Les organisations interdisent TikTok. Devriez-vous faire de même ?

Dans le climat de sécurité actuel, les pays et les organisations du monde entier ne perdent pas de temps à débattre de l’opportunité d’interdire une application mobile à risque, quelle que soit sa popularité. La sécurité et la confidentialité des données étant au centre des conversations dans les secteurs public et privé, ces questions sont généralement soulevées lorsqu’une application présente des pratiques douteuses en matière de collecte et de traitement des données. Depuis quelques années maintenant, l’application populaire de médias sociaux TikTok est revenue à plusieurs reprises dans les discussions sur la confidentialité des données.

Le gouvernement chinois étant connu pour exercer une influence directe sur les organisations basées en Chine, y compris ByteDance, la société mère de TikTok, il est raisonnable de penser que vos données pourraient être partagées avec le gouvernement chinois.

Il semble bien que la situation se soit améliorée depuis 2020. Ce qui est remarquable, c’est que le volume et les types de données collectées sont encore importants et pourraient constituer une préoccupation légitime pour les industries hautement réglementées comme les organisations publiques. C’est dans cet esprit qu’un certain nombre d’États américains ont interdit à leurs employés d’utiliser TikTok sur les appareils mobiles appartenant au gouvernement.

Pourquoi la collecte de données par TikTok constitue-t-elle une menace pour la sécurité ?

Le fait est que TikTok collecte en grande partie les mêmes données que d’autres applications populaires, en particulier celles qui veulent offrir une expérience personnalisée. La différence réside dans le fait que TikTok appartient à la société chinoise ByteDance, qui doit se conformer à la législation chinoise. L’un des textes de loi qui suscite l’inquiétude est la loi sur le renseignement national chinois introduite en 2017. Cette loi stipule que « toute organisation ou tout citoyen doit soutenir, aider et coopérer avec le travail de renseignement de l’État conformément à la loi. » En termes plus simples, toute organisation basée en Chine est censée partager des données avec le gouvernement chinois si cela est considéré comme une question de sécurité nationale.

Dans cette optique, pensez à la pléthore de données que TikTok collecte sur les appareils sur lesquels il est installé, comme la marque et le modèle de l’appareil, la version du système d’exploitation (OS), l’opérateur mobile, l’historique de navigation, les applications installées, les noms et types de fichiers, les schémas ou rythmes de frappe, les connexions sans fil et la géolocalisation… La politique de confidentialité de TikTok décrit la collecte et l’analyse des informations personnelles identifiables (PII) des utilisateurs et des données recueillies auprès d’autres sources. Il peut s’agir de l’âge, de l’image, des contacts personnels, de l’état des relations, des préférences et d’autres données recueillies par le biais d’une fonction d’authentification unique (SSO) qui permet aux utilisateurs de se connecter à TikTok à partir d’autres plateformes.

La géolocalisation à elle seule peut constituer un problème de sécurité nationale. C’est pourquoi aux États-Unis, l’U.S. Navy et d’autres organisations militaires ont déjà interdit TikTok, et maintenant d’autres suivent le mouvement. En outre, on s’inquiète de savoir si le gouvernement chinois pourrait influencer le contenu que les occidentaux voient. Qu’il s’agisse de produire du contenu lui-même ou de modifier l’algorithme, nous avons tous vu l’influence que les médias sociaux peuvent avoir sur le discours public, y compris la politique. En ayant un lien plus direct avec TikTok, le gouvernement chinois pourrait avoir un impact plus direct sur les utilisateurs que la façon dont la Russie a utilisé Facebook pour interférer dans les élections américaines passées.

Comment bloquer les applications indignes de confiance comme TikTok ?

Si au sein de votre entreprise, vous avez décidé d’empêcher vos utilisateurs d’accéder à TikTok, ou à toute autre application non fiable, le défi est le suivant : comment faire ? TikTok utiliserait des centaines de réseaux de diffusion de contenu (CDN) différents, ce qui pourrait rendre son contrôle difficile. Une approche comme le filtrage DNS ne fonctionnerait donc pas ici. Et limiter l’accès ne représente que la moitié de la bataille, compte tenu de tous les dispositifs personnels non contrôlés que les gens utilisent.

TikTok n’est qu’une application de plus parmi celles à risques pour les entreprises. A chaque organisation de décider si elle présente un risque pour ses données ou non. La leçon à tirer est que la sécurisation et l’application de politiques sur les appareils mobiles nécessitent une solution conçue de A à Z pour les appareils mobiles.