Télétravail : les étapes à suivre pour s'assurer de protéger les données d'entreprise

Une des mesures principales pour ralentir la propagation du Covid-19 est la distanciation sociale. Les équipes IT ont rapidement dû mettre en place des solutions de télétravail pour l'ensemble des employés, et ce pratiquement du jour au lendemain. Des millions d'individus dans le monde entier ont soudainement besoin de l'équipement nécessaire pour travailler à domicile.

Voici donc une suite de recommandations pour assurer une transition en toute sécurité et maintenir le niveau de protection des données.

Sept conseils clés destinés aux entreprises

1)    Sécuriser les postes distants

Dans la mesure du possible, les entreprises doivent fournir des ordinateurs portables gérés pour que les employés ne soient pas obligés d'utiliser des appareils personnels potentiellement moins sécurisés. Il est également primordial de les sécuriser avec des mesures de protection adaptées comme l’installation d’un antivirus, la gestion automatisée des correctifs (comme celle d’Ivanti) et les sauvegardes automatisées régulières. Pour cela, l’entreprise peut déployer une solution VPN SSL fiable telle que celles proposées par Pulse Secure, Cisco, ou GlobalProtect et ce sur chaque poste professionnel pour assurer une connexion sécurisée au réseau. Une certaine bande passante du réseau doit également être conservée, si nécessaire en utilisant une connexion à double tunnel qui augmente le niveau de sécurité en ne fournissant qu'un accès sécurisé aux ressources approuvées par l'entreprise.

2)    Protéger les données de l’entreprise

Il est ici question de mettre en place une procédure applicable à toute l'entreprise qui enregistre automatiquement les documents et les données dans la suite Google G ou Microsoft O365 ou sur un disque dur partagé installé dans les locaux. ATTENTION : Ces services proposent une durée de conservation de 30 jours seulement pour les fichiers. Il est donc essentiel de s'assurer de disposer d'une solution de sauvegarde indépendante et de faire correspondre la fréquence des enregistrements au niveau de sensibilité des données.

Pour celles non structurées sur site, il est recommandé de demander aux employés de stocker leurs fichiers de travail sur un serveur de fichiers géré par l'entreprise et disposant de snapshots immuables, plutôt que sur leur propre poste.

Faire des sauvegardes basées sur des images des ordinateurs portables des employés peut également, si l'un d'entre eux tombe en panne, permettre à l'entreprise d’effectuer une restauration du système d'exploitation, des applications et des données sur un autre ordinateur en quelques minutes. Cela évite de tout réinstaller et permet de récupérer les données qui n'ont pas été stockées dans le système partagé ou dans le cloud. Pour les utilisateurs distants disposant d'une faible bande passante, il est également possible d'utiliser une solution de sauvegarde de fichiers et de dossiers.

Pour cela, il est également possible de répliquer l'ensemble des sauvegardes des ordinateurs portables et des serveurs de fichiers sur le cloud (idéalement un cloud dédié à la reprise après sinistre, permettant une récupération rapide en cas de besoin).

Et si les données et les applications critiques sont déjà sauvegardées, il est primordial de s'assurer que l'accord de niveau de service (SLA) reflète leur importance et que celles-ci sont répliquées dans un datacenter hors site ou chez un tiers fournisseur de cloud.

3)    Assurer la sécurité du poste et du réseau

Il faut en effet garantir la sécurité du réseau avec un outil comme Rapid7, Tanium, ou CrowdStrike qui permet de protéger un ordinateur portable. Il est également possible de recourir à tous les services de sécurité de pare-feu de nouvelle génération, tels que Palo Alto Networks, pour protéger le réseau et détecter les virus et ransomwares ainsi que les connexions suspectes vers et depuis l’entreprise.

Stocker les sauvegardes des serveurs sur site et les répliquer en dehors de celui-ci, soit dans un datacenter de reprise après sinistre, soit dans le cloud, permettra de basculer l'ensemble du réseau, des données et des applications en cas de besoin.

4)    Authentifier les postes et utilisateurs distants

L’entreprise doit confirmer l'identité et le niveau de sécurité de chaque point d'accès, qu'il soit propriété d'une entreprise ou d'un particulier, comme les ordinateurs portables, de bureau, les smartphones et les tablettes. Il est donc nécessaire de vérifier les autorisations d'accès pour les utilisateurs distants et leurs terminaux selon l'identité et le niveau de confiance des droits d'accès. Ainsi, seul l'accès aux ressources mises à la disposition des utilisateurs - sur site ou dans le cloud – sera autorisé.

5)    Fournir un support IT à distance

Pour cela, l’entreprise peut utiliser des logiciels de prise en main à distance tels que Zoho Assist, ConnectWise ScreenConnect, ou Logmein Rescue, qui permettent au support IT de visualiser l'écran d'un employé et de résoudre les problèmes à distance

6)    Tester, améliorer et former

Il est essentiel de tester régulièrement les sauvegardes et la capacité de récupération ! Bien qu'il soit important de disposer d'un backup, il l'est tout autant de s'assurer de pouvoir récupérer l'ensemble des données rapidement pour assurer la continuité des activités, en cas de défaillance.

L'exemple du phishing : une telle attaque réussie peut exposer l'entreprise à des ransomwares et rendre les données inutilisables. Il faut donc tester le réseau et former les employés avec des outils comme KnowBe4 pour identifier les failles de protection et leur apprendre à repérer les emails suspects qui pourraient être à l'origine d'une attaque de ransomware.

7)    Proposer des outils de communication

Les employés doivent ici avoir accès à des outils de communication sécurisés destinés à la messagerie instantanée, à la visioconférence et à la téléphonie, et dont l’utilisation est imposée à l'échelle de l'entreprise. Ces outils (tels que Microsoft Teams, GoToMeeting ou le softphone Jive) permettent aux employés de rester productifs, de maintenir un lien social et de continuer à collaborer tout en assurant la sécurité de l'entreprise.

Sept conseils supplémentaires à communiquer aux employés

1)    Utiliser l'authentification multifactorielle (MFA) autant que possible, en particulier pour les comptes liés à Office 365, G Suite et SalesForce.

2)    Créer des mots de passe complexes et uniques pour chaque service ; pour cela, utiliser un gestionnaire dédié comme LastPass ou 1Password ; et les changer régulièrement

3)    Sur les équipements pour lesquels l'entreprise ne gère pas les mises à jour des logiciels (Mac ou Windows), veiller à ce qu'ils soient à jour par vous-même et activer un pare-feu (Mac ou Windows).

4)    Configurer l'ordinateur pour qu'il utilise un serveur DNS sécurisé tel que Cloudflare ou OpenDNS  afin de le protéger des malwares, du phishing et des ransomwares.

5)    Sécuriser le routeur domestique

Tout d’abord, l’employé doit changer le mot de passe par défaut du routeur et installer les mises à jour du microprogramme pour corriger les failles de sécurité. Ensuite, mettre le cryptage en WPA2 ou WPA3 (le plus élevé disponible), limiter le trafic entrant et sortant, désactiver le WPS. Puis ne pas oublier de changer la clé d’accès Wifi

6)    Sur les équipements pour lesquels l'entreprise ne gère pas le backup, veiller à sauvegarder l'ordinateur portable sur une clé USB locale, ou sur un cloud tel que BackBlaze, ou un autre disque dur tel que Carbon Copy Cloner (Mac), ou Clonezilla.

7)    Pour les employés qui ne travaillent pas dans un lieu privé, il est important de veiller à la sécurité physique, d'utiliser un écran de confidentialité et un réseau privé virtuel (VPN) en cas d'utilisation du Wi-Fi public.