Un coup de balai se prépare dans certaines sociétés d’État, qui mettent TikTok à l’index sur les appareils mobiles fournis à leurs employés. Dans le secteur privé, le tour de vis donné par Québec et Ottawa devrait inciter les gestionnaires à regarder ce qui est téléchargé par leurs employés sur le matériel d’entreprise, affirment des spécialistes de la cybersécurité.
« Des jeux et d’autres applications qui collectent des données personnelles, il y en a énormément, souligne Stéphane Auger, vice-président chez Équipe Microfix. La situation actuelle est un bon rappel de l’importance de minimiser les risques. Une cyberattaque n’émane pas uniquement d’un rançongiciel. L’objectif, c’est de minimiser les points d’entrée aux données. »
Le réseau social chinois ne disparaîtra pas uniquement des appareils mobiles utilisés par les fonctionnaires, les députés et le personnel politique. On emboîte également le pas dans des sociétés d’État comme Hydro-Québec, où plus de 5400 salariés utilisent du matériel informatique fourni par le producteur et distributeur d’hydroélectricité.
« Hydro-Québec suit les recommandations des gouvernements canadien et québécois, et interdit TikTok sur les appareils mobiles et bloque l’accès à partir du réseau de l’entreprise, souligne un porte-parole, Cendrix Bouchard. Une utilisation personnelle raisonnable des appareils mobiles est permise, en respect de notre code d’éthique. »
De son côté, la Caisse de dépôt et placement du Québec (CDPQ) – qui gère un actif net de 402 milliards – dit avoir pris la décision de « fermer l’accès à cette application afin de poursuivre une analyse plus approfondie » en raison des « doutes de sécurité importants qui ont été soulevés ». Sa porte-parole Kate Monfette n’a cependant pas précisé pendant combien de temps se poursuivrait l’analyse.
Investissement Québec (IQ), le bras financier du gouvernement, compte aller plus loin qu’une seule application en matière d’encadrement.
« Certains changements seront apportés très prochainement pour mieux encadrer ou restreindre l’utilisation des réseaux sociaux, notamment bloquer l’accès à la plateforme TikTok », a indiqué un porte-parole, Mathieu Rouy.
Beaucoup de données
Ce qui préoccupe les gouvernements occidentaux : le géant ByteDance, propriétaire de TikTok, est établi en Chine, où les lois obligent toute entreprise privée à partager avec Pékin les données qu’il réclame. Le gouvernement chinois pourrait potentiellement avoir accès aux nombreuses informations collectées par la plateforme, comme les données de localisation et de paiement.
Selon des experts en cybersécurité, il y a donc un risque que des données d’une entreprise ou organisation soient compromises si la populaire application se trouve sur le téléphone intelligent fourni à un employé.
Facebook aussi collecte des données, mais on parle d’une compagnie américaine. Le risque concerne l’entreprise en soi, qui pourrait faire l’objet d’une fuite de données, plutôt que le gouvernement chinois, qui pourrait les exiger.
Stéphane Auger, vice-président chez Équipe Microfix
La Société des alcools du Québec (SAQ) n’a pas tourné officiellement le dos à TikTok, mais cela pourrait bien finir par changer. « Nous suivons de près l’évolution de la situation et nous sommes à évaluer notre position », affirme sa porte-parole, Geneviève Cormier.
« Nous n’excluons pas l’interdiction de l’utilisation de l’application sur nos appareils comme mesure préventive », dit-elle.
Faire le ménage
Dans le milieu de la cybersécurité, on estime que l’épisode entourant TikTok doit servir de rappel aux sociétés : les applications gourmandes en matière de collecte de données ne font pas bon ménage avec les outils informatiques qui servent au bon fonctionnement d’une entreprise.
« Il y a des chances que les données de l’employeur soient aspirées par une application », souligne Dominique Derrier, vice-président des services conseils chez Bradley & Rollins, une firme spécialisée dans la cybersécurité. « On oublie que cela peut se produire. C’est bien de voir l’État donner l’exemple. Ça frappe un grand coup. »
Le Centre canadien pour la cybersécurité souligne l’importance, avant de commencer à utiliser une application, d’avoir une idée de ce qui sera récolté comme données et où elles seront stockées et transférées.
Une section de son site web est également consacrée à la réduction des risques lorsque l’on utilise des comptes personnels de médias sociaux au travail. On y suggère entre autres de limiter tout ce qui concerne les services de géolocalisation.
Selon M. Auger, les employeurs qui fournissent des appareils mobiles devraient s’assurer d’installer des outils de gestion pour éviter que des informations potentiellement sensibles soient récoltées par des applications comme TikTok.
Toute application qui n’est pas liée à l’emploi ne devrait pas se retrouver sur un téléphone intelligent d’entreprise.
Stéphane Auger, vice-président chez Équipe Microfix
Dominique Derrier abonde dans le même sens, avec un bémol. Dans les entreprises de petite taille, on ne dispose pas toujours des moyens financiers pour offrir des appareils mobiles réservés au travail. Parfois, des employés se retrouvent à utiliser leur matériel personnel. Les risques sont alors plus élevés, affirme l’expert, qui ajoute que les petites et moyennes entreprises dépendent de la vigilance de leurs salariés.
-
- 1,2 milliard
- Utilisateurs actifs de TikTok à travers le monde
Source : Meltwater