Entreprises : comment sécuriser le télétravail

Thomas Le Coz

Thomas Le Coz

Cybersécurité

L’utilisation du télétravail a explosé et représente une tendance de fond. Cela amène de nouveaux challenges en terme de cybersécurité.

Entre l’amélioration de qualité de vie perçue par de nombreux employés et l’assurance d’un minimum de continuité d’activité en cas de crise sanitaire comme nous l’avons vécu au printemps 2020, il y a de fortes chances que cela ne fasse que s'accroître.

Sur ce blog, nous avons déjà abordé le sujet du point de vue du collaborateur et comment sécuriser le télétravail à domicile. Il est temps pour nous de nous intéresser au point de vue de l’entreprise et sa direction informatique.

Dans cet article, nous allons prodiguer des recommandations pour mieux sécuriser la mise en place du télétravail et réduire son exposition aux risques que cela amène.

Ces recommandations viennent s’ajouter aux recommandations générales de cybersécurité (lien article blog).

Prodiguer assistance

Chez Arsen, nous insistons beaucoup sur l’utilisation de l’intelligence collective pour renforcer la sécurité des entreprises.

En interrogeant leurs collègues ou des experts spécialisés, de potentielles victimes peuvent repérer et contrer les attaques en cours contre votre entreprise.

Cette remontée d’information permet aussi aux experts de prendre des contre mesures efficaces face à l’attaque en cours.

Afin de prodiguer une assistance fiable au déploiement du télétravail dans votre entreprise, vous pouvez définir une liste de personnes à contacter en cas de doute ou de question relative à la sécurité.

Cela permet d’accompagner vos collaborateurs et les assurer qu’en cas de doute, ils ne sont pas isolés comme une situation de télétravail pourrait leur faire penser.

Politique d’équipement des télétravailleurs

Télétravail

Autant que possible, prévoyez du matériel dédié, sécurisé et maîtrisé.

Le matériel doit être dédié et permettre de physiquement séparer les activités professionnelles, ayant lieu sur le matériel que vous fournissez, et les activités digitales personnelles qui devront avoir lieu sur l’équipement personnel.

Autant que possible, évitez le BYOD — Bring Your Own Device — qui risque de faire entrer du matériel compromis sur votre réseau.

Le matériel doit être sécurisé et maîtrisé. Utilisez des solutions de MDM — Mobile Device Management — pour déployer et contrôler les applications installées, leur mise à jour et diverses informations sur le statut du matériel.

Une solution de protection anti-malware permettant une gestion centralisée permet aussi de protéger et piloter la protection des ordinateurs distants face aux menaces connues.

Enfin, il faut définir une politique claire, au niveau de la séparation des usages et l’utilisation du matériel fourni pour le télétravail mais aussi au niveau des bonnes pratiques de cybersécurité en télétravail à l’extérieur (cafés, coworking, etc.) ou à domicile.

Sécuriser les accès réseaux extérieurs

Cela va sans dire, mais il vous faut sécuriser les accès à votre réseau depuis l’extérieur.

Nous l’avons déjà évoqué dans les bonnes pratiques de cybersécurité, mais le déploiement d’un VPN d’entreprise vous permet déjà de sécuriser les flux jusqu’à votre réseau.

Ensuite, catégorisez la donnée, les ressources et les systèmes que vous souhaitez exposer à un accès à distance. Plutôt que donner un accès global à tout votre réseau et sa donnée systématiquement, ne donnez accès que lorsque c’est nécessaire et limitez les accès aux collaborateurs à distance au strict nécessaire : c’est le principe du Least Privilege.

En cas de cyberattaque, cela freine la propagation de l’attaque au sein de votre entreprise et peut limiter l’accès à la donnée confidentielles.

Une bonne politique de gestion des identités et des droits est nécessaire pour cela.

Mener par l’exemple

Différence entre boss et leader

La mise en place de nouvelles politiques, notamment en terme de cybersécurité où le danger est souvent invisible, a pour conséquence une résistance au changement non négligeable.

Outre la sensibilisation et les communications fréquentes, montrer par l’exemple est un moyen simple, efficace et indispensable dans ces situations.

Assurez-vous que le top management soit correctement sensibilisé aux enjeux de la cybersécurité en télétravail et adopte au plus vite les politiques de sécurité mises en place.

L’adoption doit être totale et exemplaire. Une fois celle-ci au point, n’hésitez pas à communiquer sur ces sujets : communications internes, enquêtes de satisfaction concernant l’environnement de travail de chacun, etc.

Accentuer le travail d’acculturation sur les risques liés au télétravail

Enfin, beaucoup n’ont pas conscience des problèmes liés à la cybersécurité.

D’une part, vos collaborateurs n’ont probablement jamais été confrontés aux conséquences d’une cyber-attaque, cela reste une menace invisible et “peu probable” pour eux.

Virus Jurassic Park

L’image du virus qui bloque toute action sur les systèmes dans Jurassic Park

La vision populaire du virus changeant les fonds d’écrans ou verrouillant tous les systèmes n’est qu’une partie des cybermenaces. Les fuites de données — qui peuvent entraîner des conséquences financières lourdes et mettre en péril leur emploi — passent parfois inaperçues pendant plus de six mois*.

D’autre part, la grande majorité des utilisateurs se reposent sur les protections technologiques en place et mettent toute leur confiance dans la capacité de ces dernières à les protéger.

Ils sont confiants dans le fait que leur antivirus, firewall et autres outils de sécurité de l’entreprise sont suffisants pour les protéger des cyberattaques.

En revanche, la cybersécurité est un perpétuel jeu du chat et de la souris et des attaques inédites, qui contournent ces protections, sortent régulièrement.

L’humain est donc le dernier rempart. Son esprit critique et sa vigilance sont la meilleure forme de détection.

Chez Arsen, nous proposons une solution d'entraînement anti-phishing combinant :

  • Simulation en conditions réelles afin d’observer le comportement de vos collaborateurs face à une campagne de phishing en conditions réelles
  • Formation par microlearning pour donner les clés de compréhension et faire adopter les bons réflexes à vos collaborateurs
  • Rapports de performance pour piloter votre niveau d’acculturation et le score de sécurité de votre entreprise

Ce type de solution permet entre autres de simuler des campagnes de phishing à l’aide de “scénarios” d’attaque.

Dans le cadre du télétravail, utilisez des scénarios contextualisés permettant de faire usage de la situation :

  • Des scénarios relatifs à la période et aux raisons du télétravail. Par exemple, un email donnant accès aux informations relatives à COVID-19
  • Des scénarios exploitant le télétravail : “téléchargez le nouveau client VPN”, “connectez-vous au nouveau portail intranet pour le télétravail…”

Ces scénarios devront s’assurer de la bonne application des procédures de signalement d’une part mais aussi celles relatives aux questions de sécurité en télétravail, comme la sollicitation des contacts de sécurité vu plus haut.

Conclusion

Le télétravail pose un challenge certain quant à la cybersécurité de votre entreprise.

Néanmoins, si vous respectez les bonnes pratiques de la cybersécurité et si vous appliquez les recommandations de cet article, vous aurez une bien meilleure chance de contrecarrer la plupart des attaques et mitiger votre risque.

Si vous souhaitez améliorer la cybersécurité de votre entreprise, investissez dans l’acculturation de vos collaborateurs pour les transformer en véritable firewall humain : découvrez nos solutions.

Sources
* Ponemon 2017 Cost of a Data Breach Study

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.