Malgré leur popularité auprès des employés, les plateformes de messagerie informelle posent des risques importants à la cybersécurité des organisations. L’enquête annuelle sur la cybersécurité de KnowBe4 Afrique 2025 a révélé que 93 % des répondants africains utilisent WhatsApp pour les communications professionnelles, dépassant les e-mails et Microsoft Teams. Que peuvent faire les organisations pour se protéger des fuites de données et d’autres menaces ?
Pour de nombreuses organisations, des plateformes comme WhatsApp et Telegram sont devenues partie intégrante de la communication sur le lieu de travail. Leur facilité d’utilisation est ce qui les rend si populaires, explique Anna Collard, SVP Content Strategy and Evangelist chez KnowBe4 Africa. « Particulièrement sur le continent, beaucoup de gens préfèrent WhatsApp parce que c’est rapide, familier et sans friction », affirme-t-elle. « Ces applications sont déjà sur nos téléphones et intégrées à nos routines quotidiennes. »

En termes de collaboration, ces plateformes aident également les employés à travailler ensemble, surtout dans des environnements de travail à distance ou hybrides. « Il semble naturel de « pinger » un collègue sur WhatsApp, surtout si vous essayez d’obtenir une réponse rapide », dit-elle. « Mais la commodité a souvent un coût en termes de contrôle et de conformité. »

Messagerie informelle, risques formels

Des cas récents ont souligné les risques liés à l’utilisation de plateformes informelles pour la communication professionnelle. De plus en plus, les messages WhatsApp sont utilisés comme preuves dans les tribunaux du travail et d’autres affaires juridiques. La banque britannique NatWest est allée jusqu’à interdire les messages WhatsApp à son personnel. Aux États-Unis, un plan d’attaque militaire top-secret au Yémen a été divulgué sur la plateforme de messagerie Signal plus tôt cette année, le plan ayant été involontairement partagé avec un rédacteur de journal et d’autres civils, y compris la femme et le frère du secrétaire à la Défense.

Les communications officielles qui se retrouvent sur des appareils personnels et des plateformes informelles sont un problème très clairement non exclusif au secteur des entreprises.

« Il y a plusieurs niveaux de risque », déclare Collard. « Il est important de se rappeler que WhatsApp n’a pas été conçu pour un usage interne en entreprise, mais comme un outil grand public. De ce fait, il n’intègre pas les mêmes contrôles de niveau professionnel et de confidentialité qu’un outil de communication d’entreprise, tel que Microsoft Teams ou Slack. »

Le plus grand risque pour les organisations est la fuite de données. « Le partage accidentel ou intentionnel d’informations confidentielles, telles que les coordonnées des clients, les chiffres financiers, les stratégies internes ou les identifiants de connexion, sur des groupes informels peut avoir des conséquences désastreuses », dit-elle. « C’est aussi totalement hors du contrôle de l’organisation, créant un problème d’informatique fantôme. » C’est une préoccupation croissante, car l’enquête annuelle sur la cybersécurité de KnowBe4 Afrique 2025 a noté que jusqu’à 80 % des répondants utilisent des appareils personnels pour le travail, dont beaucoup ne sont pas gérés, créant des angles morts importants pour les organisations.

Un autre risque majeur est le manque d’auditabilité. « Les plateformes informelles n’ont pas les pistes d’audit nécessaires pour se conformer aux réglementations, en particulier dans des secteurs comme la finance où les exigences en matière de traitement des données sont strictes », explique Collard.

Le phishing et le vol d’identité sont également des menaces. « Les attaquants adorent les plateformes où la vérification d’identité est faible », dit-elle, ajoutant qu’au moins 10 personnes de son réseau personnel ont signalé avoir été victimes d’usurpation d’identité et d’escroqueries de prise de contrôle de compte WhatsApp. « Une fois que l’escroc a accès au compte, dans de nombreux cas via des échanges de cartes SIM, l’utilisateur réel est bloqué et il a accès à toutes ses communications, contacts et fichiers précédents », commente-t-elle. « Ils se font alors passer pour la victime pour tromper leurs contacts, leur demandant souvent de l’argent ou même des informations plus personnelles. »

Au-delà de la sécurité, l’utilisation de ces canaux peut également entraîner des communications inappropriées entre les employés ou le flou des frontières entre vie professionnelle et vie privée, entraînant un épuisement professionnel. « Un flux constant de messages peut également être distrayant et réduire la productivité », déclare Collard.

Mettre en place les bonnes protections

Pour les organisations qui souhaitent atténuer ces risques, il est important de mettre en place une stratégie de communication claire, soutient Collard. « Premièrement, proposez des alternatives sécurisées », dit-elle. « Ne vous contentez pas de dire aux gens ce qu’il ne faut pas utiliser. Assurez-vous que des outils comme Teams ou Slack sont faciles d’accès et clairement approuvés. »

La prochaine étape consiste à éduquer les employés sur l’importance d’une communication sécurisée. « Cette formation devrait inclure les principes de pleine conscience numérique, tels que faire une pause avant d’envoyer, réfléchir à ce que vous partagez et avec qui, et être attentif aux déclencheurs émotionnels comme l’urgence ou la peur, car ce sont des tactiques courantes dans les attaques d’ingénierie sociale », partage Collard. « En promouvant la sécurité psychologique, les employés se sentent à l’aise de remettre en question les demandes étranges, même si elles semblent provenir d’un patron ou d’un client. »

Ceci est particulièrement vital compte tenu du « fossé de confiance » souligné dans le nouveau rapport KnowBe4 Africa Human Risk Management Report 2025, où une perception élevée de la sensibilisation aux politiques de cybersécurité ne se traduit souvent pas par une confiance ou un soutien total des employés pour signaler les incidents ou remettre en question les communications suspectes.

En introduisant des outils de communication approuvés, les organisations peuvent bénéficier de fonctionnalités de sécurité supplémentaires, telles que les journaux d’audit, la protection des données, le contrôle d’accès et l’intégration avec d’autres outils métier. « Ces plateformes favorisent également des normes de communication plus conscientes, comme la planification de messages ou la définition des statuts de disponibilité », déclare Collard. « L’utilisation de plateformes approuvées aide à maintenir des limites saines, afin que le travail n’envahisse pas tous les recoins de votre vie personnelle. Il s’agit autant du bien-être numérique que de la cybersécurité. »

En conclusion, Collard soutient que si la messagerie informelle offre de la commodité, son utilisation incontrôlée introduit des cyber-risques importants. « Les organisations doivent aller au-delà de la simple reconnaissance du problème et mettre en œuvre de manière proactive des politiques claires, proposer des alternatives sécurisées et donner aux employés la pleine conscience numérique nécessaire pour naviguer en toute sécurité dans ces zones à cyber-risques », souligne-t-elle.

(Source : Social Net Link, 1 er septembre 2025)