Le télétravail, votre entreprise en parle probablement depuis des années et certains employés se sont renseignés à ce sujet.
De nombreuses entreprises avaient déjà mis en place des programmes de travail à domicile à petite échelle. Dans certains cas, il était tout simplement logique qu’une partie du personnel travaille à distance de façon permanente. Dans d’autres cas, la direction avait autorisé certains employés à travailler à domicile un jour par semaine dans le but d’améliorer le taux de rétention du personnel.
Mais tout a changé en l’espace d’un mois environ et il est peut-être temps de passer aux choses sérieuses. En cette période difficile, notamment à cause du coronavirus, les entreprises doivent encourager, voire forcer leurs employés à travailler à domicile afin de les protéger du virus.
La planification du télétravail est primordiale
Il est facile de se laisser prendre par l’hystérie du Coronavirus, comme en témoignent les rayons vides des épiceries. Comme les choses se vont si vite, votre capacité à vous préparer à un tel évènement est courte. Pourtant, il est impératif de bien planifier la mise en œuvre de votre télétravail et de vous assurer que vous le faites correctement.
Ne vous contentez pas d’envoyer vos utilisateurs travailler à domicile avec leur ordinateur portable en espérant qu’ils vont agir de manière responsable.
En réalité, ils devront sortir des limites de la sécurité de l’entreprise et risqueront de travailler dans des environnements non sécurisés. Il incombe donc aux services informatiques internes de les protéger ainsi que leurs appareils pendant une certaine période.
Il leur incombe également de mettre en quarantaine toute apparition de code malveillant en provenance de l’entreprise au cas où les appareils des utilisateurs seraient infectés pendant cette période.
Chaque compte utilisateur auquel est attribué un accès à distance ouvre un point de vulnérabilité supplémentaire. Votre rôle est donc de vérifier que toutes les applications et ressources nécessaires sont accessibles de l’extérieur.
Préparer des fiches de formation
Si vous êtes comme beaucoup d’entreprises qui ont repoussé leur formation à la cybersécurité pour « plus tard », eh bien, sachez que ce « plus tard » doit être aujourd’hui.
Vous devez envisager d’envoyer des rappels quotidiens par e-mail et de courtes vidéos qui enseignent aux employés comment détecter et traiter le phishing et d’autres formes d’attaques d’ingénierie sociale. Les utilisateurs doivent être dissuadés de se connecter à des réseaux publics ou ouverts.
Ceux qui travaillent à domicile devraient être encouragés à créer un réseau distinct chez eux pour isoler davantage leurs données s’ils savent comment faire.
Rappelez à vos employés de ne pas partager leur connexion avec d’autres personnes (même à leur famille) et de télécharger dès à présent tout fichier de travail sur leurs appareils distants ou leur stockage personnel, sauf autorisation de leurs supérieurs.
Créer des points de communication
Une fois que vos employés travaillent à leur domicile, sachez qu’ils vont être seuls là-bas.
Il faut donc leur donner un moyen de se rendre facilement sur place pour répondre à leurs préoccupations et à leurs questions en matière de sécurité. Envisagez également de créer un e-mail facile à retenir, tel que security@companyname.com ou cybersecurity@companyname.com, qu’ils pourront facilement contacter à tout moment en interne.
En outre, veillez à ce que le personnel informatique soit capable de surveiller les e-mails provenant des employés pendant les heures normales d’ouverture de votre bureau.
Cybermenaces liées aux coronavirus
Malheureusement, les cybermenaces liées aux coronavirus ont connu un énorme pic au cours des dernières semaines.
Ces attaques tournent principalement autour du phishing et des malwares et sont de plus en plus sophistiquées. Le fait est que vos employés doivent travailler dans des environnements non sécurisés. Il incombe donc aux services informatiques internes de les protéger et de sécuriser leurs appareils pendant cette période de séparation.
C’est là que nos deux technologies deviennent essentielles. Cette année, nous avons constaté une demande massive concernant notre couche de sécurité des e-mails, SpamTitan. Il s’agit d’une solution idéale pour protéger les étudiants et le personnel des entreprises contre les nouvelles variantes d’attaques de phishing.
Si l’on ajoute à cela notre produit de sécurité DNS basé sur l’intelligence artificielle, WebTitan, on obtient une couche de protection pour tous les étudiants et votre personnel qui permettent de protéger leurs dispositifs connectés à Internet.
En tant que dirigeant d’entreprise, vous devriez donc déployer ces solutions de manière transparente pour vos employés distants.
Basée dans le cloud, SpamTitan Cloud se présente comme une solution puissante de sécurité de la messagerie électronique et protège votre entreprise contre toute une variété des menaces lancées via les e-mails. SpamTitan dispose de capacités avancées de détection des menaces qui lui permettent de reconnaître les menaces connues et les menaces de type « zero-day », le spear phishing, les malwares, les réseaux de botnets et les ransomwares.
SpamTitan peut également s’assurer que les menaces n’atteignent jamais les boîtes de réception de vos employés. En outre, SpamTitan Cloud peut scanner les messages électroniques sortants pour détecter le spamming et la distribution de malwares, tout en améliorant la protection contre les menaces internes grâce à des balises pour les données sensibles.
WebTitan Cloud est une solution de filtrage DNS qui offre une protection contre les attaques basées sur le web pour les utilisateurs travaillant sur le réseau ou en dehors de votre entreprise. Comme il s’agit d’une solution basée dans le cloud, il n’est pas nécessaire d’acheminer le trafic vers le bureau pour appliquer les contrôles de filtrage.
Comme le filtre est basé sur le DNS, il est possible de fournir un accès Internet filtré à vos employés, sans aucune latence. Des contrôles peuvent facilement être appliqués pour restreindre l’accès à certains types de sites web afin d’empêcher le cyberslacking – c’est-à-dire l’utilisation accrue de l’internet sur les ordinateurs des entreprises par les employés pour leur usage personnel ou pour leur divertissement – et de bloquer les menaces de cybersécurité et les téléchargements de malwares.
Ces deux solutions sont faciles à mettre en œuvre. Elles ne nécessitent aucune intervention d’un responsable informatique au sein de votre entreprise, et peuvent être configurées pour protéger vos employés en quelques minutes. Elles sont également disponibles en version d’essai gratuite si vous souhaitez évaluer les solutions avant de vous engager dans un achat.
Le cas des VPN
Il est fort probable que vos utilisateurs se connectent à votre réseau d’entreprise par le biais d’un réseau privé virtuel (VPN). De nombreuses entreprises ont réservé le VPN au personnel de support, de sorte que le nombre d’utilisateurs du VPN a été négligeable. Ce nombre va maintenant augmenter de manière spectaculaire. Voici donc quelques éléments que vous devez prendre en considération.
Assurez-vous que votre pare-feu comporte une zone séparée pour le VPN et sécurisée par des règles. Ces politiques devraient restreindre l’accès des appareils distants à des zones désignées. Assurez-vous que tout le trafic passant par cette zone est protégé avec le moteur antivirus du pare-feu et qu’il soit surveillé par son fournisseur d’accès interne.
Pour les ordinateurs portables qui sont inscrits à une solution de gestion de terminaux mobiles (MDM), vous pouvez installer un client VPN via le portail de gestion. Sinon, installez et testez la fiabilité de la solution avant le départ de vos employés.
Chiffrez et protégez toutes les données
Toute machine quittant le périmètre sécurisé de l’entreprise doit être munie d’un dispositif de chiffrement pour éviter la divulgation des données en cas de vol ou de perte de l’appareil. Pour les périphériques Windows 10 fonctionnant sous les éditions Pro, Enterprise et Éducation, cela se fait facilement en activant BitLocker.
Vous pouvez activer BitLocker par le biais de la politique de groupe lorsque le périphérique est encore en cours d’utilisation ou par une solution MDM à distance.
Vous pouvez également envisager une politique qui oblige vos employés à utiliser le stockage dans le cloud qui leur a été attribué, car celui-ci est chiffré et est en conséquence plus sûr.
Activer ou étendre l’AMF
Si vous n’avez pas encore choisi l’authentification multifacteur (AMF), c’est le moment de le faire.
La plupart des systèmes VPN de pare-feu ont des fonctionnalités d’AMF intégrées. Celles-ci devraient être activées pour les services dans le cloud comme Office 365.
Vous devriez même envisager l’AMF pour les conférences web afin d’éviter que les menaces ne tombent sur votre entreprise.
Sécurité de la messagerie électronique et des emails
La messagerie électronique a été le principal mode de diffusion des attaques de malwares et cela ne changera certainement pas.
Comme les gens sont particulièrement vulnérables aux attaques de phishing en temps de crise et d’inquiétude, les attaques concernant le coronavirus vont sans aucun doute augmenter.
Une solution de sécurité des e-mails basée dans le cloud, telle que SpamTitan, est le moyen le plus efficace de protéger les boîtes de réception de vos utilisateurs, qu’ils travaillent sur site ou hors site.
SpamTitan est une solution avancée de filtrage des e-mails qui fonctionne de manière transparente avec Office 365 pour améliorer les taux de détection du spam et pour bloquer davantage les menaces cybercriminelles. SpamTitan utilise des techniques prédictives pour bloquer les nouvelles variantes de malwares, le spear phishing et les attaques de type « zero day » afin d’empêcher ces menaces d’atteindre les boîtes de réception des utilisateurs finaux.
Le coronavirus ne vous exempte pas de l’obligation de conformité
Ce n’est pas parce que vos ordinateurs ont déménagé que vous êtes exemptés de l’obligation de conformité telle que stipulée par l’HIPAA ou le RGPD. Les solutions proposées par TitanHQ vous permettent de trouver un équilibre entre le maintien de la sécurité, la conformité et les exigences de la HIPAA, une loi qui établit la norme en matière de protection des données sensibles des patients.
Nous développons des solutions de sécurité web pour les établissements de santé du monde entier. C’est une excellente alternative si vous travaillez avec une équipe qui intervient dans des domaines clés. Elles vous permettent, par exemple, de vous conformer à la nécessité d’une sécurité robuste, aux exigences en matière de traitement des informations sensibles des patients et à d’autres normes et lois réglementaires.
Les organisations qui doivent se conformer aux règles de conformité sont toujours tenues de respecter les mesures minimales nécessaires lors du traitement des données personnelles des patients, des clients et des tiers. Vous pouvez consulter les sites web des autorités compétentes de votre pays pour obtenir des mises à jour et des conseils.
Enfin, TitanHQ vous recommande de rester vigilants et attentifs quant à la sécurité de vos données sensible pendant cette période difficile. Alors, restez en sécurité !