Pas d'avenir pour le télétravail sans cybersécurité
Avec l'accélération des mesures de déconfinement, les français goûtent à nouveau à l'été. En matière de télétravail, nombreux sont ceux qui plébiscitent un mode hybride, alliant retour au bureau et travail à distance. Face à la recrudescence des cyberattaques en 2020 (+151%), il semble pourtant que le télétravail ne pourra pas s'envisager sans un renforcement des mesures de sécurité de l'environnement de travail en dehors des murs de l'entreprise
17 mars 2020. Ce jour a bouleversé la France, ses habitudes, et le monde du travail. Vous vous en souvenez, c’est la date de début du premier confinement. Du jour au lendemain, les français ont dû s'adapter à de nouvelles règles et, pour ceux qui le pouvaient, changer rapidement leurs manières de travailler, avec à la clé une accélération de la digitalisation des entreprises.
Avec l’assouplissement des mesures sanitaires, les salariés ont exprimé le souhait de s’orienter vers un mode de travail hybride alliant télétravail et retour au bureau. Comment assurer la pérennité de ce mode de fonctionnement ?
Le télétravail est un enjeu clé pour les organisations...
La conséquence des périodes de confinement se fait aujourd’hui ressentir, avec un changement des mentalités et des processus de travail. D’après une enquête récente de l’Ifop réalisée pour la Société foncière lyonnaise (SFL), les salariés interrogés ont indiqué vouloir télétravailler en moyenne 2,1 jours par semaine (contre 1,4 jours avant le premier confinement). Une étude Malakoff Humanis montre que 84% des salariés souhaitent demander à maintenir le télétravail.
Démocratisé en 2020, le télétravail perdurera bien au-delà de la crise sanitaire. Sa pérennisation est devenue un enjeu : c’est un facteur de fidélisation des employés actuels et d’attrait pour de futurs collaborateurs. Pour de nombreuses personnes en recherche d’emploi, le télétravail est désormais devenu l’un des critères de sélection d’une entreprise.
Pour les employés, il s’agit de conserver ce meilleur équilibre entre vie professionnelle et vie personnelle qu’ils ont découvert grâce, notamment, à la suppression du temps passé dans les transports. Si la plupart des organisations ont mis en place des solutions et processus dédiés au télétravail, nombre d’entre elles n’ont pas encore instauré une stratégie adaptée au télétravail de long-terme, qui doit associer ergonomie et sécurité de l’environnement de travail « hors les murs ».
… mais aussi un danger pour leur sécurité
Le télétravail forcé et sous-préparé a exposé nombre d’organisations aux cyberattaques ; celles-ci auraient augmenté de 151% au cours des 6 premiers mois de l’année 2020 (selon une étude de la firme américaine d’analyses Neustar). Au regard des conséquences provoquées par une cyberattaque réussie, le déploiement de solutions d’accès distants sécurisés est une priorité pour la pérennité des organisations.
Aujourd’hui, nombreuses sont celles qui utilisent encore des VPN (réseau privé virtuel) pour permettre à leurs collaborateurs d’accéder au système d’information depuis chez eux. Ces outils ont été créés pour la communication entre deux réseaux de confiance. Or, dans le cas du télétravail, le réseau du côté du télétravailleur n’est pas forcément de confiance. Tout comme son ordinateur s’il utilise un terminal personnel pour se connecter en télétravail.
A l’heure de la mobilité et du cloud, ces VPN ne sont plus adaptés. Déployés sur les postes clients, ils doivent être mis à jour en permanence. Sans compter qu’il faut, en moyenne, deux mois à un éditeur de VPN pour livrer une correction à une faille de sécurité, et deux mois de plus pour que l’entreprise la déploie sur ses postes de travail. Une organisation est donc vulnérable 4 mois pendant lesquels les pirates peuvent s’introduire sur son réseau. La sécurisation du télétravail est indispensable pour qu’il soit pérenne.
Créer un nouveau périmètre de sécurité pour le télétravail
La question de la sécurité du télétravail est une question de « périmètre de sécurité » qui n’est plus défini par le réseau de l’organisation comme le confirme l’ANSSI : « Les récentes évolutions des technologies et des usages remettent en question le modèle traditionnel de défense périmétrique. (…) Dans ce contexte, les mesures traditionnelles de sécurisation du système d’information (SI), telles que les pares-feux, le cloisonnement (physique ou logique) ou les VPN, rencontrent des limites ».
Un nouveau périmètre de sécurité est désormais défini autour de chaque télétravailleur et de chaque espace de travail. N’étant plus dans un « espace de confiance », on ne peut plus faire confiance à aucun utilisateur ni à aucun espace de travail. Il faut, à chaque accès d’un télétravailleur à son espace de travail, octroyer cette confiance de manière explicite, en tenant compte du contexte dans lequel le télétravailleur opère (à domicile, en mobilité, depuis un ordinateur fourni par l’organisation ou personnel, etc.) et des outils dont il a besoin pour travailler.
Ce concept est celui du « zero trust ». Les technologies d’accès réseau correspondantes, dites de ZTNA (Zero Trust Network Access), permettent à l’utilisateur de retrouver le même espace de travail que s’il était au bureau, de façon transparente - et donc acceptable.
Avec la crise sanitaire, le télétravail marginal est devenu habituel. Tous les salariés dont le métier le permet bénéficieront du télétravail pour une partie de leur temps de travail. Si d’autres crises venaient à survenir, le télétravail garantira la continuité d’activité et la survie de nos organisations. A la condition qu’il ne génère pas des risques de sécurité susceptibles de compromettre cette continuité d’activité.