Les entreprises sont confrontées à des cybermenaces de plus en plus fortes et le télétravail accentue ces risques. Julien, Administrateur Système et sécurité chez Tixeo, nous délivre ses conseils pour renforcer la sécurité du télétravail (et des télétravailleurs !).
Pourquoi faut-il renforcer la sécurité du télétravail dans les entreprises ?
Ce n’est plus un secret : les cybermenaces augmentent depuis plusieurs années. Elles se sont même renforcées depuis la pandémie et les bouleversements au niveau géopolitique. Les entreprises de toutes tailles sont concernées par des attaques informatiques aujourd’hui. Et l’expansion du télétravail n’y est pas pour rien.
Le récent rapport d’IBM « Cost of a data breach » indique même que lorsque le télétravail est un facteur à l’origine d’une attaque informatique, le coût de celle-ci pour l’entreprise augmente de près de 1 million de dollars, en comparaison avec une attaque sans ce facteur.
Quelles sont les cybermenaces du télétravail ?
Par définition, le télétravailleur travaille chez lui. L’employeur a donc un contrôle limité sur son environnement et ses usages, notamment concernant sa connexion Internet domestique. Pourtant, le réseau Wi-Fi constitue une première cybermenace en télétravail. Si son accès n’est pas protégé, cela peut exposer les données de l’appareil connecté.
Par ailleurs, en télétravail hybride, le salarié est souvent amené à se déplacer avec ses appareils professionnels. Là encore, la connexion à des réseaux Wi-Fi publics est problématique. Les risques de perte et de vol de matériel sont également plus élevés.
Enfin, la recrudescence des cybermenaces telles que le phishing ou le ransomware peut faire davantage de dégâts auprès de salariés en télétravail. En effet, sur site, le moindre soupçon d’attaque informatique fait l’objet de discussions dans l’open-space. S’il est isolé, un collaborateur en télétravail hybride sera sans doute moins vigilant face à l’un de ces risques de cybersécurité.
Que faut-il sécuriser en télétravail ?
La sécurité en télétravail passe par trois éléments principaux. D’abord, le poste de télétravail doit être protégé. Chez Tixeo, les disques durs des télétravailleurs sont chiffrés. Cela limite les risques de compromission des données, si l’appareil est volé lors d’un déplacement par exemple.
Les télétravailleurs nécessitent également d’avoir accès aux ressources hébergées sur le réseau de l’entreprise depuis chez eux et lorsqu’ils se déplacent. La mise en place d’un VPN protège cet accès. Lorsque les ressources sont disponibles via un système de cloud (souverain de préférence), le MFA (ou authentification multi-facteur) authentifie de façon sécurisée l’utilisateur.
Enfin, protéger les communications en télétravail hybride est un enjeu primordial. Les salariés utilisent la visioconférence pour aborder une multitude de sujets, et certains sont confidentiels. L’accès à ces échanges peut avoir de lourdes conséquences pour les entreprises, dans un contexte de cyberguerre constante. L’utilisation d’une solution de visioconférence sécurisée est donc fortement recommandée, pour éviter le zoombombing et l’espionnage informatique.
À LIRE AUSSI :
Pourquoi la sensibilisation des télétravailleurs à la cybersécurité est-elle essentielle ?
Même avec toutes les mesures de sécurité adéquates mises en place, le facteur humain reste toujours la plus grande vulnérabilité. Selon le dernier rapport Verizon, ce facteur est présent dans 74 % de toutes les brèches de données. De plus, 52 % des attaques de cyberespionnage commencent par du « spearphishing » ou « attaque par hameçonnage ciblé ». Ce type de cyberattaque cible de façon précise un salarié d’une entreprise ayant accès à des informations sensibles. Généralement, ce procédé repose sur de l’usurpation d’identité et de l’ingénierie sociale forte. L’objectif du hacker est d’envoyer un e-mail cohérent par rapport à l’activité de la personne ou de l’entreprise ciblée, comme l’explique l’ANSSI sur son site.
Les télétravailleurs ne doivent pas se sentir livrés à eux-mêmes par rapport à ces sujets. C’est pourquoi, les actions de sensibilisation à la cybersécurité doivent être régulières. Une charte informatique complète et adaptée à leur poste doit leur être communiquée et contenir toutes les informations nécessaires sur l’utilisation des équipements fournis ou encore les bons réflexes à avoir en cas de suspicion d’attaque. Enfin, les télétravailleurs nécessitent d’être sensibilisés aux risques accrus du shadow IT. Ce phénomène consiste pour les salariés à utiliser des logiciels et applications informatiques qui n’ont pas été vérifiés et approuvés par la DSI. Le shadow IT peut engendrer des vulnérabilités sur le poste de travail, et par extension, sur le réseau interne. Pour éviter les désagréments du shadow IT, les DSI ont tout intérêt à s’interroger sur la performance des outils déployés et prévoir des formations sur leur utilisation.
Quels conseils donnerais-tu aux entreprises pour renforcer la sécurité du télétravail ?
- Renforcer les actions de sensibilisation à destination des télétravailleurs
- Faciliter le support des télétravailleurs, notamment grâce à des logiciels de prise de contrôle à distance des postes
- Intensifier la sécurité des postes des télétravailleurs nomades ainsi que de leur accès aux ressources (VPN, MFA, Endpoint Detection & Response, Mobile Device Management, Disc encryption…)
- Bien connaître les usages de ses employés en télétravail et adapter la sécurité en fonction pour ne pas générer de la frustration et du shadow IT
- Mettre en place un outil de visioconférence sécurisée pour protéger les données et les communications sensibles de l’entreprise
Retrouvez d’autres bonnes pratiques sur la sécurité du télétravail dans le livre blanc : découvrir tous les conseils sécurité de Julien