Pratiqué par de plus en plus d’entreprises, d’administrations et prisé par les salariés, le télétravail connaît une croissance forte. La situation sanitaire a donné un véritable élan à cette pratique, mais trop souvent la cybersécurité n’est pas prise en compte à sa juste valeur. Il est pourtant indispensable de prendre quelques précautions pour éviter les mauvaises surprises : la sécurité de l’entreprise doit désormais se penser en dehors de ses murs.
Une situation critique illustrée par quelques chiffres clés
Selon une étude réalisée par un acteur de la cybersécurité, près de 9 employés sur 10 utilisent leur matériel informatique personnel à des fins professionnelles, et 42 % d’entre eux déclarent ne pas mettre à jour régulièrement leur système de sécurité
80% des attaques par "ransomware" ont pour point d’ancrage l’accès extérieur au système d’information d’une société. Ces logiciels malveillants cryptent les informations des SI et vont demander une rançon pour récupérer ses informations. Il y a un vrai enjeu économique pour les hackers : il s’agit d’une véritable économie parallèle avec des montants financiers très importants.
Selon un rapport de Malwarebytes, 20 % des organisations ont été victimes d’une cyberattaque causée par un collaborateur en télétravail depuis le début de la pandémie. Les cybercriminels profitent du COVID : les attaques se propagent à la même vitesse que le virus.
Aujourd’hui les attaques se font en masse, les cibles sont multiples. Les hackers font en quelque sorte de la “pêche à la ligne” et ils attendent de voir ce qui mord. Peu importe la taille de l’entreprise, de l’artisan à la multinationale, il faut se protéger des cyberattaques.
4 bonnes pratiques pour se prémunir contre les cyber attaques
Pour les entreprises, limiter les risques informatiques liés au télétravail passe par des mesures concrètes et des solutions techniques :
1- Profiler les télétravailleurs
Pour être en capacité d’identifier les mécanismes de sécurité à mettre en place pour chaque télétravailleur, il faut déterminer quel type de personne télétravaille, à quel poste, à quels horaires. Avec ces données, il s’agira de créer des profils de télétravailleurs en fonction de leurs attributions et des informations sensibles auxquelles ils doivent ou non avoir accès.
2 - Authentifier les accès à distance
Le premier moyen d’éviter une intrusion étrangère dans le système de l’entreprise est d’instaurer un système d’identification du télétravailleur lorsqu’il s’y connecte (identifiant, mot de passe, code à usage unique…). Ces systèmes de double authentification, du même type que pour un paiement en ligne, ne sont pas coûteux et simples d’utilisation, et ils sont essentiels pour sécuriser les accès. Ils permettent de s’assurer qu’il s’agit bien de la bonne personne derrière le clavier.
3- Dissocier et protéger les appareils
Au-delà d’un système de protection anti-virus, les moyens d’éviter les risques entre le périphérique de l’employé et le SI de l’entreprise sont de réduire les droits d’administrations au maximum sur la machine et d'attribuer au télétravailleur un périphérique à usage strictement professionnel régulièrement mis à jour au niveau sécuritaire par le service informatique. Il s’agit de dissocier le monde professionnel et personnel et d’isoler au maximum les liens réseaux entre le périphérique du télétravailleur et sa connexion réseau « home office »
4 - Sécuriser l’accès aux données
Afin de sécuriser les flux d’informations entre le poste du salarié et le réseau de l’entreprise, il est également possible d’utiliser un VPN (Virtual Private Network) qui permet de chiffrer les données qui vont vers l’entreprise pour ne pas être interceptées.
Avec le développement du cloud, certaines entreprises mettent également en place des plateformes de bureau virtuel, qui permettent d’accéder n’importe où et sur n’importe quel appareil aux données sensibles de l’entreprise, sans y être directement physiquement connecté. Au final ce qui compte, c’est la sécurisation de la donnée stockée qui va transiter.
Un accompagnement humain indispensable en plus des solutions techniques
Toutes ces technologies ne seraient rien sans des précautions de base à prendre par le collaborateur nomade, moins soumis aux procédures de contrôle de l’entreprise. La phase de formation des collaborateurs est donc essentielle.
1 - Sensibiliser vos collaborateurs
Pour les sensibiliser aux problématiques de cybersécurité, il existe de nombreux outils ludiques pour expliquer comment télétravailler en toute sécurité. Beaucoup de modules de formation courte permettent de progresser sur ce sujet en moins de 10min. En mettant en place une sensibilisation régulière mais assez courte à vos collaborateurs, vous aurez plus de chances d’être lus qu’avec des guides très complets.
Demandez également à ce que les incidents ou les suspicions d’incidents de sécurité soient remontés systématiquement. Voici quelques liens utiles pour signaler les incidents :
2 - Dirigeants : impliquez-vous et montrez l’exemple !
L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.C’est eux qui ont accès à plus de données sensibles, donc c’est eux qui sont le plus souvent attaqués.
La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. Elle ne doit pas seulement être l’affaire des DSI, mais être portée par les RH et l’équipe de direction.
Quelques liens utiles pour aller plus loin :
Proposez à vos collaborateurs de se former avec le MOOC de l’ANSSI