Travail à distance, télétravail, comment se protéger des cyber-risques ;  L’année 2020 a été marquée par le bouleversement du monde du travail où le télétravail est passé de l’exception à la norme ; cependant, cette nouvelle disposition, obligée par l’implémentation des mesures sanitaires  liées à la pandémie du Covid-19, ne va pas sans risques pour les entreprises.

Selon une étude menée par Cyber Risk Alliance et Proofpoint, 76% des responsables informatiques associent le travail à distance (ou télétravail) à une augmentation de l’exposition de leur entreprise aux risques cyber.

En effet, la faiblesse du niveau de sécurité informatique au niveau domestique offre aujourd’hui plus que jamais une latitude au piratage des données ainsi qu’à la fuite des données personnelles ; d’autant plus que l’exigence sur la disponibilité et l’intégrité des données se fait sentir au plus haut point lorsque les employés sont en déploiement.

Il est ainsi nécessaire pour l’entreprise d’adopter des politiques de cybersécurité adaptées au mode de travail à distance ; la mise en place d’une passerelle sécurisée pour les échanges, les transferts de fichiers et l’accès aux ressources grâce à l’utilisation d’un VPN s’avère plus que nécessaire.

À tout cela s’ajoute la protection du matériel informatique et la sécurisation des données, et la prise en compte que tous les utilisateurs de messageries, reçoivent des quantités de spams et/ou autres messages pièges, que parfois par méconnaissance les utilisateurs ouvrent, sans comprendre les risques pris.

La mesure la plus importante consiste à mettre en place une gestion simple et efficace pour assurer la cybersécurité à distance grâce à des outils automatisés et un système bien organisé ; travail à distance, télétravail,  découvrez comment se protéger des cyber-risques à travers les 5 points suivants ; mais d’abord, Cyber-risques en télétravail : de quoi parle-t-on vraiment ?

Cyber-risques en télétravail : de quoi on parle ?

Si les techniciens informatiques arrivent à minimiser les risques de cyberattaque au bureau, assurer la sécurité des données en télétravail s’avère une tout autre histoire ; généralement, les WiFi domestiques sont partagés entre plusieurs appareils dont le niveau de protection de chacun est variablement suspect.

Cela est dû au fait qu’à la maison, tous les utilisateurs n’ont pas la même sensibilité face à la prévention du risque cyber ; les appareils et connexion internet personnels sont alors plus vulnérables face aux logiciels malveillants, et comment en persuader les enfants qui ne pensent qu’à jouer en ligne.

Par ailleurs, les télétravailleurs ont dû installer des applications collaboratives notamment de visioconférence, de partage de fichiers, de tableau blanc digital ou de prise de notes pour faciliter la communication.

Or, ces outils peuvent aussi avoir leurs propres failles de sécurité ; c’est ce qu’a démontré le « Zoombombing », une intrusion d’individus malveillants dans une vidéoconférence en insérant des contenus obscènes, racistes ou antisémites.

Les statistiques de cybercriminalité montrent également que les sites de phishing ont presque quadruplé de Janvier à Mars 2020 ; en effet, les pirates cherchent à tromper les moins vigilants à travers ce type d’escroquerie consistant à envoyer des courriels frauduleux pour leur soutirer des informations sensibles.

Le VPN d’entreprise pour une connectivité sécurisée

La sécurisation du travail à distance passe avant tout par l’utilisation d’un Virtual Private Network (VPN) ; littéralement réseau privé virtuel en français, le VPN est un service qui permet de créer une connexion sécurisée à distance entre plusieurs ordinateurs.

Bien avant que tout le monde se rue sur les VPN en 2020, les entreprises manipulant des données sensibles et ayant des collaborateurs travaillant à distance ou en fréquent déplacement les ont toujours utilisés.

C’est le cas des cabinets d’audit, des cabinets d’avocat ou encore des banques ; ce qui prouve que l’efficacité du VPN dans le cadre du télétravail.

Le VPN d’entreprise permet aux travailleurs à distance d’accéder aux applications et aux données internes de l’entreprise de façon sécurisée ; le réseau interne de l’entreprise ressemble à un tunnel crypté qui cache les données échangées à l’intérieur.

Autrement dit, les informations que vous partagez ne peuvent pas être interceptées par une tierce personne ; même si un hacker arrive à les intercepter, les données chiffrées seront inutilisables.

Tout utilisateur peut accéder au VPN à chaque fois qu’il active son client VPN ; de cette manière, même si vos employés se connectent depuis l’ordinateur familial ou utilisent un WiFi public, vos données confidentielles ne s’étalent pas sur le trafic web.

Toutefois, il faudrait garder en sécurité les identifiants VPN pour éviter qu’ils tombent entre les mains des pirates informatiques, et nous revenons au problème de la gestion des mots de passe, dont certains utilisateurs s’en moquent, mettant parfois des séries de chiffres 123456, ou des aaaa, en lieu et place d’un vrai mot de passe.

Migrer ses données et ses infrastructures vers le cloud

Le Cloud Computing correspond à l’accès à des services informatiques via Internet à partir d’un fournisseur ; du point de vue d’un fournisseur de services informatiques donc, il désigne la livraison de ressources (stockage, puissance de traitement…) et de services (logiciels, applications métier…) gérés et déployés par des serveurs distants auxquels les usagers accèdent à la demande par Internet.

Au lieu de posséder leur propre infrastructure informatique ou leurs centres de données qui coûtent très cher à mettre en place et à gérer au quotidien, grâce au Cloud Computing les entreprises peuvent louer l’accès à toutes les ressources et les services informatiques dont elles ont besoin à moindre coût.

Le Cloud Computing en constante évolution, depuis le Covid-19.

Si le Cloud Computing est si abordable, c’est parce que avec ce mode de distribution et de consommation de services et de ressources informatiques, on ne paie que pour ce qu’on utilise et seulement lorsqu’on l’utilise, et qu’en conséquence il n’est pas nécessaire de faire de lourds achats, qui nécessitent des amortissements annuels.

Le Cloud Computing, surtout le Cloud Computing privé profite aussi aux entreprises qui ont de fortes exigences en matière de sécurité ; puisque vos données et vos applications métier ne sont plus dépendantes du système informatique et réseau de votre entreprise, en cas de défaillance de ce dernier ou même de sinistre, de piratage, elles restent disponibles et protégées.

Avec le Cloud Computing, vos données et applications métiers sont protégées par des entreprises qui s’y connaissent vraiment en matière de cybersécurité et ont les moyens d’investir dans des équipements et technologies de qualité et qui sont toujours mises à jour.

La protection des appareils informatiques

Il s’agit de sécuriser le matériel informatique à deux niveaux : physiquement et virtuellement ; tout d’abord, chaque employé doit redoubler de vigilance afin éviter de se faire voler ou perdre l’ordinateur sur lequel il travaille ou le smartphone sur lequel il communique ; il peut notamment utiliser un câble antivol pour PC portable équipé d’un code, ne pensez pas que c’est une technique dépassée, car elle est encore très efficace.

Ensuite à un deuxième niveau, il convient de déployer des logiciels de sécurité notamment des antivirus, des anti-malwares et des pares-feux ; une mise à jour régulière du système d’exploitation ainsi que des logiciels et des applications permet également d’en renforcer la sécurité.

La dernière version d’un logiciel est en effet la mieux protégée contre le piratage car les failles de sécurité et les vulnérabilités ont été corrigées, encore une fois, il faut porter une attention particulière à la mise à jour des dernières versions à utiliser, qui sont par principe plus performantes que les précédentes.

Ce niveau de protection relève bien plus de la responsabilité de l’entreprise que celle de l’employé ; le service informatique doit disposer d’une visibilité sur l’ensemble du matériel informatique, et imposer entre autres une gestion des mots de passe, moderne et efficace.

C’est son rôle de s’assurer que tous les terminaux utilisés soient équipés de logiciels de dernière version ainsi que des dispositifs de sécurité exigés.

Il ne faut pas oublier surtout de sécuriser au maximum le Wifi familial en choisissant un mot de passe sécuritaire, et d’éviter de le donner à ses voisins ou au premier venu, la sécurité ne vaut que si elle est réelle.

La protection des données

Dans le cas où l’employé travaille sur un ordinateur familial, il est essentiel de créer plusieurs comptes utilisateurs ; de cette manière, il dispose d’un espace privé pour stocker ses documents et préserver les informations confidentielles de l’entreprise.

De plus, l’impact des virus et logiciels malveillants est restreint à travers un compte d’utilisateur avec des droits limités.

La sécurisation des données consiste également à renforcer l’authentification pour y accéder que ce soit sur internet, dans le cloud ou au niveau local.

Ainsi pour vos comptes en ligne, vos applications ou autres ressources, il est particulièrement conseillé de se servir d’une authentification multifacteurs ou Multi-Factor Authentification (MFA).

Celle ci consiste à utiliser plusieurs facteurs de vérification au-delà du nom d’utilisateur et du mot de passe par exemple un code PIN ou une empreinte digitale, ou éventuelle si c’est possible, une adresse IP.

Il est également possible et très fortement suggéré de recourir à une plateforme de gestion de mots de passe afin de garantir la sécurité de vos comptes en ligne.

Le gestionnaire de mots de passe attribue automatiquement des mots de passe complexes pour tous les comptes et les stockent. Cela évite à l’utilisateur d’employer le même mot de passe pour tous ses comptes ou encore d’utiliser des mots de passe qu’on peut facilement deviner.

Même avec tous ces dispositifs de sécurisation des données, il faudrait toujours avoir un plan B au cas où tout part en fumée.

Ainsi, il est indispensable de définir une stratégie de sauvegarde régulière des données et plus particulièrement des informations critiques afin d’en avoir une copie quelque part ; pour cela, vous pouvez utiliser le serveur de l’entreprise ou recourir à des plateformes ou applications spécialisées.

Une organisation simple, mais efficace

La cybersécurité des employés est toujours sous la responsabilité de l’entreprise même s’ils sont en télétravail ; dans cette optique, une organisation simple mais efficace doit être mise en place, mais il sera toujours très difficile de « voir » ce qui se passe réellement à distance, d’où la nécessité d’alerter et d’alerter encore les utilisateurs.

Cela commence par une sensibilisation des employés face aux risques informatiques ; une formation cybersécurité doit être organisée régulièrement afin de les informer sur les nouvelles menaces de cybersécurité et les dernières actualités de cyberattaque.

Actuellement, l’utilisation des réseaux sociaux mène à l’exposition d’une grande quantité d’informations personnelles ou professionnelles à travers le partage de photos ou de vidéos ; les pirates informatiques peuvent exploiter ces informations à travers des nouvelles techniques d’hameçonnage, et ils ne s’en privent pas.

Le service informatique peut recourir à des outils automatisés de surveillance de l’infrastructure informatique déployée à distance : il convient en effet d’avoir une visibilité permanente et d’analyser les activités au niveau des appareils et des applications.

L’objectif n’est pas de fliquer, mais  de détecter les risques et les incidents de cybersécurité à travers des requêtes inhabituelles ou des pics anormaux de trafic.

Le système mis en place devrait également assurer la réactivité face aux incidents de sécurité ; de toute évidence, l’organisation en mode distribué nécessite l’implémentation de plans d’urgence afin que les problèmes informatiques soient traités dans l’immédiat.

De cette manière, l’incident informatique est maîtrisé à temps et ne risque pas de se propager au sein de toute l’entreprise.

Auteur Antonio Rodriguez, Directeur Clever Technologies