Auteur :Morey Haber,CTO, BeyondTrust
Dans le cadre de l’intégration, les nouveaux employés signent généralement un manuel de l’employé qui contient des politiques et des lignes directrices pour une utilisation acceptable de la technologie de l’information. Dans les détails, sont souvent des restrictions de politique concernant l’utilisation inacceptable pour les e-mails. En règle générale, ces politiques stipulent que le courrier électronique ne doit être utilisé que pour la correspondance commerciale officielle de l’entreprise, et non pour les communications personnelles.
Morey Haber, CTO, BeyondTrust
Si vous voyagez fréquemment pour travailler, ou si vous êtes responsable de l’achat de marchandises ou de services pour votre employeur, est-il acceptable d’utiliser votre adresse e-mail professionnelle ou devriez-vous utiliser votre courriel personnel pour effectuer la transaction ?
Cette question, et les conséquences de votre départ d’une organisation, peuvent créer une situation complexe et un risque de sécurité que la plupart des employeurs ignorent complètement. Et, malheureusement, ils n’ont aucun moyen de gérer ou d’atténuer le risque potentiel.Considérez ces scénarios réels auxquels les entreprises sont confrontées aujourd’hui :
Utilisation des comptes de messagerie d’entreprise comme connexion pour les services de voyage
Un employé crée un compte sur le site Web d’une compagnie aérienne à l’aide de l’adresse e-mail de l’entreprise. Cette adresse est utilisée pour l’authentification dans le service et pour réserver des vols ou d’autres arrangements de voyage.
Incidences potentielles sur
Une fois leur emploi terminé, toutes les notifications ou réservations futures de vols sont liées au compte de messagerie professionnel suspendu. Si votre organisation transmet automatiquement le courrier électronique à un homologue ou à un responsable, un vecteur de menace de vol d’identité a été créé. Un collègue qui reçoit maintenant les courriels de l’ancien employé peut simplement sélectionner « Mot de passe oublié » et posséder le compte de l’ancien employé. Cela est particulièrement vrai si le compte n’est pas davantage protégé par des questions de sécurité ou une authentification supplémentaire à deux facteurs. Si la vérification est liée à la même adresse e-mail, elle est terminée une fois qu’ils ont un lien de confirmation.
Recommandation
Lafaçon la plus soucieuse de la sécurité de gérer ce scénario est qu’une organisation applique l’utilisation d’un service de voyage d’entreprise approuvé pour réserver des vols, hôtels, voitures, etc., au lieu de permettre aux employés de réserver des voyages seuls et d’utiliser un compte de messagerie d’entreprise. Si l’entreprise autorise les réservations en dehors d’un service d’entreprise, autorisez et recommandez aux particuliers d’utiliser leur compte de courriel personnel pour réserver un voyage, même s’ils paient avec une carte de crédit d’entreprise. Après tout, c’est leur compte.
Formats d’adresse e-mail
La plupart des organisations disposent d’un schéma d’adresse de messagerie. Les formats typiques comprennent le prénom initial ou le nom de famille du point de prénom.
Incidences potentielles sur
Que se passe-t-il lorsqu’un pour l’organisation et un nouvel employé commence par le même nom ou la combinaison initiale ? Le nouvel employé reçoit potentiellement tous les courriels de l’ancien employé même s’il n’était pas prévu pour eux. Selon le rôle du nouvel employé, le courriel peut ne pas être approprié à distance (par exemple lorsque des IIP et des finances sont impliqués) pour qu’il reçoive. Les organisations qui continuent de croître auront une probabilité statistique plus élevée de chevauchement pour les noms et les initiales.
Recommandation
Les organisations ne devraient jamais réutiliser les adresses électroniques d’anciens employés pour de nouveaux employés. Envisagez d’ajouter des numéros comme « 01 » à la fin des nouvelles adresses e-mail pour éviter ce problème à l’avenir.
Utilisation des comptes de messagerie d’entreprise pour les passerelles de paiement
Certaines organisations permettent l’achat de marchandises et de services via des plateformes de paiement communes, comme PayPal ou Apple Pay. Ces éléments sont nécessaires pour que certains employés (comme les membres de l’équipe marketing) remplissent leurs fonctions professionnelles. Cependant, aucune de ces plates-formes ne doit être configurée avec l’adresse e-mail d’entreprise d’un utilisateur. S’ils ont besoin d’utiliser une adresse e-mail professionnelle, créez un groupe ou un alias pour ces services.
Incidences potentielles sur
Tout comme pour l’exemple du transport aérien dans le premier scénario, un compte personnel utilisé pour les services peut être mis à profit par rapport à la personne si elle quitte et n’a pas accès pour changer son adresse courriel.
Recommandation
Pour ce type de situations, il est recommandé d’utiliser un nom de compte dédié pour l’authentification, par opposition à une adresse e-mail. Cette option permet au propriétaire du compte de modifier l’adresse e-mail, mais présente un risque supplémentaire si le compte est partagé. Les anciens employés qui utilisent des comptes partagés pour les services de paiement soulignent le risque continu de contrôles d’accès privilégiés inadéquats et les menaces que représentent les comptes partagés.
Utilisation des comptes d’entreprise pour les courriels personnels
Certains employés utilisent des courriels personnels pour la correspondance personnelle par groupe, par exemple pour l’école de leurs enfants.
Incidences potentielles sur
Une fois qu’un employé quitte l’organisation, le destinataire des courriels transmis est maintenant potentiellement exposé à des renseignements hautement personnels, ce qui risque d’enfreindre certaines réglementations locales.
Recommandation
Les adresses électroniques d’entreprise doivent toujours rester strictement déléguées à l’usage professionnel, et jamais pour les communications personnelles. Les résultats peuvent présenter des ramifications juridiques intéressantes, surtout si la suppression de l’adresse d’un groupe n’est pas négligeable.
Aujourd’hui, les limites du travail et de la sphère personnelle continuent de se mélanger et de s’estomper — offrant des avantages (flexibilité au travail, productivité accrue, etc.) pour les employeurs et les employés — mais pas sans cyberrisques. Des politiques complètement strictes d’utilisation du courrier électronique de l’entreprise n’introduiront que plus de risques car r se produit et notre dépendance à l’égard des communications électroniques continue.
Les organisations ont adopté des politiques telles que Bring Your Own Device (BYOD) pour la prise en charge des appareils mobiles et devraient envisager d’autoriser des adresses e-mail personnelles pour exactement les mêmes raisons. Les politiques acceptables d’utilisation du courrier électronique doivent indiquer clairement quand l’utilisation personnelle est acceptable, doit être mise en œuvre et quand elle crée des risques inutiles en raison de la cessation d’emploi de l’employé.
