Culture du télétravail : les bons réflexes des entreprises
La cybersécurité au travail, enjeu majeur pour les entreprises, étroitement lié à la responsabilité des salariés. Retour sur une pratique qui gagne du terrain !
La frontière entre les sphères professionnelles et privées est de plus en plus floue, notamment depuis la pandémie qui a redéfini les lieux et modèles de travail dans de nombreuses entreprises. Alors que beaucoup d’individus travaillent au moins en partie depuis leur domicile, les notions de déconnexion, mais aussi de séparation technologique (en termes d’outils et d’environnements) sont particulièrement importantes tout en étant loin d’être évidentes. Au-delà d’un bon équilibre à trouver, la question de la sensibilisation à la gestion des données personnelles et à la cybersécurité s’impose.
Alors si tous les individus ne sont pas logés à la même enseigne en termes de compétences cyber, l’entreprise ne devrait-elle pas inclure cette question de la cybersécurité dans la formation et l’accompagnement de ses employés, dans le cadre plus large d’une politique de gouvernance cyber ?
Les entreprises doivent gérer leurs données et leurs employés
Compte tenu de perméabilité de cette frontière entre usages privés et usages professionnels, bien souvent depuis un appareil unique, les entreprises doivent comprendre la responsabilité qui leur incombe à sensibiliser leurs employés aux questions de cybersécurité, et à les accompagner dans cette démarche, tant pour augmenter la résilience du personnel que pour protéger les points d’entrée dans la société.
Une étude réalisée, en 2019 par l’éditeur Russe Kaspersky, a révélé que 80 % des employés ne pensent pas que la sécurité des e-mails, des fichiers et des documents relatifs à l’entreprise relève de leur responsabilité. Il en est de même pour l’attribution des droits d’accès, même s’ils ont eux-mêmes créé le fichier.
Le désordre numérique est particulièrement problématique lorsque les informations sont conservées dans des endroits difficiles à contrôler [voir en vidéo des exemples], comme le Cloud ou les fichiers partagés, ou encore lorsque les fichiers sont transférés, sans compter que le nombre de fichiers générés n’a de cesse d’augmenter. Par conséquent, les entreprises ont beaucoup plus de difficultés à gérer les données. Elles en sont pourtant responsables, et doivent s’assurer que les informations sensibles et confidentielles ne soient pas facilement accessibles et lisibles par les personnes qui n’y ont pas accès. Une étude récente menée en Europe auprès des dirigeants de PME indique que seule la moitié d’entre-eux étaient certains que les anciens employés n’aient plus d’accès aux données et ressources de l’entreprise !
La question de la cybersécurité en entreprise est de plus en plus critique, et s’accompagne d’un manque notable de personnel qualifié pour gérer la cybersécurité. Pour autant, avec une bonne gouvernance cyber et quelques bonnes pratiques, transmises par le biais de formations continues, comme le propose Kaspersky avec la KASAP, le très ludiques jeu mobile [Dis]connected, ou encore le CITO à destination des experts, associée à une gestion des mises à jours et des patchs de sécurité, une large majorité des incidents cyber en entreprise peut être évitée.
Culture du télétravail : les bons réflexes des entreprises
Lorsque les employés utilisent le réseau local pour travailler au sein d’une entreprise, les solutions de sécurité gèrent tous les processus d’échange de données. Lorsqu’ils travaillent depuis chez eux, une variable supplémentaire s’ajoute à l’équation, sous la forme de FAI. Une véritable inconnue entre en compte et il est impossible de contrôler leurs mesures de sécurité. Dans certains cas, les employés, mais aussi n’importe quel cybercriminel potentiel, peuvent avoir accès à leur connexion Internet domestique.
S’assurer que le personnel utilise un VPN de confiance pour établir un canal sécurisé entre leur poste de travail et l’infrastructure. Cela protège aussi les données de l’entreprise des interférences externes. Interdire les connexions aux ressources professionnelles à partir de réseaux externes qui ne disposent pas de VPN. Routines mises en place
Lorsqu’un employé travaille à distance, il ne peut pas se lever pour parler d’un problème avec son collègue. Les entreprises se retrouvent face à une hausse des échanges de messages et à l’apparition de nouveaux internautes sur leurs canaux (des personnes avec lesquelles la communication est seulement verbale en temps normal). En théorie, cela laisse un peu plus de marge de manœuvre aux cybercriminels, surtout lorsqu’il s’agit de perpétrer des attaques BEC. En effet, en pratique, dans un cadre professionnel, un message frauduleux exigeant certaines données apparaîtra moins suspect que dans un cadre privé. De plus, l’ambiance reposante du milieu familial des télétravailleurs pourrait participer à faire baisser leur garde.
Imposer l’utilisation de l’adresse e-mail professionnelle des employés. Il devrait alors être plus facile de détecter un cybercriminel qui essaie de se faire passer pour un employé, surtout si l’escroc utilise une autre adresse e-mail. Vérifier que les serveurs e-mail sont protégés par des technologies qui peuvent détecter les tentatives de piratage qui cherchent à modifier l’expéditeur. Nos solutions disponibles pour les serveurs e-mail et Microsoft Office disposent de ce genre de technologies.
Dispenser des formations de cybersécurité à tout le personnel, même si vous estimez qu’ils ne sont pas concernés par les risques informatiques : tout le monde peut l’être et les formations ne sont pas dédiées qu’aux professionnels de l’informatique, au contraire !
Outils de collaboration
Ayant moins de contacts directs, il est fort probable que les employés aient recours à d’autres méthodes de collaboration, et certaines pourraient ne pas être fiables. Elles doivent être correctement mises en place. Par exemple, un document Google Docs, dont les autorisations d’accès sont mal configurées, pourrait être indexé par un moteur de recherche et provoquer une fuite de données. Il pourrait se passer la même chose avec les informations conservées dans le Cloud. Un environnement de collaboration, comme Slack, peut aussi être la source de fuites, et en y ajoutant un inconnu ce dernier pourrait avoir accès à l’historique complet des fichiers et des messages.
Choisir un environnement de collaboration adéquat en termes de sécurité et de fonctions. Dans l’idéal, l’inscription devrait exiger l’utilisation d’une adresse e-mail professionnelle.
Avoir recours à un administrateur qui se consacre à l’attribution et au retrait des droits, selon la situation.
Avant d’autoriser les employés à travailler depuis chez eux, il est d’autant plus important d’organiser un cours de sensibilisation et d’insister sur le fait qu’ils ne peuvent utiliser que le système de collaboration que l’entreprise a mis en place (ou qui a été approuvé par la direction). Cela permet de souligner à nouveau que la protection de secrets industriels relève de leur responsabilité.
Matériel
Les entreprises ne fournissent pas un ordinateur portable à tous ses employés et les téléphones portables ne sont pas recommandés pour certaines tâches. Par conséquent, les employés vont certainement utiliser leur ordinateur ou téléphone personnel. Cela pourrait être une menace de taille pour les entreprises qui n’ont pas de politique BYOD.
Fournir, dans la mesure du possible, un ordinateur et un téléphone portable professionnels. Il est évident que ces dispositifs doivent être bien protégés par des solutions de sécurité appropriées. De plus, ces solutions devraient permettre d’effacer à distance les données relatives à l’entreprise, de ne pas mélanger les informations personnelles et professionnelles, et de limiter l’installation d’applications. Configurer les dispositifs pour qu’ils recherchent automatiquement les dernières mises à jour des logiciels importants et du système d’exploitation.