La loi sur la sécurité en ligne (OSA) est l'une des lois les plus longues et les plus complexes du Royaume-Uni. C'est aussi l'une des plus controversées, car elle contient des dispositions visant à contraindre les plateformes en ligne à contrôler le contenu, à espionner les conversations privées et à vérifier l'âge de leurs utilisateurs. C'est cette dernière qui a suscité l'indignation de divers milieux lors de son entrée en vigueur le 25 juillet.
Malgré ses promesses de rendre Internet plus sûr, notamment pour les enfants, l'OSA pourrait en réalité le rendre plus dangereux pour les entreprises si elle entraîne une augmentation durable de l'utilisation des VPN. À tout le moins, les organisations pourraient devoir mettre à jour leurs contrôles de sécurité et leurs politiques d'utilisation acceptables pour s'adapter à ce nouveau contexte.
Conséquences inattendues
L'OSA exige que tout site web diffusant du contenu pornographique mette en œuvre des contrôles stricts de vérification de l'âge, « techniquement précis, robustes, fiables et équitables ». D'autres sites proposant du contenu « pour adultes » – comme X (anciennement Twitter), Reddit, Discord, Telegram, Bluesky et Grindr – se sont également engagés à vérifier l'âge. Avec des amendes pouvant atteindre 18 millions de livres sterling, soit 10 % du chiffre d'affaires mondial, de nombreuses plateformes proposant du contenu généré par les utilisateurs font preuve de prudence.
Pour de nombreux utilisateurs, cela constitue un problème. La vérification de l'âge peut nécessiter la saisie d'une adresse e-mail, d'un numéro de téléphone, d'un scan de pièce d'identité, de données de carte bancaire ou d'une photo/vidéo de leur visage. Parmi les fournisseurs sélectionnés pour traiter ces informations figurent Persona, une entreprise américaine, et AgeID, basée à Chypre. Les utilisateurs n'ont pas le choix. Ils doivent utiliser le fournisseur choisi par le site web/la plateforme auquel ils tentent d'accéder.
Il est compréhensible que les internautes hésitent à transmettre des informations personnelles et biométriques hautement sensibles à des fournisseurs qui les stockent à l'étranger. C'est pourquoi beaucoup choisissent d'investir dans un VPN, selon leurs propres conditions.
L'essor du VPN
Diverses statistiques racontent ce qui s'est passé dans les jours qui ont suivi le 25 juillet. Fournisseur VPN Proton inscriptions signalées Les ventes de contenu en provenance du Royaume-Uni ont augmenté de plus de 1,400 XNUMX % ce jour-là. « Contrairement aux précédentes hausses, celle-ci est soutenue et nettement supérieure à celle observée lorsque la France a perdu l'accès aux contenus pour adultes », a-t-il affirmé.
Par ailleurs, Recherches sur Google À l'intérieur du pays, le terme « réseau privé virtuel » a atteint son apogée le 26 juillet. Selon vpnMentor, cinq fournisseurs VPN est entrée dans le top 10 des applications les plus téléchargées sur l'App Store d'Apple.
Le défi en matière de sécurité réside dans le fait que tous les VPN ne sont pas aussi sûrs et respectueux de la vie privée qu'ils le prétendent. Ils peuvent :
- Partager des données avec des nations hostiles
- Utilisez un cryptage obsolète ou faible qui rend les connexions vulnérables aux attaques de l'homme du milieu
- Vendre les données des utilisateurs à des tiers
- Logiciel groupé avec code malveillant
- Contient des vulnérabilités qui pourraient être exploitées
- Présenter un risque de fuite/violation de données si le fournisseur est compromis
En résumé, si un employé télécharge un VPN grand public sur son ordinateur portable professionnel, son ordinateur personnel utilisé pour le travail ou son appareil BYOD, cela pourrait représenter un risque majeur de « shadow IT » compromettant la gouvernance et la sécurité des données. Sans compter les risques potentiels liés à la consultation de sites pour adultes potentiellement porteurs de logiciels malveillants.
Que faire ensuite?
Mark Weir, directeur régional pour le Royaume-Uni et l'Irlande chez Check Point Software, affirme que la plupart des organisations interdisent déjà l'utilisation d'outils VPN personnels sur les appareils BYOD et professionnels. Mais compte tenu de la récente augmentation de leur utilisation, il conseille aux équipes de sécurité de mettre à jour leurs politiques et de vérifier si elles sont manquantes.
« Les organisations devraient adopter des outils capables de détecter les systèmes informatiques fantômes et d'identifier les utilisateurs concernés. Lorsque de tels outils sont déjà en place, une attention particulière doit être accordée à la surveillance de l'utilisation personnelle des VPN, ainsi qu'aux autres risques potentiels de sécurité et de conformité », explique-t-il à ISMS.online.
Il est également important de mener une campagne de sensibilisation pour sensibiliser les utilisateurs finaux à ces politiques. Ensemble, cette approche à trois volets, associant application des politiques, adoption des technologies et sensibilisation des utilisateurs, peut contribuer à lutter efficacement contre l'augmentation de l'utilisation des VPN personnels.
Chad Cragle, CISO de Deepwatch, soutient que les entreprises doivent également mettre à jour leurs systèmes de gestion de la sécurité de l'information (ISMS) dans trois domaines : la gestion des actifs (suivi des VPN) ; le contrôle des actifs (MFA et accès conditionnel) ; et les politiques d'utilisation acceptables (pour indiquer que les VPN non gérés ne peuvent pas accéder aux données sensibles).
« La gouvernance doit considérer les outils de confidentialité comme des éléments clés, et non comme des failles. Son rôle est de faire respecter les règles, même lorsque le trafic tente de s'éteindre. Cela implique : la résidence des données et le géorepérage pour maintenir le trafic dans les juridictions approuvées ; la préservation des pistes d'audit grâce à la surveillance des terminaux et à la prévention des pertes de données (DLP), même si le trafic est tunnelé ; et l'harmonisation des politiques, où la confidentialité et la conformité ne sont pas des valeurs contradictoires, mais les deux faces d'une même médaille », explique-t-il à ISMS.online.
« Imaginez le contrôle aérien : les passagers peuvent valoriser leur vie privée, mais les avions continuent d'enregistrer leurs plans de vol. La gouvernance doit trouver un équilibre entre liberté de mouvement et visibilité totale ; sinon, on vole à l'aveugle. »
Brandon Tarbet, directeur informatique et de la sécurité de Menlo Security, souhaite que l'identité des utilisateurs soit séparée des interactions avec la plateforme.
« La solution ne consiste pas à restreindre les outils de confidentialité, mais à mettre en œuvre des architectures de sécurité capables de garantir la conformité et la protection des données sans compromettre la confidentialité des utilisateurs », explique-t-il à ISMS.online. « Cela implique de rapprocher les contrôles de sécurité et de confidentialité du contenu lui-même, grâce à des techniques telles que le rendu à distance et les environnements d'exécution isolés. Les organisations peuvent garantir à la fois la conformité réglementaire et la confidentialité des utilisateurs en s'assurant que les décisions de sécurité sont prises sur la base de contenus épurés et évalués en termes de risques, plutôt que sur le trafic utilisateur brut. »
En fin de compte, tout type de mise à jour de gouvernance doit tenir compte de l'évolution de la manière dont les employés ont tendance à accéder aux informations sensibles aujourd'hui, affirme Krishna Vishnubhotla, vice-président de la stratégie produit de Zimperium.
« La gouvernance doit dépasser l'ancienne focalisation sur les réseaux et les ordinateurs de bureau. Les véritables risques se situent sur les appareils mobiles et les applications que les utilisateurs utilisent au quotidien », explique-t-il à ISMS.online. « Un VPN peut masquer le trafic, mais il ne résout pas une application qui divulgue des données ou utilise un chiffrement faible. La solution est simple : vérifiez la sécurité des applications et protégez-les sur l'appareil. Ainsi, la confidentialité est respectée et la conformité n'est pas compromise. »
