Sécurité des données et télétravail sont-ils conciliables en 2021 ?
Si au cours du premier semestre 2020, les responsables IT souhaitaient habiliter rapidement les employés à exercer leur activité en télétravail, la priorité est rapidement devenue d'assurer des politiques de cybersécurité adéquates.
2020 a rebattu de manière radicale et instantanée, comme jamais auparavant, les cartes de la cybermenace et des politiques de sécurité dans les entreprises. Avec une activité économique mondiale bouleversée, le travail à distance est passé de l'exception à la norme, voire une obligation légale pour la plupart des organisations lors de la mise en place des mesures sanitaires dans le monde entier.
Pour certaines entreprises aguerries, la transition a été simple. Pour d’autres, il s’agirait plutôt d’une contrainte soudaine et d’un effort culturel herculéen pour que leurs équipes soient simplement en mesure de poursuivre leurs activités.
Les résultats de l’étude Digital Transformation Index 2020 de Dell Technologies, menée par Vanson Bourne, montrent que les questions de sécurité informatiques continuent d’être un obstacle majeur pour les entreprises. En outre, selon une étude récente[1] de Cyber Risk Alliance et Proofpoint, plus de trois quarts (76%) des responsables IT a constaté une augmentation de l’exposition aux cyber-risques de leur entreprise, depuis le début de la période télétravail. Néanmoins, 54% ont déclaré qu’ils s’attendaient à assister à la généralisation permanente du télétravail dans les six mois.
Si au cours du premier semestre 2020, les responsables IT souhaitaient habiliter rapidement les employés à exercer leur activité en télétravail, la priorité est rapidement devenue d’assurer des politiques de sécurité et de défense adéquates pour la protection des entreprises contre les cybermenaces.
Comment s’y sont-elles prises ?
Voici la liste des mesures de sécurité à mener en priorité.
1. Protéger tous les terminaux
La priorité : sécuriser tous les appareils des employés. Cela signifie gagner en visibilité sur tous les dispositifs utilisés, en s’assurant qu’ils disposent de tous les contrôles de sécurité nécessaires, et qu’ils sont constamment en phase avec les derniers correctifs et mises à jour logicielles. Parmi les contrôles clés figurent l’authentification multifacteurs, le cryptage des données, l’anti-malware, le pare-feu, et la prévention des fuites de données.
2. Sensibiliser et former des utilisateurs
Dès lors que les utilisateurs travaillent à l’extérieur, ils deviennent de fait des cibles d’attaque potentielles. Des actions anodines peuvent être à l’origine d’une faille de sécurité et mener à une catastrophe. Les nouveaux changements culturels prennent du temps à s’ancrer dans la routine et nécessitent de nouvelles exigences en matière d’enseignement et d’apprentissage. Les entreprises doivent mener régulièrement des programmes de formation et de sensibilisation pour informer les utilisateurs sur la manière de repérer les menaces et d’y répondre, ainsi que sur la manière de mieux sécuriser leurs réseaux domestiques.
3. Renforcer la réactivité face aux incidents
Lorsque les collaborateurs et leurs appareils ne sont pas tous sous le même toit, il peut être plus compliqué de réagir rapidement et efficacement à un incident de sécurité. Il est essentiel que les problèmes informatiques initiaux ne se propagent pas et n’entraînent pas de dommages à grande échelle. Le modèle de travail à distance nécessite la mise en place de plans d’urgence pour s’assurer que les appareils infectés soient traités immédiatement. Du point de vue du cloud et du multicloud, les entreprises doivent disposer d’une visibilité globale sur tous leurs environnements cloud, identifier les lacunes ou les incohérences dans les paramètres ou les politiques, avant que la catastrophe ne se produise. Il faut également mettre en place un plan pour contenir tout incident ayant des répercussions sur le cloud, mais aussi préparer un guide pratique à destination de toutes les parties prenantes, comprenant des formations fréquemment demandées sur les interventions en cas d’incident.
Des mesures pour les employés en télétravail
1. Reconnaître les risques et les responsabilités
La cybersécurité peut aisément apparaître loin des priorités lorsque de grands projets sont entrepris ou que les agendas sont chargés. Les cybercriminels le savent, c’est pourquoi 90% des violations de données d’entreprise dans le cloud sont dues à des attaques par social engineering qui ciblent les employés[2]. Avec des attaques telles que le phishing par e-mail, un simple clic sur un lien inoffensif peut s'avérer catastrophique pour l’entreprise. Pendant les sessions de télétravail, il est nécessaire de prendre le temps de participer aux programmes de formation à la cybersécurité, qui permettront d’identifier les liens douteux et d’éviter d’ouvrir des pièces jointes inconnues.
2. Protéger le réseau domestique
Lorsque l’on travaille à domicile, le routeur devient le point de connexion, non seulement avec le monde extérieur et Internet, mais aussi avec le réseau d’entreprise. Il faut s’assurer que la connexion WiFi utilise le niveau de cryptage le plus élevé, généralement appelé WPA. Il faut également modifier tout mot de passe administrateur par défaut. Il est également judicieux de procéder à une certaine segmentation du réseau en connectant tous les appareils via l’IoT, comme les lampes intelligentes, les haut-parleurs ou les appareils électroménagers, à un réseau distinct sur votre routeur. De cette façon, les menaces externes ne pourront pas s’infiltrer et compromettre le réseau de l’entreprise.
3. Ne pas s’écarter du sujet
L’un des changements comportementaux les plus simples et les plus puissants que l’on peut apporter consiste à séparer vies numériques personnelle et professionnelle. Des actions aussi élémentaires que la consultation des e-mails personnels sur un appareil d’entreprise peuvent introduire de nouvelles cybermenaces externes. Toute utilisation personnelle doit être limitée aux appareils privés, et il faut s’assurer que d’autres membres de la famille n’utilisent pas les équipements professionnels.
Le mot d’ordre en 2020 —Une meilleure sensibilisation à la sécurité
2020 a certainement été une expérience d’apprentissage pour tous, et en matière de sécurité, elle a forcé de nombreuses entreprises à repenser toute leur stratégie et leur compréhension des véritables risques. Qu’il s’agisse de centres de données sur site, de hubs privés ou d’environnements multicloud, la faille favorite des cybercriminels est aussi la plus simple : la faille humaine. Le réseau d’entreprise n’est plus une forteresse dont le périmètre se trouverait dans les bureaux, il se trouve là où se trouvent les collaborateurs — ou, dans le cas de l’informatique en cloud, là où résident les informations. S’il y a un point positif à garder en tête sur cette dernière année, c’est que les entreprises ayant mis du temps à s’adapter au nouveau modèle de cybersécurité ont maintenant compris l’importance d’une approche proactive — plutôt que réactive — de la sécurité, et qu’elles aborderont 2021 de manière plus sereine et plus sûre que 2020.
[1] Source : livre blanc Proofpoint : "The Paradigm Shifts: Addressing The Cybersecurity Perils Of Work From Home", Novembre 2020
[2] Source : étude Kaspersky Lab, Mai 2019