Si l'on attendait une indication de la popularité des réseaux sociaux, elle est peut-être venue de l'un des RSSI qui participait au CSO Interchange de Londres : "Bloquer l'accès à Facebook nous poserait certainement des problèmes de recrutement", explique-t-il à ses pairs. Son entreprise estime en effet qu'elle ne serait pas en mesure d'attirer - ou de retenir - les profils qu'elle recherche si elle refuse à ses collaborateur d'accéder à Facebook.

Pour un autre participant, la décision de ne pas bloquer le géant du web social s'est révélée encore plus simple : "Lorsque l'objet même de la société est la créativité, c'est tout simplement impossible. On ne peut pas savoir si la prochaine grande idée ne viendra pas de Facebook ou d'une discussion sur un blog", affirme-t-il.

Bref, Facebook serait devenu un mal nécessaire qu'il serait impossible d'interdire dans l'entreprise. Mais attention à ne pas limiter le phénomène à cette fameuse "génération Y" que l'on imagine ultra-connectée : la quasi-totalité des participants à ce CSO Interchange, tous RSSI ou cadres de haut niveau, étaient présents sur LinkedIn, comme l'a démontré un sondage informel à main levée. D'ailleurs, un autre RSSI a bien expliqué que son entreprise tentait de bloquer l'accès à tous les réseaux sociaux... sauf LinkedIn, tant le site est utilisé par ses VIP et les ressources humaines.

Qu'il s'agisse de l'un ou l'autre des géants du web social, voire de plate-formes de niches (dont SecurityVibes !), il est ainsi apparu que les réseaux sociaux font désormais partie du paysage de l'entreprise, et que le responsable de la sécurité doit le plus souvent "faire avec".

Oui, mais comment ? "Le rôle de la sécurité n'est pas de contrôler l'utilisation du web ou la productivité. Nous avons donc sécurisé la navigation elle-même, qui passe à travers un serveur Citrix dans un environnement contrôlé, mais c'est tout. Tout au plus, nous observons les volumes transférés, mais pas l'usage", se défend un autre participant qui a manifestement décidé d'éviter le problème.

Pour les autres, l'une des pistes évoquée par l'assemblée est la définition de profils d'utilisateurs distincts en fonction de leurs besoin d'accès aux sites web sociaux. Mais encore faut-il ensuite être en mesure d'appliquer des accès web différents en fonction de ces profils. Et surtout gérer ces derniers ! Une solution spécifique au web (filtrage d'URL avec support de catégories d'utilisateurs) est certes une option à court terme, mais elle ne sera pas nécessairement idéale sur le long terme : quid des autres médias (messagerie instantanée, par exemple) ? Faudra-t-il se résoudre à gérer des profils distincts pour chaque medium "social" susceptible de voir le jour ? (on pense par exemple à Google Wave, notamment - même s'il s'agit ici toujours essentiellement du web).

De l'opinion générale il est inutile d'adopter une approche "tout ou rien" face à ces sites web sociaux. Le débat aurait plutôt tendance à se déplacer sur la surveillance des données qui transitent vers l'extérieur, quel que soit le medium et la destination. On parle alors, bien entendu, de DLP et c'est une toute autre affaire : qui, aujourd'hui, est en mesure de déterminer exactement les informations qui ne doivent, par exemple, pas être publiées sur Facebook mais seraient acceptables sur LinkedIn ?

Ainsi, à défaut de vouloir gérer des profils d'usage spécifiques au web, et sans pouvoir - encore - se reposer entièrement sur le DLP, les RSSI semblent s'en remettre à leur politique de sécurité, censée notamment encadrer l'usage de l'accès internet offert par l'entreprise. Hélas, fait remarquer un participant en guise de conclusion, "une telle approche peut fonctionner aux Etats-Unis, où l'entreprise est plus libre de décider les usages autorisés de ses propres outils et de licencier un collaborateur qui ne respecterait pas ces règles. En Europe en revanche, il est beaucoup plus difficile de faire respecter une telle charte".

Et c'est en définitive là une conclusion mi-figue, mi-raisin pour un problème qui dépasse, de loin, le seul accès web à des sites à la mode. Et qui semble laisser bien des RSSI démunis.

Des solutions apparaissent qui offrent un contrôle plus granulaire sur les actions autorisées au sein d'un site web social. Il devient par exemple possible de distinguer la consultation de Facebook de la mise en ligne de photos ou de contenus dans son profil. Nous avons chroniqué l'une de ces solutions dans notre dossier "Deux startups pour protéger la navigation".