Les risques numériques liés au télétravail
Une mise en œuvre non-maîtrisée du télétravail peut augmenter les risques de sécurité pour les entreprises ou organisations qui y recourent. C’est pourquoi il est bon de connaître et de faire connaître le risque à tous les collaborateurs, ainsi que de prendre des mesures préventives.
Principaux risques
Hameçonnage ou phishing
En se faisant passer pour un tiers de confiance, un pirate cherche à vous dérober des informations confidentielles (mot de passe, informations bancaires, etc.). Il peut ainsi accéder à vos comptes ou ceux de votre entreprise, s’introduire sur le réseau ou encore introduire un rançongiciel.
Rançongiciel (ransomware)
Un pirate chiffre ou bloque l’accès aux données de l’entreprise en vue de réclamer une rançon. Il peut en profiter pour voler des données, ainsi que pour effacer les sauvegardes pour éviter toute solution de récupération. C’est souvent grâce à un hameçonnage que le pirate peut procéder.
Vol de données
En s’introduisant sur le réseau interne ou externe (cloud) d’une entreprise, un pirate peut dérober ses données. Il peut ainsi faire du chantage, divulguer les données ou encore les revendre. C’est généralement grâce à l’hameçonnage ou à la compromission d’un poste (vol, virus, phishing…), ou via un accès à distance mal sécurisé que le pirate peut accéder aux réseaux.
Faux ordres de virement (FOVI/BEC)
En usurpant l’identité d’un dirigeant, d’un collaborateur, d’un fournisseur ou d’un mandataire, un pirate peut demander le changement des coordonnées bancaires d’une facture ou salaire, réaliser un virement exceptionnel et confidentiel, etc. C’est encore une fois souvent le phishing qui est cause de la faille pour l’entreprise.
On ne le répétera jamais assez, beaucoup d’attaques sont rendues possibles par un manque de vigilance humaine, à savoir par hameçonnage. S’il est indispensable de disposer d’équipements de sécurité informatique, il est tout aussi important de faire connaître les risques et bonnes pratiques à tous les utilisateurs du système d’information de l’entreprise.
Les recommandations du gouvernement
Voici une liste de bonnes pratiques à faire circuler au sein de votre entreprise.
Si vous êtes un utilisateur
Si vous disposez d’équipements professionnels, séparez vos usages
Séparez bien vos usages professionnels et personnels au risque de les confondre et de générer des fautes de sécurité, dangereuses pour l’entreprise. L’activité professionnelle doit se faire sur vos moyens professionnels et seulement sur vos moyens professionnels, et vice-versa.
Appliquez strictement les consignes de sécurité de votre entreprise
Si vous rencontrez des difficultés à appliquer les mesures prescrites, remontez l’information et demandez conseil à votre entreprise, mais ne les contournez pas de votre propre chef, au risque de ne pas apprécier l’étendue des risques que vous pourriez faire prendre à votre entreprise.
Ne faites pas en télétravail ce que vous ne feriez pas au bureau
Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels. Si vous utilisez vos moyens personnels en télétravail, ayez conscience que vos activités personnelles peuvent faire prendre un risque aussi à votre entreprise, redoublez donc d’attention et de prudence.
Appliquez les mises à jour de sécurité sur tous vos équipements connectés (PC, tablettes, téléphones…)
Et ce, dès qu’elles vous sont proposées afin de corriger les failles de sécurité qui pourraient être utilisées par des pirates pour s’y introduire et les utiliser pour attaquer le réseau de votre entreprise au travers de vos accès.
Vérifiez que vous utilisez bien un antivirus et scannez vos équipements
Vérifiez que tous vos équipements connectés bien protégés par un antivirus à jour, et effectuez une analyse complète (scan) de vos matériels. Si un matériel ne peut avoir d’antivirus, évitez le plus possible de l’utiliser pour accéder au réseau de votre entreprise.
Renforcez la sécurité de vos mots de passe
Utilisez des mots de passe suffisamment longs, complexes et différents sur tous les équipements et services auxquels vous accédez, qu’ils soient personnels ou professionnels. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible.
Sécurisez votre connexion Wi-Fi
Le télétravail s’opère souvent via votre connexion Wi-Fi personnelle. Il est donc primordial de bien la sécuriser pour éviter toute intrusion sur votre réseau qui pourrait être utilisée pour attaquer votre entreprise. Utilisez un mot de passe suffisamment long et complexe et assurez-vous que vous utilisez bien le chiffrement de votre connexion en WPA2. Pensez également à mettre à jour régulièrement votre « box Internet » en la redémarrant ou depuis son interface d’administration.
Sauvegardez régulièrement votre travail
La sauvegarde est le seul moyen permettant de retrouver ses données en cas de cyberattaques, de panne ou de perte de son équipement. Si vous en avez la possibilité, sauvegardez régulièrement votre travail sur le réseau de l’entreprise ou les moyens qu’elle met à disposition à cet effet, mais aussi sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée.
Méfiez-vous des messages inattendus
Que ce soit par messagerie (courriel, SMS, chat…) en cas de message inattendu ou alarmiste, demandez toujours confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une tentative d’hameçonnage, d’un virus par pièce jointe, d’un lien vers un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement.
N’installez vos applications que dans un cadre « officiel » et évitez les sites suspects
Sur vos équipements professionnels, n’installez de nouvelles applications qu’après l’accord de votre support informatique. Sur vos équipements personnels utilisés en télétravail, n’installez des applications que depuis les sites ou magasins officiels des éditeurs, pour limiter les risques d’installation d’une application piégée pour pirater votre équipement. De même, évitez les sites Internet suspects ou frauduleux (téléchargement, vidéo, streaming illégaux) qui pourraient également piéger vos équipements.
Vous êtes un employeur
Définissez et mettez en œuvre une politique d’équipement des télétravailleurs
Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).
Maîtrisez vos accès extérieurs
Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.
Sécurisez vos accès extérieurs
Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un VPN (réseau virtuel). Outre le chiffrement de vos connexions extérieures, ce dispositif permet également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.
Renforcez votre politique de gestion des mots de passe
Les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible.
Ayez une politique stricte de déploiement des mises à jour de sécurité
Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance.
Durcissez la sauvegarde de vos données et activités
Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données à la suite d’une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par ransomware. En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…).
Utilisez des solutions antivirales professionnelles
Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage, voire de certains ransomwares. Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.
Mettez en place une journalisation (logs) de l’activité de tous vos équipements d’infrastructure
Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.
Supervisez l’activité de vos accès externes et systèmes sensibles
La supervision permet de détecter une activité anormale qui pourrait être le signe d’une cyberattaque, comme la connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations.
Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail
Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire. Sensibilisez-les également aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques.
Préparez-vous à affronter une cyberattaque
Aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque : cela n’arrive donc pas qu’aux autres. Aussi faut-il être préparé à réagir en cas de cyberattaque. L’évaluation des scénarios d’attaques possibles décrits précédemment, permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance.
Dirigeants : impliquez-vous et montrez l’exemple
La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité sont indispensables, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.
Pour conclure
Vous l’aurez compris, instaurer le télétravail en entreprise ne se fait pas sans risques. Pour autant, ceux-ci peuvent être maîtrisés pour peu que vous ayez l’infrastructure adéquate, et que vous appliquiez les bonnes pratiques présentées précédemment.
Pour vous en assurer, nous vous invitons à vous rapprocher de votre prestataire en systèmes d’informations. Il a toute la compétence pour évaluer la fiabilité de votre infrastructure, ainsi que de vos usages et pratiques de l’informatique.
Aller plus loin
Dans cet article, nous répondons à l’interrogation : « Comment télétravailler en sécurité? ». Pour vous en apprendre plus sur le déploiement du télétravail en entreprise, vous avons rédigé un dossier complet :
Vous souhaitez être informés de nos dernières publications ?
Inscrivez-vous à notre Newsletter
Vous avez un projet ?
Notre équipe d’experts est à votre écoute pour en discuter !
Nous vous apporterons une réponse adaptée à vos besoins.