Exposer une solution chatbot sur un site internet peut ouvrir la boîte de Pandore aux hackers en tout genre. Aussi, il est essentiel d’opter pour des solutions technologiques mettant les enjeux de sécurité au cœur de la construction du système.
Déployer un chatbot sur le site d’une entreprise présente de très nombreux avantages. Qu’on parle de chatbot compagnon (formation des collaborateurs, assistant RH, gestion interne de la documentation…), d’un chatbot helpdesk (qui répond aux demandes externes), les agents conversationnels sont aujourd’hui essentiels. Ils offrent une expérience utilisateur premium, à la hauteur de l’image que vous souhaitez donner de votre entreprise. Cependant, il ne faut pas se précipiter et choisir n’importe quelle solution technologique, car mettre en place un chatbot n’est pas sans danger.
Chatbots non sécurisés : quels sont les risques ?
Déployer un agent conversationnel, tant en interne qu’en externe, peut vous exposer à bien des dangers. En effet, les chatbots délivrent de l’information liée à votre entreprise, parfois élaborée directement à partir de la documentation. Ils manipulent donc des données potentiellement sensibles. Une faille de sécurité et ces dernières peuvent être exposées à des personnes malveillantes. Imaginez vos secrets de fabrication ou vos plans stratégiques accessibles aux hackers ! De même, les données personnelles des utilisateurs (qu’ils soient visiteurs de votre site ou collaborateurs), si elles sont échangées avec le chatbot, courent également des risques de fuite.
Parmi les failles de sécurité les plus répandues dans l’univers des chatbots, certaines peuvent donc avoir de très lourdes conséquences. Des solutions d’agent conversationnel gérant mal la gestion des accès et des habilitations peuvent rendre possible l’accès non contrôlé à des données confidentielles, au travers de la discussion avec le chatbot. D’autres chatbots sont quant à eux exposés à l’injection de code, via le champ de saisie de la fenêtre de dialogue. Certains peuvent aussi rendre possible le contournement du contrôle d’accès à certains liens fournis par le chatbot en réponse à certaines sollicitations, et ainsi exposer jusqu’aux données de votre serveur ! Ces enjeux de cyber sécurité sont pourtant essentiels pour toute entreprise.
Comment choisir un chatbot sécurisé ?
Tout d’abord, sachez que faire le choix d’une entreprise bien établie et qui travaille avec des clients grands comptes offre déjà un gage de sérieux certain. En effet, les grandes entreprises ont des services dédiés à la sécurité informatique dont le niveau d’exigence est d’autant plus élevé que les données qu’ils manipulent sont sensibles. Par conséquent, ils imposent à leurs fournisseurs des solutions extrêmement fiables en matière de cyber sécurité, et donc des chatbots sécurisés.
Le respect des directives de l’OWASP pour la sécurité de votre chatbot
Pour trouver des chatbots dont la sécurité est assurée, une autre piste consiste à trouver des solutions de chatbots qui incluent au cœur de leur conception les directives de l’OWASP, une organisation mondiale à but non lucratif dont la mission principale est de proposer des ressources pour renforcer la cyber sécurité des applications. L’OWASP, pour Open Web Application Security Project (ou projet de sécurité des applications web, en français), a été fondé au début des années 2000 aux États-Unis. De manière très régulière, l’OWASP publie en effet des recommandations de cyber sécurité et des ressources faisant référence sur le sujet, comme l’OWASP Top Ten Web Application Security Risk. Cette organisation propose également de nombreux outils, guides et méthodes pour sécuriser des applications web tels que les chatbots.
La sécurité d’un chatbot vérifiée par un audit externe
Enfin, la dernière piste à suivre pour trouver la solution chatbot idéale et sécurisée est de s’assurer qu’elle a fait l’objet d’un audit externe de sécurité. En effet, une solution chatbot ayant été mise à l’épreuve de ce type de « pentest » est un critère majeur pour vérifier qu’elle est fiable et sécurisée. Un audit déjà réalisé, dont les recommandations ont été prises en compte dans la feuille de route de la solution pour continuer à améliorer sa sécurisation, est en effet un véritable gage de fiabilité et de sérieux. Un chatbot passé au crash-test d’un audit externe sérieux et indépendant apparaît ainsi comme une caution solide : vous aurez en effet accès de manière transparente aux informations vous permettant de choisir de manière éclairée la meilleure des technologies.
Guilhem Valentin,
Directeur des opérations
Synapse Développement