Télétravail: Comment sécuriser ses employés où qu'ils soient
L’avènement des nouvelles technologies permet à tout à chacun de travailler à distance; que ce soit depuis son foyer ou au cours d’un voyage professionnel. Le télétravail est devenu monnaie courante au sein des entreprises du fait de l’ergonomie croissante des outils de travail, mais aussi grâce à la portabilité des données au travers du cloud.
L’humain reste le maillon faible… d’autant plus en dehors du bureau
La connexion est l’un des principaux éléments à considérer afin d’encadrer cette pratique. Les employés ne doivent pas utiliser de bornes WiFi gratuites et non sécurisées, et plus particulièrement dans des lieux publics tels que des gares ou des aéroports. Ces réseaux sont souvent utilisés par des acteurs malveillants comme des vecteurs d’attaque privilégiés afin de cibler les entreprises au travers de leurs collaborateurs.
En règle générale, il est conseillé d’utiliser un service de réseau privé virtuel, ou VPN, lorsque l’on souhaite se connecter hors de son bureau. Cet outil permet à l’utilisateur de se créer une connexion directe et sécurisée entre son appareil et le réseau interne de sa société. Les données ainsi transférées sont donc protégées de tout acte malveillant.
Le logiciel de VPN doit être choisi et configuré avec le plus grand soin et une fois installé celui-ci doit impérativement être maintenu à jour. Les utilisateurs doivent être authentifiés en utilisant un chiffrement asymétrique qui constitue une protection supplémentaire lors de la connexion au VPN. Il est préférable d’utiliser des logiciels connus en open source qui peuvent être facilement contrôlés tels que WireGuard. Vous trouverez plus d’informations sur les VPNs et leur usage sur notre chaine YouTube.
Les appareils doivent être préalablement configurés
A l’instar du facteur humain, la sécurité des appareils est cruciale afin d’assurer la confidentialité des échanges. Le meilleur service VPN est inutile si l’ordinateur utilisé est déjà infecté. Il faut mettre en place des outils tels que des pare-feu, ou firewalls, ainsi que des règles d’hygiène informatique. Sinon, l’usage du VPN consiturait une illusion de sécurité, et deviendrait un canal sécurisé et fiable pour des cyber attaques …
Les responsables informatiques doivent s’assurer que les outils sont proprement configurés avant que les employés soient autorisés à faire du télétravail. Les tâches suivantes sont alors nécessaires :
- Chaque système de stockage de données doit être chiffré lorsque celui-ci à vocation à être utilisé en dehors des locaux de l’entreprise; idéalement, il pourrait être préventivement chiffré même si il n’est pas prévu qu’il soit directement utilisé en télétravail.
- Fournir un équipement dédié à être utilisé en télétravail comprenant un minimum de documents et d’accès mais un niveau élevé de protection.
La communication et la formation restent des éléments clefs
L’intérêt du télétravail réside dans la capacité des employés à accomplir pleinement leurs tâches sans rester à leur bureau. Il peut être rassurant pour la direction de définir une politique de sécurité détaillée avec des exigences de sécurité élevées. Cependant, il est plus efficace de se concentrer sur des règles de base pour que celles-ci soient bien comprises par les employés; ceux-ci doivent également comprendre les raisons d’une mesure de sécurité et les conséquences des cyberattaques. Pour ce faire, les employés doivent être formés par des professionnels de la sécurité de l’information que ce soient leurs collaborateurs ou des intervenants externes.
Certaines règles complémentaires peuvent également être mises en place. En voici quelques exemples :
- Adapter les pratiques de sécurité aux besoins de chaque employé. Il ne sert à rien d’intégrer l’ensemble des collaborateurs aux échanges concernant la sensibilité de certaines informations lorsque ceux-ci ne sont pas concernés.
- Demander aux employés d’être particulièrement prudent quant aux personnes qui peuvent voir leur écran, et par extension de ne pas afficher d’informations sensibles dans des lieux publics que ce soient des bases de données ou des contrats.
- Verrouiller sa session dès lors que l’appareil n’est pas utilisé et ne pas le laisser sans surveillance.
- Ne pas se connecter à des réseaux inconnus, publics ou qui n’ont pas été vérifiés. La création de faux réseaux WiFi afin de tromper les utilisateurs est assez simple pour des acteurs malveillants. Il est préférable d’utiliser le réseau mobile associé à un VPN.
- Définir les responsabilités et des règles claires dans le cas où un matériel informatique vient à disparaitre afin de s’assurer que les responsables de la sécurité soient avertis rapidement.
- Les logiciels d’accès à distance comme Teamviewer doivent être utilisés avec parcimonie et uniquement par les employés autorisés. Ils doivent être maintenus à jour et utilisés uniquement en cas d’extrême nécessité, car ils peuvent constituer autant de points d’accès pour des attaquants.
La tendance du télétravail étant en pleine croissance il est d’autant plus important de donner des règles à suivre à ses collaborateurs et de s’assurer de leur compréhension. Une grande partie des problèmes de sécurité est générée par des employés n’ayant pas reçu les formations nécessaires ou qui n’anticipent pas les conséquences de leur comportement. Il est ainsi possible de minimiser ces risques en intégrant les employés au centre du processus de création des règles de sécurité.
CASES Expert Voice
«Le télétravail gagne en popularité grâce à l’amélioration des moyens de connexion. La plupart des entreprises sont suffisamment matures pour disposer d’un VPN pour protéger leurs données et communications, lorsque leurs employés travaillent en dehors du réseau de l’entreprise: comprenant le risque inhérent à de mauvaises pratiques. Cependant, la plupart des sociétés se concentrent uniquement sur les questions techniques et oublient que le facteur humain est le maillon le plus faible de la chaîne de sécurité. Les règles et directives doivent être clairement définies, comprises et signées et, en outre, une explication des conséquences doit être partagée avec les employés. Ceux-ci doivent être correctement formés afin d’utiliser leurs outils technologiques dans des conditions optimales. »