Le travail hybride fait partie intégrante de la vie professionnelle des entreprises depuis maintenant plus de trois ans. Que ce soit au bureau, à domicile ou en déplacement, la flexibilité gagnée est sans doute l'une des conséquences les plus durables et les plus positives de la pandémie du Covid-19. Néanmoins, certaines entreprises n'ont toujours pas adapté leurs processus et leurs systèmes de gestion à cette nouvelle réalité. Et c’est tout particulièrement le cas en matière de cybersécurité. Il y a donc un retard relativement important à rattraper. Car les équipes ne travaillant plus exclusivement au bureau, au sein du réseau protégé de l'entreprise, les risques de cyberattaques sont devenus plus importants. De même, les services informatiques qui doivent maintenant intervenir sur site mais aussi à distance, ont vu leur charge de travail sensiblement augmenter.
Selon une récente enquête de McKinsey menée auprès de 25 000 employés américains, 58 % d'entre eux se sont vu offrir la possibilité de télétravailler au moins un jour par semaine. Trente-cinq pour cent des personnes interrogées ont même déclaré pouvoir travailler depuis leur domicile à temps plein.
Aucune entreprise n’est épargnée
Dans une récente interview accordée au blog Safety Detectives, Markus Koelmans, vice-président de l'ingénierie chez DocuWare, note que des entreprises de premier plan telles que T-Mobile et Capital One sont également vulnérables aux cyberattaques. "Ce sont des entreprises qui enregistrent de premiers plans, et pourtant toutes deux ont été la proie de pirates informatiques, compromettant ainsi les données de leurs clients", explique-t-il.
A l’occasion de cet entretien, Markus Koelmans évoquait également la récente attaque dont a été victime Danish State Railways (DSB), le plus grand opérateur ferroviaire du Danemark et de Scandinavie. "Le réseau de DSB s'est arrêté net à cause d'une cyberattaque contre l’un de ses sous-traitants, en charge de transmettre aux conducteurs de trains des informations critiques via une application spécifique qu’ils ont développé pour DSB", note-t-il. "C'est une leçon précieuse pour nous tous - nous nous concentrons souvent sur notre propre sécurité, en négligeant de vérifier les protocoles de sécurité de nos sous-traitants."
Les risques les plus fréquents liés au télétravail
Le travail hybride représente un défi majeur pour la sécurité informatique. En effet, les mesures de sécurité traditionnellement en place, n'ont pas été conçues pour protéger les employés en situation de télétravail. Voici quelques-uns des risques les plus fréquemment rencontrés en matière de sécurité.
- Réseaux non sécurisés
Alors que les réseaux d’entreprises sont dotés de mesures de sécurité très complexes, la situation est différente au sein du réseau de son domicile. S'il n'est pas sécurisé ou si un ordinateur portable se connecte à un réseau Wi-Fi public (dans un café par exemple), sans mesures de sécurité suffisantes, les données sont envoyées sans être cryptées. Résultat : les cybercriminels peuvent accéder facilement aux informations sensibles et aux mots de passe.
- Hameçonnage et ransomware*
Les modèles de travail hybrides augmentent la dépendance aux outils de communication numériques. Pour les cybercriminels, il s’agit de conditions idéales pour mener à bien leurs opérations d’hameçonnages ou ransomwares. L’hameçonnage vise à obtenir des informations confidentielles sensibles telles que des mots de passe ou les informations d’une carte de crédit, il peut être effectué via des courriels frauduleux (mystification), une messagerie instantanée, un SMS (smishing) ou l’hameçonnage vocal (vishing).
Les ransomwares sont des programmes malveillants qui peuvent crypter des documents ou des systèmes entiers ou alors empêcher l'utilisateur d'y accéder. Les pirates peuvent alors exiger des sommes élevées pour leurs décryptages. En générale, ces attaques sont menées à l'aide d’un cheval de Troie, un type de logiciel malveillant qui prend la forme d’un code ou d’un logiciel légitime ayant auparavant été introduit de façon cachée dans le système par le biais d'une attaque de type hameçonnage.
- La politique BYOD* ou « Apportez votre propre appareil » à revoir
Si les employés accèdent aux données de l'entreprise au moyen de leurs smartphones ou de leurs tablettes personnelles, la tâche devient encore plus facile pour les pirates informatiques. Ces appareils sont souvent utilisés dans des environnements non sécurisés, ainsi les données privées et professionnelles peuvent facilement se mélanger. Par conséquent, les mesures de sécurité prises par les services informatiques ne sont pas efficaces et ces derniers n'ont aucun contrôle sur les données et les applications personnelles des utilisateurs, car ici la protection des données personnelles prime. Les entreprises doivent toutefois veiller à ce que les mesures de sécurité puissent être respectées, en particulier lorsque les employés utilisent des applications telles que Facebook ou WhatsApp sur des appareils également utilisés à des fins professionnelles.
* Bring your own device
Comment protéger votre entreprise contre ces risques de sécurité ?
Utiliser un VPN : Il protège la vie privée en créant un réseau autonome utilisé pour des communications cryptées ou anonymes et pour la transmission de données via internet.
Associer les approches Zero Trust et Zero Touch pour assurer une utilisation sécurisée : D’un point de vue sécuritaire, la combinaison Zero Trust et Zero Touch peut également améliorer l’utilisation ou remplacer les VPN car elle va fournir un accès par session pour une fonction spécifique, plutôt qu'un accès à l'ensemble du réseau. Dans un environnement Zero Trust, chaque tentative de connexion est classée avec une valeur de confiance zéro. Il faudra fournir plusieurs preuves d'authentification pour qu'un utilisateur puisse accéder au réseau de l'entreprise. En parallèle, il y a une évaluation continue des risques de sécurité en arrière-plan.
Le Zero Touch complète le Zero Trust car il automatise les processus d'authentification pour minimiser les interactions avec l’utilisateur. Avec Zero Touch, l'authentification est très facile pour l'utilisateur. Les employés sont donc moins tentés d’utiliser des raccourcis ou de contourner les procédures. Ils peuvent ainsi effectuer des tâches confidentielles sans être interrompus par les applications liées à la sécurité. En cas d'activité suspecte, le système procède à une nouvelle analyse – peu intrusive - pour valider qu’il peut faire confiance à l’utilisateur. Résultat : l'infrastructure de l'entreprise est constamment sécurisée et les employés peuvent continuer à travailler où qu’il soit.
Ne pas négliger les mesures de sécurité de base : Exigez des employés qu’ils utilisent des mots de passe complexes et uniques ainsi qu’un logiciel antivirus, de même qu’un pare-feu éprouvé. Veillez également à ce qu’ils aient bien mis en place une protection efficace pour leur Firmware (logiciels associés à leur matériel).
Créer une FAQ relatives aux bons réflexes à avoir lors d’une cyberattaque : Elle permet aux employés de savoir comment réagir en cas de perte ou de vol de données de l'entreprise. Ils doivent savoir en quoi consiste une violation de données, mais aussi comment l’identifier, et adopter les mesures adéquates lorsque cela arrive. La définition d’une « atteinte à la protection des données » / cyberattaque diffère d’un pays ou d’une région à l’autre. Par conséquent, si votre entreprise opère à l’international, assurez-vous que tous les employés comprennent exactement ce qui constitue une violation des données sur leur marché respectif afin qu'ils puissent y répondre efficacement.
Mettre à jour votre politique de confidentialité : Pensez à prendre en compte les nouveaux modes d'accès ou de traitement des informations personnelles dans votre politique de confidentialité. Par exemple l'organisation de réunions sur de nouvelles plateformes de vidéoconférence telles que Zoom.
Établir des bonnes pratiques pour l'utilisation des appareils mobiles : Il est vivement recommandé de faire la distinction entre les données et les applications personnelles et celles de l'entreprise. Ici l’utilisation de conteneurs dédiés selon l’utilisation doit être exploitée. Les employés peuvent les utiliser pour accéder à toutes les fonctions essentielles dans leur travail quotidien, telles que le courrier électronique, le calendrier, les contacts ou les ressources de l'entreprise. Ainsi, en cas de perte ou de vol de l'appareil, le service informatique pourra supprimer à distance les données du conteneur concerné.
Mettre régulièrement à jour tous les logiciels : Les logiciels qui ne sont pas mis à jour régulièrement rendent l’ensemble du système vulnérable et les pirates informatiques peuvent plus facilement en tirer avantage. Car il ne faut pas l’oublier, les mises à jour et les mises à niveau du système sont effectuées pour optimiser la convivialité ou la conception d'un programme mais aussi pour ajouter de nouvelles fonctions de sécurité.
Utiliser l'archivage sécurisé des documents : L'accès et le stockage sécurisés des documents professionnels tels que les factures, les contrats ou les dossiers du personnel doivent pouvoir se faire à tout moment, quel que soit l’endroit où l’on se trouve. Et les logiciels dédiés sont justement là pour vous y aider. L’outil idéal devra intégrer, entre autres, l’authentification des utilisateurs, le transfert de données HTTPS, le cryptage 256 bits, un contrôle d'accès et une traçabilité à plusieurs niveaux, ainsi qu’une protection éprouvée contre les logiciels malveillants et autres formes d'attaques.
Sensibiliser les employés : Peu importe la rigueur de votre protocole de sécurité interne si les cybercriminels peuvent exploiter l'ignorance ou la négligence de vos employés - qu'il s'agisse de l'utilisation de mots de passe non sécurisés, de l'ouverture inconsidérée de pièces jointes douteuses ou de la visite de sites web non sécurisés. En vous appuyant uniquement sur des mesures de sécurité techniques et en oubliant le facteur humain dans l'équation, vous risquez de passer à côté de failles de sécurité importantes.
La formation des employés, que l’on devra sensibiliser régulièrement, fait partie intégrante des efforts qu’il faut déployer pour améliorer la cybersécurité. Les cours de E-learning et les formations virtuelles peuvent être facilement mises en place, indépendamment du lieu où les équipes opèrent.
Mieux vaut prévenir que guérir : si un incident se produit, il faut agir rapidement pour limiter et réparer les dégâts. Aussi, il vaut mieux signaler les anomalies potentielles dès qu’il y a le moindre doute.
Conclusion
N'oubliez jamais que même si tous les protocoles de sécurité sont respectés, les cybercriminels ont la possibilité de les contourner. Assurez-vous donc de mettre en place une solution complète de sauvegarde et de reprise d’activité après une attaque afin que, même en cas d'urgence, la productivité et la continuité de l'activité ne soient pas compromises.
A l’ère du travail hybride, qui tend de plus en plus à privilégier le digital, les risques liés à la sécurité sont plus nombreux que jamais. Il faut donc rester vigilant, adapter son infrastructure informatique à cette nouvelle réalité et former ses employés. De cette façon, vous apporterez à votre entreprise le même niveau de sécurité que celui dont elle bénéficiait lorsque la plupart de vos collaborateurs travaillaient au bureau.
*Un ransomware est un type de malware (logiciel malveillant) qui « verrouille » un système ou chiffre des fichiers jusqu'à ce que la victime paie une rançon, généralement en cryptomonnaie.