devenues de plus en plus floues.
Malgré cela, il y avait une utilisation claire et généralisée de WhatsApp et d'autres canaux de communication non approuvés à des fins commerciales – ce qui a été découvert pour la première fois par une enquête de la SEC.
Cela a entraîné des sanctions et des amendes pour presque toutes les grandes banques, ce qui se poursuit actuellement 18 mois après le premier avis.
« Les sanctions en cas de violation de ces politiques d'interdiction ont été augmentées, mais il s'agit là d'un moyen de dissuasion et non d'un contrôle », explique Mason.
John Harden, chef de produit senior chez Auvik, affirme que l'efficacité dépend fondamentalement des étapes de l'interdiction.
« Par exemple, une note adressée aux employés de l'organisation sans aucune mesure d'application, de surveillance ou de mesures informatiques secondaires est vouée à l'échec », dit-il. « Comme l'eau emprunte le chemin de la moindre résistance, nous l'avons vu ici chez Auvik, les employés ont tendance à utiliser le shadow IT pour faciliter leur rôle.
Il est essentiel de savoir si l'objectif est de cocher la case « nous avons fait quelque chose » ou si l'objectif est de faire respecter cette case et de s'assurer qu'elle est stoppée par des mesures de protection.
« Les employés n'utilisent pas la communication hors canal parce qu'ils souhaitent enfreindre la politique informatique », ajoute-t-il. "Ils le font parce que c'est plus facile pour eux ou pour leurs clients."
Harden affirme que dans ce cas, les entreprises doivent examiner le shadow IT de manière opportuniste : elles doivent comprendre pourquoi des outils comme WhatsApp et WeChat sont utilisés et chercher à innover en interne avec leur pile technologique.
« Dire simplement aux employés d’utiliser un outil sanctionné plutôt que celui qu’ils préfèrent n’apportera pas grand-chose », dit-il. « Les employés ont leurs préférences et les responsables informatiques doivent écouter pourquoi les employés préfèrent utiliser un outil non autorisé et en profiter comme une opportunité d'innovation pour répondre aux besoins des employés tout en restant conforme.
Chris Audet, analyste vice-président de Gartner, explique que dans de nombreux cas, les responsables de la conformité ont tendance à surveiller les risques de manière rétroactive et à examiner les événements à risque qui se sont produits, plutôt que d'adopter une approche prescriptive évaluant les événements à risque susceptibles de se produire.