L’utilisation de fausses mises à jour logicielles pour répandre des logiciels malveillants n’est pas une nouveauté, mais une nouvelle campagne de programmes malveillants a été détectée, qui est quelque peu différente. Les fausses mises à jour d’Adobe Flash sont poussées qui mettent effectivement à jour la version Flash de l’utilisateur, bien qu’avec un ajout non désiré du mineur de cryptomonnaie XMRig sur le côté.
La campagne utilise des notifications pop-up qui sont une réplique exacte des notifications authentiques utilisées par Adobe, informant l’utilisateur que leur version Flash doit être mise à jour. En cliquant sur le bouton d’installation, comme pour les notifications authentiques, vous mettrez à jour le Flash des utilisateurs avec la dernière version. Cependant, en arrière-plan, le mineur de cryptomonnaie XMRig est également téléchargé et installé.
Une fois installé, XMRig s’exécutera silencieusement en arrière-plan, à l’insu de l’utilisateur.
La campagne a été détectée par les chercheurs en sécurité de l’équipe de l’Unité 42 du Réseau Palo Alto. Les chercheurs ont identifié plusieurs fichiers exécutables Windows qui commençaient avec AdobeFlashPlayer et qui étaient hébergés sur des serveurs cloud non contrôlés par Adobe.
Une analyse du trafic réseau pendant le processus d’infection a révélé que la majeure partie du trafic était liée à la mise à jour d’Adobe Flash à partir d’un domaine contrôlé par Adobe, mais qu’il a rapidement évolué vers un trafic via un domaine associé à des installateurs connus pour pousser des mineurs de cryptomonnaie. Le trafic a ensuite été identifié sur le port TCP 14444 qui était associé au mineur de cryptomonnaie XMRig.
Une analyse plus poussée de la campagne a révélé qu’elle est en cours depuis la mi-août, l’activité ayant considérablement augmenté en septembre lorsque les fausses mises à jour Adobe Flash ont commencé à être distribuées plus largement.
Il est peu probable que les utilisateurs finaux détectent le téléchargement et l’installation du mineur de cryptomonnaie XMRig, mais il est probable qu’il y ait un ralentissement notable dans la vitesse de leur ordinateur. L’installation du mineur de cryptomonnaie XMRig peut être furtive, mais lorsqu’il fonctionne, il utilise presque tout le CPU de l’ordinateur pour l’extraction de cryptomonnaie.
Tout utilisateur qui vérifie le Gestionnaire des tâches verra Explorer.exe monopoliser son CPU. Comme avec la plupart des mineurs de cryptomonnaie, XMRig exploite Monero. Ce que l’on ne sait pas actuellement, c’est quels sites web distribuent les fausses mises à jour Adobe Flash, ou comment le trafic est généré vers ces sites.
Toute notification de mise à jour d’un logiciel qui s’affiche lorsque vous naviguez sur Internet doit être considérée comme suspecte. La fenêtre devrait être fermée et le site web officiel de ce fournisseur de logiciel devrait être visité pour déterminer si une mise à jour est nécessaire. Les mises à jour logicielles ne doivent être téléchargées qu’à partir de sites Web officiels, dans le cas d’Adobe Flash, c’est-à-dire Adobe.com.
Les chercheurs de Palo Alto notent que « les organisations disposant d’un filtrage web décent et d’utilisateurs avertis ont un risque d’infection beaucoup plus faible grâce à ces fausses mises à jour ».
Une étude récente menée par Dashlane et Virginia Tech sur les mots de passe les plus couramment utilisés a révélé certains des pires passwords en 2018.
Pour l’étude, les chercheurs de Virginia Tech ont fourni à Dashlane une liste contenant 61,5 millions de mots de passe anonymisés. Cette liste a été créée à partir de 107 listes individuelles de mots de passe disponibles sur les forums et dans les archives de données, dont un grand nombre proviennent de violations de données antérieures.
L’analyse de la liste a révélé de nombreux thèmes communs. Il s’agit notamment des noms des équipes sportives les plus populaires. Au Royaume-Uni, les passwords les plus courants étaient par exemple Liverpool, Chelsea et arsenal, les meilleures équipes de football de la Première Ligue.
Des marques de renom ont également été choisies, telles que Coca Cola, Snickers, Mercedes, Skittles, Mustang, Playboy, Myspace et LinkedIn.
En outre, des groupes et des références cinématographiques figuraient parmi les choix les plus courants, à l’instar de Spiderman, Superman, Starwars et Pokémon – tous des choix communs – ainsi que des expressions de frustration du genre « a**hole », « bull**** », et « f*** ».
Le rapport Dashlane montré que malgré les avertissements sur le risque d’utiliser des mots de passe faciles à mémoriser, les utilisateurs finaux choisissent encore des mots de passe faibles. Une autre tendance particulièrement inquiétante est l’utilisation de mots de passe qui sont apparemment sûrs, mais ne les sont pas du tout.
Par exemple, 1q2w3e4r5t6t6y et 1qaz2wsx3edc peuvent sembler être des mots de passe relativement sûrs. Pourtant, la façon dont ils sont créés les rend faciles à deviner. Bien entendu, ils sont meilleurs que « mot de passe » ou « letmein », mais ils sont encore considérés comme faibles.
Pourquoi ?
Parce que ces passwords sont créés par un processus que Dashlane appelle « Password Walking ». Il consiste à utiliser des lettres, des chiffres et des symboles à côté les uns des autres sur un clavier. Des variations plus simples sur ce thème sont qwerty et asdfghjk.
Pour contourner ces règles communs des mots de passe, on peut utiliser la même technique, mais en incorporant des lettres majuscules et des symboles.
L’étude montre que même si de nombreux dirigeants d’entreprises recommandent vivement à leurs collaborateurs finaux de définir des mots de passe forts, les employés ignorent souvent ces conseils ou choisissent des mots de passe qui passent les contrôles de sécurité, mais qui ne sont pas vraiment « sûrs ».
Comment choisir un bon mot de passe ?
Un bon mot de passe ne doit pas figurer dans les dictionnaires ni contenir des nombres séquentiels. Il ne doit pas également être créé en tapant avec les doigts des touches à côté les uns des autres le long d’un clavier. En outre, il faut éviter les noms de marque et d’endroit.
Les mots de passe doivent comporter un minimum de 8 caractères et être uniques. Ils ne doivent jamais être utilisés auparavant ni être réutilisés sur une autre plate-forme. Il est également recommandé d’utiliser au moins une majuscule, une minuscule, un symbole et un chiffre.
Si toutes les lettres minuscules sont utilisées, vous avez donc une combinaison de 26 lettres. Ajouter les majuscules vous permet de doubler les possibilités et d’en avoir 52. Bien entendu, vous pouvez encore utiliser les 10 chiffres pour augmenter les options à 62 et les 32 caractères spéciaux, ce qui porte le total à 94 combinaisons.
Avec tant d’options et de combinaisons possibles, les mots de passe générés au hasard sont particulièrement difficiles à deviner. Attention toutefois, car ils sont souvent difficiles à mémoriser.
Récemment, ce problème a été reconnu par le National Institute of Standards and Technology (NIST), qui a révisé son avis sur les passwords (voir publication spéciale 800-63B).
En réalité, l’utilisation de chaînes aléatoires de caractères et de symboles rende les mots de passe particulièrement difficiles à deviner et plus résistants aux tactiques de devinettes des pirates informatiques. Néanmoins, les utilisateurs finaux ont souvent des difficultés à s’en souvenir, ce qui entraîne des comportements particulièrement risqués, par exemple en enregistrant leurs passwords dans un navigateur.
Ainsi, le NIST suggère l’utilisation des « phrases de passe » plus longues, plutôt que des mots de passe. A titre d’exemple, vous pouvez utiliser « Iboughtacarwithmyfirstpaypacket » ou « ifihadahorseIwouldcallititDave ».
Les phrases de passe sont plus conviviales et plus faciles à mémoriser, alors qu’elles sont mieux sécurisées, à condition qu’un nombre suffisant de caractères soit utilisé.
Autre élément important : les entreprises limitent souvent le nombre minimum de caractères à 16 pour les mots de passe. Au lieu de cela, elles devraient envisager de le porter à au moins 64 et faire en sorte qu’ils puissent accepter tous les caractères ASCII imprimables, y compris les espaces et les caractères UNICODE.
Étant donné que certains utilisateurs finaux tenteront encore de définir des mots de passe faibles, il s’avère donc important d’incorporer des contrôles qui pourraient les empêcher de choisir les passwords les plus couramment utilisés. Chaque fois qu’ils en choisissent un, il faut donc s’assurer que le mot de passe est bien absent des listes noires avant de pouvoir être défini.
Lorsque l’autorité de régulation de l’Internet ICANN (Internet Corporation for Assigned Names and Numbers) avait commencé à distribuer des adresses IP et des noms de domaine en 1998, il n’y en avait que quelques-uns : .com, .edu, .mil, .org, .net, ainsi que les domaines de premier niveau (TLDs ou Top Level Domains) pour différents pays.
Alors qu’Internet devenait de plus en plus populaire, les entreprises ont réclamé de nouveaux suffixes de domaine comme .tv, .mobi, .biz, .info ; et d’autres TLDs ont été ajoutés.
Certains sites pornographiques voulaient également le domaine .xxx. D’autres personnes qui voulaient bloquer le porno pensaient que déplacer le porno vers .xxx pourrait consister en quelque sorte à créer un quartier de prostitution sur Internet, ce qui signifie que les sites pornographiques pourraient être contenus dans une zone.
Le TLD .xxx est entré en service en décembre 2011 et l’attribution des noms de domaine a été confiée à ICM Registry, une entreprise à but lucratif de Fort Lauderdale, dont le propriétaire s’attendait à gagner 200 millions de dollars par an. Mais de nouvelles idées génèrent de nouvelles controverses. Ceux qui ont payé ou passé des années à construire leur marque ne voulaient pas voir quelqu’un d’autre obtenir un raccourci gratuit en remplaçant tout simplement .com par .xxx, ce que la règle n’aurait pas d’ailleurs permis. D’autres s’y sont opposés pour des raisons morales.
La controverse du domaine XXX
L’administration Bush s’était opposée au domaine .xxx et avait demandé à l’ICANN de rejeter la proposition. À l’époque, le ministère américain du Commerce avait une certaine influence sur l’ICANN, de sorte que l’objection de la Maison-Blanche avait du poids.
Les États-Unis sont la force motrice derrière l’ICANN, mais ils ont transféré davantage de responsabilités à d’autres gouvernements. Cnet avait expliqué que l’ICANN était censée représenter les intérêts de la planète et elle ne voulait donc pas perdre sa crédibilité en cédant à la pression politique des États-Unis.
Le ministère du Commerce avait reçu plus de 6 000 emails s’opposant au nouveau domaine. Des groupes politiques conservateurs avaient toutefois fait pression, de même que les politiciens qui, en l’an 2000, avaient proposé cette idée comme un moyen de contenir la pornographie en un seul endroit.
L’ICANN avait fini par retarder d’un mois l’attribution du contrat au nouvel administrateur de domaine.
Poursuites judiciaires
Certains propriétaires de sites pornographiques avaient poursuivi l’ICANN en justice en affirmant « […] que le nouveau domaine .xxx est un monopole et une dépense inutile pour les opérations commerciales ». Ils se plaignaient du coût de l’enregistrement de noms pour que d’autres ne les prennent pas et nuisent à leur marque. Ils ont retiré leurs plaintes après 2 ans de litige.
Questions relatives aux marques
Inventa est une organisation dédiée aux marques et aux brevets. Elle avait déclaré que ICM Registry avaient créé le domaine .xxx pour les raisons suivantes:
Le nouvel espace des noms a été créé pour promouvoir une approche responsable du contenu pour adultes sur l’Internet et offrir des indications claires sur son emplacement en ligne.
Dans un commentaire, Inventa avait écrit : « Il y a eu des objections de la part des groupes de défense des droits civils, des marques mondiales, de l’industrie du divertissement pour adultes et même des groupes de parents. Il semble que personne n’avait aimé l’idée, à part ICM Registry lui-même. »
Selon Inventa, il y a deux types d’organisations admissibles au nouveau suffixe .xxx, à savoir :
Celles qui possédaient déjà le domaine .com correspondant ou celles possédant un autre domaine et qui avaient déjà une marque déposée.
Les sociétés qui avaient une marque déposée et qui voulaient enregistrer ce nom pour empêcher les autres de le faire. Par exemple, coke.xxx a été enregistré par ICM Registry comme un nom réservé.
En y repensant, était-ce une perte de temps ?
Rétrospectivement, vous pourriez probablement conclure que tout cet effort n’était que vaine. Les sites pornographiques les plus fréquentés n’utilisent même pas .xxx.
Aujourd’hui, les organisations misent sur le filtrage de contenu pour empêcher les utilisateurs d’ordinateurs d’accéder à des sites web ou à des contenus inappropriés, ou comme mesure de sécurité préventive pour empêcher l’accès à des hôtes de malwares connus.
WebTitan est par exemple l’une des solutions de filtrage de contenus. Il utilise le filtrage d’URL, la classification en temps réel, les listes noires, les filtres de mots-clés, etc., pour bloquer efficacement la pornographie au travail, à l’école ou à l’université.
Et si vous pensiez que l’accès à la pornographie sur le lieu de travail n’était pas un gros problème, alors, détrompez-vous :
Selon une étude, 70% des accès à la pornographie en ligne ont lieu pendant la journée de travail, c’est-à-dire entre 9h et 17h.
20 % des hommes et 13% des femmes admettent avoir téléchargé du porno au travail.
Sur 500 professionnels des RH interrogés, les 2/3 ont déclaré avoir trouvé de la pornographie sur l’ordinateur de leurs employés.
La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau. Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, le phishing, les logiciels malveillants et les arnaques d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.
Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, le déploiement de solutions anti-malware avancées et la mise en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux, mais elles n’offrent pas de formation efficace aux employés en matière de sécurité.
Même lorsque des programmes de sensibilisation à la sécurité sont élaborés, il s’agit souvent de séances de formation en salle de classe une fois par année qui sont rapidement oubliées.
Si vous considérez la formation de sensibilisation à la sécurité pour les employés comme un élément à cocher une fois par an qui doit être complété pour assurer la conformité aux règlements de l’industrie, il y a de fortes chances que votre formation n’aura pas été efficace.
Le paysage de la menace évolue rapidement. Les cybercriminels changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations. Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, vos employés seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.
De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés
Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude de phishing et d’ingénierie sociale (social engineering) auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation à la sécurité et la vulnérabilité des employés à certaines des attaques les plus courantes par email.
Il s’agit notamment des courriels comportant des pièces jointes potentiellement malveillantes, des emails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session et des courriels contenant des pièces jointes et des liens vers un site web. Bien qu’aucun de ces courriels n’était de nature malveillante, ils reflétaient des scénarios d’attaque réels.
27 % des employés ont répondu aux courriels avec un lien qui leur demandait d’entrer leurs identifiants de connexion, 15 % ont répondu aux courriels avec liens et pièces jointes, et 7 % ont répondu aux courriels avec pièces jointes.
Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de courriel compromis par une seule campagne de phishing ou avoir à faire face à plusieurs téléchargements de ransomwares. Le coût de l’atténuation des attaques dans le monde réel est considérable. Prenons l’attaque récente de la ville d’Atlanta contre un logiciel rançon par exemple. La résolution de l’attaque a coûté 2,7 millions de dollars à la ville, selon Channel 2 Action News.
L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31 % de toutes les personnes qui ont répondu aux courriels, 25 % étaient des superviseurs d’équipe qui auraient des privilèges élevés.
19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13 % des répondants.
Même le département informatique n’était pas à l’abri. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9 % des intervenants étaient dans les TI et 3 % dans la sécurité de l’information.
L’étude souligne à quel point il est important non seulement d’offrir une formation de sensibilisation à la sécurité aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par année pour s’assurer de sa conformité.
Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés
Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par hameçonnage et à d’autres menaces par courriel et sur le web.
Si vous voulez améliorer votre posture de sécurité, tenez compte de ce qui suit lorsque vous élaborez une formation de sensibilisation à la sécurité pour vos employés :
Créez un point de référence par rapport auquel l’efficacité de votre formation peut être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les ministères les plus à risque
Offrez une séance de formation en salle de classe une fois par an pour expliquer l’importance de la sensibilisation à la sécurité et traiter des menaces dont les employés devraient être conscients
Utiliser des séances de formation informatisées tout au long de l’année et s’assurer que tous les employés suivent la séance de formation. Toutes les personnes ayant accès au courrier électronique ou au réseau devraient recevoir une formation générale, avec des sessions de formation spécifiques à l’emploi et au département pour faire face à des menaces spécifiques
La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de simulation de phishing devrait être transformé en une occasion de formation. Si les employés continuent d’échouer, réévaluez le style de formation offert
Utilisez différentes méthodes de formation pour aider à la rétention des connaissances
Gardez la sécurité à l’esprit grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux
Mettez en place un système de signalement en un seul clic qui permet aux employés de signaler les courriels potentiellement suspects à leurs équipes de sécurité, qui peuvent rapidement prendre des mesures pour supprimer toutes les instances du courriel des boîtes de réception de l’entreprise.
Une nouvelle étude publiée dans le Journal of Psychosocial Research on Cyberspace sur le problème du cyberloafing souligne non seulement le coût que cela représente pour les entreprises, mais aussi les impacts de ce comportement sur les employés.
En effet, le cyberloafing, nom anglais pour désigner l’utilisation abusive d’internet en entreprise, implique des pertes de productivité majeures. Et pour les employés, cette pratique peut nuire gravement à leurs perspectives de carrière.
Le coût commercial du cyberloafing
Les employeurs paient leurs employés pour qu’ils travaillent, mais ces derniers ont souvent tendance à perdre une grande partie de leur temps à faire du cyberloafing. Ce qui réduit considérablement leur productivité et donc les profits de l’entreprise.
Ladite étude a été menée auprès de 273 employés.
Elle consistait à mesurer les impacts du cyberloafing en entreprise ainsi que les traits ayant conduit à ce comportement. Elle a révélé une corrélation du cyberloafing avec les sombres personnalités des employés, telles que la psychopathie, le machiavélisme et le narcissisme.
L’étude a également permis de constater que les employés perdent énormément leur temps, car leur comportement n’a pas encore réellement affecté leur travail. Pourquoi ? Parce que les sites qu’ils ont les plus visités n’étaient pas des sites de médias sociaux, mais des sites de nouvelles et des sites de vente en ligne.
L’idéal est que, chaque jour, les employés disposent du temps pour l’utilisation personnelle d’Internet et réalisent leur travail quotidien sans perdre leur productivité. Certains employés parviennent à le faire, en limitant leur utilisation personnelle d’Internet pour que cela ne nuise pas à l’accomplissement de leurs tâches professionnelles.
Mais pour la plupart des employés de nos jours, le cyberloafing constitue un véritable problème, car il est à l’origine d’énormes pertes pour les employeurs.
Une étude sur le cyberloafing réalisée en 2013 par Salary.com a montré que 69 % des employés perdent du temps au travail tous les jours, dont 64 % visitent des sites non liés à leurs tâches quotidiennes. Parmi ces personnes, 39 % ont déclaré avoir perdu jusqu’à une heure sur Internet au travail, et 29 % affirment en avoir perdu 1 à 2. 32 % ont également répondu qu’ils ont perdu plus de 2 heures par jour.
Le cyberloafing peut faire une énorme brèche dans les profits de l’entreprise. Une entreprise comptant 100 employés, qui consacrent chacun une heure par jour à l’utilisation personnelle d’Internet, subirait des pertes de productivité de plus de 25 000 heures-hommes par an.
Les pertes de productivité causées par le cyberloafing ne sont pas le seul problème. Lorsque les employés utilisent Internet pour des raisons personnelles, leurs actions ralentissent le réseau, ce qui ralentit la vitesse d’Internet pour tous. Par ailleurs, l’utilisation personnelle d’Internet augmente le risque d’attaques de malwares et de virus, ce qui peut entraîner d’autres pertes de productivité. A cela s’ajoute le coût de la résolution de problèmes causés par ces attaques qui s’avère souvent très important.
Que peuvent faire les employeurs face à l’utilisation abusive d’internet en entreprise ?
Tout d’abord, il est essentiel que le personnel soit informé des politiques de l’entreprise et des impacts de leurs comportements inacceptables en matière d’utilisation personnelle d’Internet.
Augmenter la surveillance et indiquer clairement que l’utilisation personnelle d’Internet est règlementée peut constituer un excellent moyen de dissuasion. Mais les employés doivent également savoir que, lorsque l’utilisation personnelle d’Internet atteint des niveaux problématiques, cela peut avoir des répercussions non négligeables sur leur travail.
Bien entendu, s’il n’y a pas de systèmes de pénalisation des employés qui enfreignent les règles, ou bien si les politiques de l’entreprise ne sont pas appliquées, ces surveillances n’auront que peu d’impact sur le cyberloafing.
En ce qui concerne les pénalités, il incombe à l’employeur d’en décider.
Des mesures pourraient être prises à l’encontre des personnes concernées par le biais de procédures disciplinaires standard comme les avertissements verbaux ou écrits. Des contrôles pourraient également être mis en place lorsque les employés passent trop de temps en ligne, comme la mise en place de solutions de filtrage de sites web.
Ces solutions peuvent limiter l’accès aux médias sociaux, aux sites d’actualité, etc. A noter que le blocage peut être temporaire, par exemple, si l’employeur veut permettre l’utilisation personnelle d’Internet pendant les pauses ou pendant les périodes où la charge de travail est généralement faible.
WebTitan – Une solution facile pour réduire les pertes de productivité et limiter le cyberloafing
WebTitan est un filtre Internet dédié aux entreprises. Il peut être utilisé pour éviter la perte de productivité liée au cyberloafing, en bloquant l’accès aux contenus Web jugés inacceptables en entreprise.
WebTitan permet de configurer facilement les contrôles Internet pour un employé, un groupe d’utilisateurs ou l’ensemble de l’organisation, avec la possibilité d’appliquer des contrôles de filtrage web temporaires.
Empêcher tous les employés de faire du cyberloafing par des sanctions n’est peut-être pas la meilleure façon d’avancer, car cela pourrait avoir un impact négatif sur leur moral. Cela pourrait également réduire leur productivité et favoriser le développement d’un environnement de travail hostile. Le filtrage web peut aider les employeurs à éviter de telles situations et réduire la responsabilité légale des entreprises, en évitant les activités illégales et l’accès à des contenus pour adultes sur le lieu de travail.
Si vous souhaitez améliorer la productivité de vos collaborateurs et appliquer les politiques d’utilisation d’Internet dans votre organisation, contactez TitanHQ.
Il y a de nombreuses raisons pour lesquelles les entreprises veulent contrôler l’utilisation d’Internet par leurs employés.
Permettre à ces derniers d’avoir un accès illimité à Internet durant les heures de travail peut entraîner une perte de productivité importante, augmenter le risque de téléchargement de malwares et de ransomwares et impliquer certains problèmes juridiques.
Pour toutes ces raisons, nombre d’entreprises choisissent donc d’utiliser une solution technologique permettant d’appliquer une politique d’utilisation d’Internet acceptable.
Dans ce dossier, nous allons nous focaliser sur les principaux avantages qui peuvent découler de l’utilisation d’un filtre web en vue de limiter l’accès à Internet sur le lieu de travail. Nous allons également voir les problèmes liés à l’utilisation d’un logiciel de contrôle de contenu pour limiter l’accès à Internet dans une entreprise.
Le problème de l’utilisation personnelle d’Internet au travail
De nombreux employés ont l’habitude de consacrer un pourcentage considérable de leur journée de travail à l’utilisation personnelle d’Internet, à des jeux en ligne ou à l’accès à leurs comptes sur les réseaux sociaux. Bien entendu, le simple fait d’imposer des restrictions de l’accès à certains sites web ne permet pas d’éliminer les temps gaspillés par les employés pour se détendre sur le net. Néanmoins, cela permet d’améliorer de façon significative leur productivité.
Si chaque employé d’une organisation devait consacrer une heure par jour à l’utilisation personnelle d’Internet, les pertes de productivité seraient considérables. Une entreprise de 100 employés perdrait 100 heures par jour, soit 4 000 heures par semaine, soit 208 000 heures par an !
L’utilisation excessive d’Internet à des fins personnelles au travail peut également entraîner d’autres problèmes. Lorsque les employés utilisent par exemple les services de streaming, téléchargent des fichiers via des réseaux P2P (Peer to Peer) ou se livrent à d’autres activités gourmandes en bande passante, cela aura naturellement un impact sur la vitesse de connexion dans toute l’entreprise.
En utilisant un filtre web capable de restreindre l’accès à Internet et de limiter l’accès à certaines activités consommant beaucoup de bande passante, les entreprises peuvent augmenter leur productivité et s’assurer qu’une bande passante suffisante est toujours disponible pour leurs employés.
Internet au travail, que dit la loi ?
Le Code du travail ne stipule aucune règle précise quant à la liberté pour un salarié d’utiliser ou non Internet au travail. Néanmoins, il existe quelques dispositions d’ordre général qui permettent de déduire le cadre légal de l’usage de l’Internet au bureau en dehors du cadre des missions professionnelles des employés.
Selon l’article 4121-2 du Code de travail, il incombe à l’employeur d’adapter le travail à l’homme ; de donner les instructions appropriées aux employés et de tenir compte de l’évolution des nouvelles technologies.
D’autre part, l’employeur n’a pas l’obligation d’autoriser ses salariés à utiliser Internet au travail, sauf si l’usage est indispensable pour l’accomplissement de leurs fonctions. Si c’est le cas, il a donc la responsabilité de réglementer l’utilisation d’Internet et de donner des instructions à ses employés.
Par ailleurs, l’art. 1222-4 précise que l’employeur n’a pas le droit surveiller l’utilisation d’Internet de ses employés sans les avoir préalablement informé de l’existence d’un contrôle et des processus utilisée pour réaliser ce contrôle.
Responsabilité juridique et sanctions
Les entreprises disposent toutes des informations ou données qui sont protégées par des droits d’auteur, comme des logiciels, des vidéos, de la musique ou des photos sur leur réseau. Sachez que, si un employé télécharge ces informations sur le réseau d’une organisation, ses dirigeants pourraient en être légalement responsables.
Pour réglementer l’usage d’Internet au bureau, l’employeur peut définir des politiques d’utilisation acceptables qui pourront être intégrées au sein du règlement intérieur de l’entreprise. La communication de ces règles peut se faire via des notes de service ou par le biais de l’élaboration d’une charte informatique. Dans ces documents, il faut également intégrer les modalités de contrôle auxquelles pourront être soumis les salariés. Une fois les règles établies, elles s’imposent alors à tous les salariés de l’entreprise.
Sanction de l’usage excessif de l’Internet par les salariés
Les dirigeants d’entreprises peuvent imposer des règles limitant l’utilisation d’Internet. Quant aux règlementations en vigueur, elles peuvent aussi sanctionner les usages considérés comme excessifs de l’Internet au travail.
Fautes graves
L’utilisation de l’Internet sur le lieu de travail peut être considérée comme une faute grave s’il est établi que le salarié a consacré son temps de travail à des activités personnelles.
Les connexions sur des sites non professionnels sont considérées comme abusives. Elles peuvent constituer également une faute grave lorsqu’elles impliquent la violation par le salarié de ses obligations contractuelles.
Manquement à des obligations
La consultation de sites de rencontre et d’activités sexuelles, suivie de la consultation d’un site de téléchargement d’un logiciel malveillant qui permet d’effacer les traces de connexions et de téléchargements, peut être sanctionnée. La raison est le manquement grave de l’employé à ses obligations dans le cadre de son contrat de travail.
Bon à savoir : si l’employé cause un préjudice à son organisation, par exemple en téléchargeant un virus informatique qui porte atteinte au réseau informatique, il pourrait être condamné à verser de dommages et intérêts à son employeur. C’est aussi le cas lorsque l’employé consulte des sites illégaux ou des plateformes en ligne qui sont susceptibles de nuire à la bonne image de son organisation. Dans ce cas, l’employé est coupable d’un délit d’abus de confiance.
Le droit de contrôle pour l’employeur
Selon la loi, tout employeur a le droit de fouiller l’appareil informatique utilisé par ses employés et de surveiller les contenus qu’ils consultent sur Internet. Il peut aussi contrôler –sans en informer l’employé – tout appareil (ordinateurs ou matériels de stockage) du moment que les fichiers qui y sont conservés ne sont pas spécifiés comme personnels.
Bon à savoir : l’employeur peut procéder à des contrôles des sites Internet que ses employés ont visités pendant les heures de travail, même en leur absence.
Pour limiter l’usage d’Internet par les salariés, les entreprises peuvent utiliser des procédés de filtrage des sites web accessibles par les employés depuis les ordinateurs professionnels. Elles peuvent même aller jusqu’à interdire l’accès à Internet à tous ses employés, à condition qu’elles respectent les dispositions de l’article 1121-1 du Code du travail.
Mais pourquoi tout cela ?
En effet, l’accès incontrôlé à Internet laisse la porte ouverte à toute une variété de problèmes juridiques et fonctionnels. La mise en place d’une politique d’utilisation acceptable d’Internet peut vous aider dans une certaine mesure à les éviter, mais ce n’est pas suffisant.
Le danger des téléchargements de malwares et de ransomwares
Si les employés peuvent accéder à des sites web et aux réseaux sociaux, télécharger des fichiers ou visiter des sites web douteux, le risque de téléchargement de malwares et de ransomwares augmente considérablement.
Les kits d’exploitations (menaces automatisées) explorent les vulnérabilités des navigateurs et des plug-ins, pour exécuter des programmes malveillants. Ceci leur permet de diriger le trafic vers des sites web compromis, et ce, par le biais de publicités malveillantes. Lorsque les victimes naviguent sur ces sites, les malwares et ransomwares peuvent porter atteinte à la sécurité de leurs informations.
Certains types de sites web comportent un risque élevé d’infection par des malwares. Le fait de permettre aux employés d’accéder à ces sites — dont bon nombre ne sont pas adaptés au travail — pourrait donc facilement entraîner leur téléchargement.
Bien entendu, les exploitants de sites pornographiques légitimes prennent souvent grand soin de s’assurer que leurs plateformes en ligne ne sont pas compromises. Toutefois, bien qu’ils soient légitimes, ces sites sont souvent utilisés par les cybercriminels comme leurre pour propager des malwares.
L’une des activités en ligne les plus risquées est l’utilisation des sites de Torrents et des réseaux de partage de fichiers P2P. En effet, il y a peu ou pas de contrôles sur les contenus (musique, fichiers, vidéos, etc.) partagés via ces plateformes en ligne. Pourtant, ils sont souvent parsemés de malwares, de spywares et d’adwares.
Attention : Les téléchargements illégaux de logiciels sont extrêmement risqués, car les malwares sont souvent regroupés dans les fichiers exécutables nécessaires pour l’installation de ces interfaces ou dans les générateurs de clés de licence (Keygen).
Les conséquences d’une attaque de malware ou de ransomware peuvent être incroyablement coûteuses pour les entreprises. Nombre d’entre elles en ont déjà été victimes, ce qui a impliqué la mise hors service de leurs systèmes d’informations pendant plusieurs jours, voire des semaines. Évidemment, l’arrêt de l’activité a impliqué de lourdes pertes pour ces entreprises.
Une attaque de ransomware peut entraîner la mise hors service d’un réseau entier, comme ce fut le cas avec les attaques WannaCry en 2017. Au Royaume-Uni, le NHS a subi des perturbations majeures suite à une infection par un malware. Peu de temps après, l’attaque de malware NotPetya a également causé des dégâts considérables. En effet, il a réussi à infecter les systèmes d’informations de la société de transport maritime Maersk et la facture du « nettoyage » s’élevait à environ 300 millions de dollars.
Un filtre web n’empêchera pas tous les téléchargements de malwares et de ransomwares, mais il permet aux entreprises d’empêcher certaines catégories de sites web « à risque » d’être visitées par leurs employés.
La solution de filtrage peut être configurée pour bloquer le téléchargement de certains types de fichiers et l’accès à des sites web connus pour contenir des malwares ou des kits d’exploitation. Grâce à cela, toute tentative de visite d’un de ces sites web renvoie l’utilisateur à un écran de blocage.
Limiter l’accès à Internet pendant la pandémie du Covid-19
Des millions de personnes travaillent actuellement à domicile à cause de la pandémie et les réseaux Internet des entreprises sont souvent mis à rude épreuve.
Le temps que les employés distants passent à regarder des vidéos en continu, à jouer et à utiliser des applications de messagerie instantanée comme Zoom ou d’autres plateformes de vidéoconférence a considérablement augmenté depuis le début de la pandémie. Non seulement ces activités peuvent entraîner une baisse de la production, mais elles exposent également votre entreprise à de nombreuses menaces en ligne. Voici nos conseils pour les éviter :
Se doter d’un antivirus contre les malwares, les ransomwares, etc.
Il est fortement recommandé d’installer un logiciel antivirus sur le poste de travail que vos collaborateurs utilisent, même si cela ne garantit pas une protection totale contre les menaces informatiques auxquels les travailleurs à distance s’exposent. De plus, le télétravail augmente le risque de subir une attaque d’un malware ou de ransomware. Un travailleur à domicile utilisera souvent son ordinateur professionnel pour un usage personnel, et ce, à l’insu de son employeur ou de l’administrateur système. La solution antimalware doit donc être à jour, en ce qui concerne les derniers malwares et devrait pouvoir alerter l’équipe informatique en cas de pratiques à risque.
Effectuer les mises à jour sécurité
Dans une logique de productivité, les travailleurs distants n’ont pas toujours conscience du risque qu’ils pourraient faire courir à leur entreprise. En fait, ils ignorent souvent les mises à jour de sécurité proposées par leur système d’exploitation pour s’éviter d’une certaine période d’inactivité forcée qui, pourtant, est de l’ordre de quelques minutes. Dans une PME, les équipes qui travaillent au bureau ont souvent un responsable informatique qui assure la supervision de ces mises à jour et le risque est donc minimisé. Mais avec l’augmentation du nombre de travailleurs distants, les PME ont des difficultés à limiter les failles de sécurité. Il importe donc d’imposer à vos employés l’application de ces mises à jour critiques.
Sauvegarder en ligne les fichiers sensibles
Quand on parle de télétravail dans les entreprises, il faut savoir que le partage des fichiers en ligne est incontournable. Toutefois, cela n’empêche pas certains employés distants de privilégier la manipulation de fichiers en local. Au cas où il y aurait des problèmes, il est donc difficile de retrouver le contenu de certains documents. Pour éviter une telle situation, vous devez ajouter une couche de cybersécurité, en créant une sauvegarde régulière de vos données sensibles. Cette solution vous protège contre le vol et les erreurs de manipulation des données ainsi que les attaques de ransomwares et de malwares dont le but est essentiellement de les chiffrer.
Vos employés doivent utiliser une navigation sécurisée
Le mode navigation privée proposé par les principaux navigateurs comme Firefox, Safari, Chrome ou Edge ne garantissent que la confidentialité d’une session en ligne. Gardez donc à l’esprit qu’ils ne constituent pas une solution permettant d’assurer la sécurité informatique de votre entreprise contre les cybermenaces. Il faut mettre en place une couche supplémentaire de protection de la navigation sur Internet pour vos employés distants. Cette alternative est particulièrement importante pour les salariés distants, notamment lorsqu’ils utilisent l’ordinateur de votre entreprise à des fins personnelles (téléchargements abusifs, consultation de vidéos en streaming, visite de sites web illégaux ou de jeux en ligne).
Un filtre web offre une protection supplémentaire contre les ransomwares
Le phishing est la principale menace numérique à laquelle font face les entreprises. De nos jours, on estime que plus de 90 % des cyberattaques commencent par un e-mail de ransomware. L’une des meilleures protections contre ces attaques est le filtrage du spam. Cette solution peut empêcher la plupart des malwares d’être envoyés aux utilisateurs finaux.
Cependant, aucun filtre antispam n’est efficace à 100 % et certains messages malveillants peuvent toujours finir dans les boîtes de réception des employés. Pour renforcer la sécurité, on peut donc former ces derniers à identifier les e-mails de phishing et leur enseigner les meilleures pratiques en matière de cybersécurité.
La sensibilisation permet de réduire notablement la vulnérabilité du système d’information aux attaques de ransomware. Pourtant, tôt ou tard, un employé finira par se faire duper et cliquer sur un lien dans un e-mail malveillant qui le redirigera vers un site de phishing. Une fois que l’utilisateur atterrit sur le site web malveillant et divulgue ses informations d’identification, le pirate informatique peut accéder à son compte de messagerie et à toutes les données sensibles qu’il contient.
Le compte compromis peut ensuite être utilisé pour envoyer d’autres e-mails de phishing à d’autres employés. Il n’est pas rare qu’une seule réponse à un e-mail de phishing entraîne la compromission de plusieurs comptes de courriel au sein d’une organisation.
Pourtant, les conséquences de ces attaques sont parmi les plus coûteuses et difficiles.
Pourquoi ?
Parce qu’il faut vérifier chaque email d’un compte compromis pour y trouver des renseignements personnels identifiables et d’autres données sensibles. Et sachez que la vérification manuelle de milliers de courriels peut prendre des semaines et coûter des centaines de milliers de dollars.
Un filtre web est une couche de sécurité supplémentaire qui aide les organisations à améliorer leurs défenses contre ces attaques. Lorsqu’un employé clique sur un lien vers un site web qui figure dans une liste noire, suite à une utilisation antérieure dans le cadre de campagnes de phishing, l’utilisateur sera dirigé vers un écran de blocage.
Sur ce point, sachez que WebTitan peut actuellement bloquer jusqu’à 60 000 tentatives d’accès à des sites web malveillants chaque jour.
Empêcher l’accès à des contenus web inappropriés
Bien que la plupart des employés n’utilisent pas Internet pour accéder à des contenus illégaux et non adaptés au travail, il y en a toujours quelques-uns qui sortent du lot.
Le problème de l’accès à la pornographie au travail est par exemple un vrai problème, dont les conséquences sont bien pires que vous ne le pensez :
En 2014, une enquête menée par le groupe Barna a montré que 63 % des hommes et 36 % des femmes ont vu de la pornographie au travail
Une enquête réalisée par Forbes en 2013 a également révélé que 25 % des adultes avaient vu du porno au travail, tandis qu’une autre enquête a montré que 28 % des employés avaient affirmé avoir téléchargé du porno durant les heures de travail.
Non seulement l’accès à la pornographie au travail implique une perte de productivité importante des employés, mais il peut aussi être à l’origine d’un environnement de travail hostile, c’est-à-dire que les collaborateurs ne communiquent plus et travaillent de manière isolée.
Par ailleurs, cela peut créer d’autres problèmes que vous n’auriez même pas imaginé. À titre d’exemple, sachez qu’il y a déjà eu des cas où des employés ont intenté des poursuites judiciaires à l’encontre de leurs employeurs parce que ces derniers n’avaient pas mis en place des solutions de contrôles de contenu qui empêchent les employés d’avoir accès à de la pornographie sur leur lieu de travail.
De nombreuses entreprises estiment que la meilleure façon de s’attaquer à ce problème est de mettre en place des politiques d’utilisation acceptables ainsi qu’une surveillance accrue des employés par leurs supérieurs hiérarchiques. Lorsque les superviseurs découvrent que des employés abusent d’Internet, des mesures peuvent donc être prises contre eux, tandis que tout le monde peut continuer à l’utiliser.
Cette solution ne s’avère pas toujours efficace parce que, quand l’accès à la pornographie est découvert, les employés ont souvent recours à un licenciement instantané. Cela entraîne des coûts pour le service des ressources humaines et des pertes de productivité jusqu’à ce que de nouveaux employés soient embauchés et formés.
La solution la plus simple est d’utiliser un filtre web pour restreindre l’accès à Internet au travail. Un filtre web peut être utilisé pour bloquer l’accès à des sites web spécifiques ou à des catégories de contenus inadaptés tels que les sites pornographiques.
Le rôle des gouvernements
Pour des raisons politiques, sociales et de sécurité nationale, un gouvernement peut bloquer l’accès à certains contenus en ligne, surveiller le type d’informations que les utilisateurs finaux peuvent consulter et punir des utilisateurs à cause d’une activité en ligne qu’il jugerait inacceptable.
En fait, il est difficile de déterminer si une entité essaie de vous empêcher d’envoyer des informations à d’autres personnes ou d’accéder à un site web. Mais lorsque vous essayez d’accéder à un site bloqué, vous verrez souvent un message d’erreur conventionnel. Dans ce cas, le site peut afficher un message d’indisponibilité technique.
Dans certains pays, le gouvernement peut bloquer une partie entière de l’Internet. En Arabie Saoudite, par exemple, lorsqu’un utilisateur tente d’accéder à du contenu sexuellement explicite, il reçoit un message du gouvernement qui explique la raison du blocage du site en question.
D’autres entités que les gouvernements peuvent également contrôler, bloquer ou filtrer certains contenus web. Les parents, par exemple, peuvent filtrer les informations inappropriées pour leurs enfants. D’autres organisations, comme les écoles et les entreprises, peuvent aussi restreindre l’accès à Internet pour empêcher les étudiants et les employés d’avoir des communications non contrôlées ; d’utiliser du matériel ou des heures de travail de l’entreprise pour des raisons personnelles ; d’utiliser trop de ressources réseau, etc.
Même si le gouvernement dispose des ressources et de la capacité légale pour contrôler une grande partie de l’infrastructure réseau d’un pays, il n’est pas votre adversaire. Cela signifie tout simplement que vous devez toujours contrôler et sécuriser vos communications, votre réseau filaire ou sans fil, vos données sensibles, etc.
Problèmes liés à l’utilisation d’un filtre web pour contrôler l’accès à Internet en entreprise
Un filtre web peut sembler une solution rapide et facile pour éviter les menaces sur le web. Mais sachez que les entreprises qui restreignent l’accès à Internet au travail avec des filtres web peuvent rencontrer d’autres problèmes encore pires si la solution de filtrage n’est pas correctement configurée.
Si vous limitez l’accès à Internet au travail à l’aide d’une solution de filtrage web basée sur un appareil, cela peut entraîner une latence, étant donné que chaque site web doit être inspecté avant que les employés puissent y accéder. Dans le cas de sites sécurisés (HTTPS), chaque page web doit être déchiffrée, inspectée et rechiffrée. D’un, cela rend le système d’information plus lent et, de deux, cela demande beaucoup de ressources.
Il faut savoir que lorsque des filtres web sont utilisés dans le but de restreindre l’accès à Internet au travail, et s’ils manquent de contrôles très granulaires, il peut y avoir un blocage excessif du contenu en ligne. Et même les sites web nécessaires pour le travail peuvent être bloqués. L’équipe de support informatique doit alors consacrer un temps considérable pour trier ces sites afin de les mettre sur une liste blanche.
Autre élément important : si vous limitez l’accès à Internet au travail, les employés qui n’accédaient qu’occasionnellement à un site personnel pourraient ne pas être satisfaits des nouvelles restrictions. Cela peut avoir un effet sur leur productivité et créer un environnement de travail hostile.
Mais pourquoi faire subir à tout le monde les conséquences des actes de quelques employés ?
Comment restreindre l’accès à Internet au travail et éviter ces problèmes ?
Il existe de nombreuses solutions pour contrôler l’accès à Internet et éviter de se retrouver dans des situations compromettantes pour le bon développement de votre entreprise. Voici quelques conseils qui peuvent vous aider à atteindre cet objectif.
Utiliser un filtre web
Les problèmes suscités peuvent être évités en utilisant un filtre web basé sur le cloud. Cette solution permet aux employeurs de restreindre l’accès à Internet au travail, mais comme les solutions sont dans le cloud, ils utilisent les ressources du fournisseur de services. Ainsi, le problème de la latence peut être résolu et le contrôle d’Internet peut être garanti.
De plus, les filtres web dans le cloud sont plus flexibles, évolutifs et ne requièrent pas l’achat d’équipements supplémentaires. Autrement dit, ils vous permettent de faire des économies considérables.
Certains filtres cloud, comme WebTitan, permettent d’appliquer des contrôles basés sur le temps. Les employeurs peuvent utiliser cette fonction pour restreindre l’accès à Internet pendant les périodes de pointe et relâcher le contrôle pendant les pauses, par exemple. Il peut également bloquer l’accès à certains sites à un employé particulier ou à un groupe d’employés.
Puisque le filtre s’intègre avec LDAP et Active Directory, le réglage des contrôles pour différents groupes d’utilisateurs est simple. Par ailleurs, WebTitan peut bloquer les sites web anonymes et donc empêcher les utilisateurs de contourner les contrôles de filtrage de contenu.
Si les employeurs arrivent à limiter intelligemment l’accès à Internet au travail et à accorder de temps en temps un accès personnel à l’Internet, ils pourront éviter la création d’un environnement de travail hostile, tout en protégeant leur système d’information contre les menaces en ligne.
Contrôler l’accès à Internet en entreprise : l’historique de navigation
En tant qu’employeur, vous avez la possibilité, mais surtout le devoir de conserver l’historique Internet de chaque poste au sein de votre entreprise. En effet, c’est une obligation légale pour le chef d’entreprise d’être en mesure de retracer une activité illicite réalisée par l’un de ses employés sur Internet.
De plus, il est important de garder à l’esprit que l’employeur est considéré comme un fournisseur d’accès à Internet pour son personnel sur le plan légal. À ce titre, vous avez tout à fait le droit de sauvegarder un enregistrement de l’historique de navigation Internet de chaque employé, et cela prend même en compte les adresses URL qui ont été consultées.
Le chef d’entreprise a le droit de contrôler l’historique d’activité de chaque collaborateur et de se rendre compte des abus qui peuvent avoir un impact négatif sur l’activité de l’entreprise ou encore engager la responsabilité pénale ou civile du dirigeant. L’historique Internet peut donc vous aider à confondre les employés qui ne respectent pas la charte de la société à ce sujet et peut servir à sanctionner l’employé concerné.
D’ailleurs, il est important de savoir que l’employeur n’a aucune obligation à fournir un accès au réseau Internet. Mais dans le cas où cet accès existe pour le bon déroulement des activités de la société, il doit être utilisé à des fins professionnelles. Il peut être également utilisé pour des raisons personnelles, mais dans la limite du raisonnable. Le défi ici est d’arriver un trouver le juste équilibre entre l’utilisation abusive ou non de cet accès, surtout à des fins personnelles.
Dès lors, il revient au dirigeant de la société de fixer des principes d’usage précis pour les salariés et veiller à ce que tout le personnel soit mis au courant.
Utiliser des mots de passe
De nombreuses entreprises disposent actuellement d’une connexion filaire ou sans fil et il est peu coûteux et facile de connecter plusieurs ordinateurs à l’Internet. Toutefois, si certains employés n’en ont pas besoin, il ne faut pas connecter leurs ordinateurs. Vous pouvez par exemple placer des mots de passe sur les ordinateurs qui accèdent à Internet. Si seuls certains appareils doivent y avoir accès, vous pouvez utiliser des mots de passe peuvent pour les verrouiller. De cette manière, seules les personnes autorisées à utiliser Internet peuvent les utiliser.
Réguler l’accès à Internet par le biais d’un serveur proxy
Vous pouvez aussi mettre en place un serveur proxy pour contrôler l’accès à Internet dans votre organisation et d’en assurer la surveillance et la sécurisation. Le fait de sécuriser un réseau est une bonne alternative pour protéger vos données sensibles, par exemple. En ce qui concerne la surveillance, un proxy sert à enregistrer les historiques de navigation des employés, mais dans ce cas-là, il est toujours recommandé de les informer de l’existence d’un tel système.
En fait, vous avez le droit d’instaurer des logiciels de surveillance pour les connexions de vos employés. Toutefois, vous devez déclarer cela préalablement à la Commission nationale de l’informatique et des libertés (CNIL). Au-delà de la simple surveillance et de l’enregistrement des données de navigation, vous pouvez également utiliser un logiciel qui permet d’analyser, poste par poste, les activités en ligne de vos employés, à condition que vous ayez informé au préalable ces derniers. Sachez également que la consultation des e-mails de vos employés est strictement encadrée.
Définir un code de bonne conduite
Même si l’utilisation d’un filtre web est une solution performante et radicale pour restreindre l’accès des employés au réseau Internet, la communication et la négociation sont également des moyens efficaces à privilégier.
En effet, en informant les employés sur les réels dangers de la mauvaise utilisation d’Internet au sein de l’entreprise, ils pourront mieux éviter les pièges tendus par les cybercriminels. Car, il faut se l’avouer, certains membres de votre personnel ne sauront pas toujours qu’ils sont attirés dans un piège et qu’ils sont victimes de leur naïveté.
L’objectif de la sensibilisation est donc de rendre tous les utilisateurs responsables de leur navigation.
Pour cela, différentes actions peuvent être mises en place. Ainsi, il est possible d’instaurer des réunions d’information telles que des ateliers, des séminaires ou des réunions du comité d’entreprise.
Ce sont des occasions pour rencontrer les représentants du personnel ou les employés eux-mêmes afin de trouver un terrain d’entente sur les conditions d’usage d’Internet au sein de l’entreprise.
Il est très important d’informer les salariés des mesures qui seront prises pour éviter qu’ils ne cherchent des moyens pour contourner les restrictions qui seront mises en place.
Vous pouvez également élaborer un code de bonne conduite en définissant le type de contenu interdit au travail, les règles d’usage de la messagerie électronique, etc. Ce code devra être ensuite diffusé dans toute l’entreprise (dans le règlement intérieur, le journal d’entreprise, sur le tableau d’affichage, dans un document envoyé par mail à chaque employé, etc.).
Avec ces différentes actions, vous impliquez tout le personnel de l’entreprise sans provoquer des tensions.
Limiter le temps d’utilisation d’Internet dans votre entreprise
Il s’agit d’une solution à l’amiable que vous pouvez définir avec vos employés. Il suffit de définir ensemble un temps limite d’utilisation extra-professionnelle de l’Internet. Vous pouvez, par exemple adopter une limite quotidienne de 30 minutes, soit une limite hebdomadaire de deux à trois heures par semaine.
Pour cela, vous pouvez utiliser des solutions logicielles simples. Ils vous permettent de restreindre le temps d’accès à Internet sur chaque PC, comme la consultation des messages instantanés. Pour installer ce type de logiciel, il faut que vous soyez un administrateur de chaque PC connecté à votre réseau. Ce dernier mettra en place un login et un mot de passe d’administrateur à chaque démarrage d’un PC pour filtrer non seulement les contenus qui peuvent être consultés par vos employés, mais aussi le temps d’accès à Internet.
Conserver les logs Internet
Le contrôle de l’accès à Internet dans l’entreprise peut être réalisé à travers plusieurs techniques.
L’employeur a la possibilité de surveiller les adresses IP de chaque poste, contrôler les postes à distance. Sur le plan juridique, le chef d’entreprise est considéré comme le fournisseur d’accès aux réseaux numériques à ses employés. Il engage donc une responsabilité à ce titre même si cette dernière est allégée.
En effet, cette responsabilité n’est pas uniquement réservée aux opérateurs de communication installés sur le marché.
C’est ce statut qui rend obligatoire la conservation des logs Internet de l’entreprise. La non-conservation de ces données est passible directement d’une sanction pénale, à travers une peine d’amende et même d’emprisonnement pour le chef d’entreprise négligent.
En tant qu’employeur, la Loi pour la confiance dans l’économie numérique (LCEN) vous considère comme un fournisseur d’accès aux réseaux numériques à vos employés, ce qui engage votre responsabilité, bien qu’elle soit atténuée. Cette responsabilité n’est pas uniquement réservée aux opérateurs de communications. Elle rend ainsi obligatoire la conservation des logs Internet par votre entreprise. En réalité, ces données doivent être conservées un an après leur date d’enregistrement.
Conclusion
Nul ne peut le nier, Internet est devenu un outil incontournable pour le bon fonctionnement de toute entreprise. Malheureusement, le fait de donner aux employés un accès illimité (ou non contrôlé) au web présente plusieurs inconvénients.
Le fait que les employés passent une grande partie de leur temps sur les médias sociaux (Facebook, Twitter, etc.), les sites d’achats en ligne et les applications de chat en direct ne peut que nuire à leur productivité sur le lieu de travail. D’une part, cela implique des comportements non productifs. D’autre part, l’utilisation d’Internet peut mettre à rude épreuve la consommation de bande passante et accroître les risques d’attaques de malwares sur le réseau informatique de leur organisation.
Selon des recherches menées par IDC, environ 40 % de l’activité réalisée par les employés sur Internet n’est pas liée au travail. Cela peut coûter des milliers d’euros en perte de productivité et en matière d’exposition accrue aux attaques cybercriminelles.
La vérité est que le filtrage de l’accès à Internet peut créer un environnement de travail répressif, ce qui nuit à la confiance et au moral des employés. Le mieux serait donc d’adopter une approche plus souple et surtout de déployer un filtre web efficace.
Vous ne savez pas exactement comment aborder la réalité des employés qui accèdent à des sites web non liés au travail ?
Contactez TitanHQ pour trouver des solutions de contrôle et de filtrage Internet
Le contrôle du contenu Internet est rapide, facile et peu coûteux avec WebTitan. Cette solution vous permet de restreindre facilement l’accès à Internet au travail et d’éviter les problèmes courants associés au filtrage web.
Cette couche de protection supplémentaire est fournie par TitanHQ, une enseigne dont le but est de rendre votre réseau plus sûr. Comme il est essentiel de disposer d’outils de sécurité pour la messagerie électronique et le web, nous vous proposons une solution facile à utiliser, robuste et efficace, que vous pouvez adopter sans compromettre les fonctionnalités de votre réseau. Nos spécialistes comprennent vos risques de sécurité et ils sont là quand vous avez besoin d’aide, afin que votre soit plus facile à réaliser.
Si vous souhaitez limiter l’utilisation personnelle d’Internet au travail, contactez TitanHQ dès aujourd’hui. Vous pouvez bénéficier de conseils professionnels et vous inscrire pour un essai gratuit.
Cela vous permettra d’évaluer la solution WebTitan dans votre propre environnement avant de l’adopter.
FAQ sur le contrôle d’internet en entreprise
Quelle différence entre contrôler, réguler, limiter et filtrer l’accès à Internet ?
Il existe deux principales méthodes qui permettent une meilleure utilisation d’Internet en entreprise.
La première étant de limiter le temps de navigation sur le web. La seconde consiste au filtrage des contenus auquel les utilisateurs peuvent accéder.
Comment limiter le temps d’utilisation d’Internet ?
Pour ce faire, vous pouvez opter pour une solution à l’amiable. Il vous incombe de définir avec vos employés un temps limite d’utilisation de l’Internet dans le cadre extra-professionnelle, mais ce n’est pas souvent la meilleure solution.
L’autre alternative est d’utiliser un logiciel ou un filtre web capable de restreindre le temps d’accès à Internet sur les ordinateurs utilisés au sein de votre entreprise.
Pourquoi le fait de limiter l’utilisation d’Internet à l’amiable est-il insuffisant ?
Si vous choisissez cette option, il est important d’établir une charte de bonne conduite.
Grâce à cela, vous allez pouvoir maintenir une relation saine avec vos employés. Il faudra miser sur la discussion avant l’action. La charte de bonne conduite doit être rédigée et transmise à tous les collaborateurs via un tableau d’affichage commun ou par le biais de l’intranet, entre autres.
N’oubliez pas toutefois qu’il est toujours possible qu’un employé soit victime d’une attaque de phishing ou télécharge des malwares par inadvertance.
Les pare-feu peuvent-ils vous aider ?
Il faut toujours être pragmatique. Vos employés naviguent sur des sites personnels avec leurs ordinateurs ou d’autres dispositifs professionnels.
Un pare-feu peut bloquer les contenus ou les serveurs suspects, mais le mieux serait d’utiliser un filtre de contenu web.
Qu’en est-il donc du filtrage de contenu web ?
Votre administrateur système peut mettre en place un filtre web, mais il est souvent plus pratique et moins onéreux de confier le filtrage des contenus web à des professionnels tiers.
Les contenus web peuvent être identifiés par leurs URL, les types de fichiers ou les mots-clés.
Vous êtes libre de déterminer les sites interdits d’accès, par exemple, lorsque l’un de vos employés fait des recherches en ligne. Le filtrage par type de fichier vous permet également d’interdire le téléchargement des fichiers malveillants selon leur nature.
