Le passage au télétravail suscite d’innombrables questions et défis, dont beaucoup sont centrés sur la recherche d’une solution de cybersécurité des employés et des appareils. Selon EY, l’un des plus importants cabinets de conseil et d’audit financier au monde, 77 % des organisations souhaitent aller au-delà des protections de base en matière de cybersécurité.
Sarah McNabb, conseillère en technologies numériques chez Enterprise Ireland UK, a déclaré :
La cybersécurité est donc devenue un problème au niveau des conseils d’administration des entreprises. Si autrefois, il s’agit d’un problème réactif, actuellement elle est rapidement devenue un problème proactif, car les entreprises font la course pour s’assurer que les appareils sont sûrs et que les connexions WiFi à domicile sont sécurisées.
Les employés, quant à eux, sont bien formés et comprennent les risques de phishing et de cyberattaques.
En ces temps incertains, les entreprises irlandaises de cybersécurité proposent des solutions innovantes pour relever le défi de la gestion d’une main-d’œuvre à distance. Nombre d’entre elles sont gratuites ou ouvertes à tous, y compris :
- Le centre de travail à distance sécurisé du CWSI,
- Les tests et formations gratuits de Cyber Risk Aware sur le phishing par Covid-19,
- L’essai gratuit de l’outil Privacy Engine de Sytorus.
Lisez la suite pour découvrir les meilleures pratiques et les conseils de certaines entreprises irlandaises qui peuvent aider vos employés à travailler de chez eux en toute sécurité.
Ce que vous devez d’abord savoir sur les risques du télétravail et de la cybersécurité
Si la mise en œuvre du télétravail n’est pas maîtrisée, elle peut augmenter considérablement les risques de sécurité pour les organisations qui y recourent. La raison est que cette nouvelle pratique a impliqué la désorganisation, la dématérialisation des procédures et la confusion des entreprises, d’autant plus que les cyberattaques s’intensifient de jour en jour.
Les pirates informatiques trouvent toujours de nouvelles tactiques pour cibler les entreprises. Parmi celles-ci, on peut citer le phishing dont le but est de dérober des informations confidentielles ; l’utilisation de ransomwares qui engendrent la réclamation d’une rançon pour récupérer des données chiffrées ; le vol de données et les faux ordres de virement.
Les contacts physiques quotidiens entre les travailleurs distants avec leurs collègues sont désormais limités, voire presque inexistants. Ils deviennent donc moins enclins à discuter des menaces cybercriminelles ou d’alerter leur entreprise lorsque c’est nécessaire. Par conséquent, ils deviennent la proie de différentes sortes d’attaques.
En mai 2020, la plateforme de gestion des identités, OneLogin, a publié le résultat d’une étude menée auprès de 5 000 salariés qui travaillent à distance dans cinq pays, à savoir l’Allemagne, la France, les États-Unis, le Royaume-Uni et l’Irlande.
La conclusion de ladite étude est surprenante : environ une personne sur cinq a affirmé avoir partagé le mot de passe de son ordinateur professionnel avec ses enfants ou son conjoint. L’autre fait plus inquiétant est que 36% des personnes ayant répondu à l’enquête ont affirmé ne pas avoir modifié le mot de passe de leur réseau Wifi personnel depuis plus d’un an, ce qui représente un véritable risque en matière de cybersécurité.
Il est fort probable que les entreprises continueront à adopter le principe du travail à distance après la pandémie du Covid-19. Si cela se confirme, beaucoup d’entre elles risquent de mettre en danger leurs données sensibles lorsque les employés distants vont utiliser leurs dispositifs appareils personnels à des fins professionnels, ou l’inverse.
Les recommandations des cinq entreprises irlandaises suivantes ont pour objectif de synthétiser les différentes préconisations qui vous permettront de protéger vos données face au recours massif au télétravail.
Sécurité du télétravail : pourquoi avons-nous choisi de demander conseils à des professionnels irlandais ?
L’Irlande est devenue incontournable quand on parle de solutions de cybersécurité. La plupart des responsables de la sécurité informatique se tournent vers ce pays pour trouver des solutions fiables pour protéger leur réseau et leurs données contre les menaces en ligne.
Selon Pat O’Grady, haut responsable de la société de cybersécurité Enterprise Ireland, il y a trois très bonnes raisons à cela : le talent, l’innovation et la confiance. Ce professionnel a souligné que l’Irlande est devenu l’un des pôles mondiaux majeur de la cybersécurité, abritant plus d’une cinquantaine d’entreprises de premier plan qui interviennent dans le domaine.
Cette compétence en cybersécurité résulte de la collaboration du gouvernement, des entreprises et des universités pour atteindre des objectifs précis. Parmi ces objectifs, on cite par exemple la mise en place d’un pôle de cybersécurité de classe mondiale. Grâce à cette collaboration, le pays a pu attirer les cinq premières sociétés de développements de logiciels de sécurité au monde et est devenu un vivier international de cybertalents.
Il nous paraît donc évident de s’intéresser aux expériences des quelques entreprises irlandaises leaders en la matière pour parler de la sécurité des travailleurs distants. Rappelons que l’Irlande a été l’un des pays en retard au sujet du télétravail, mais avec la pandémie, le nombre d’Irlandais qui travaillent à la maison a plus que triplé, atteignant ainsi le taux le plus élevé en Europe, avant la France et après la Belgique.
Voici donc les cinq conseils fournis par TitanHQ, Edgescan, CWSI, Cyber Risk Aware et Sytorus :
Conseil N° 1 – la solution de cybersécurité TitanHQ préconise la protection de l’enseignement supérieur et des entreprises
Selon Ronan Kavanagh, PDG de TitanHQ, outre les entreprises qui doivent soudainement permettre le travail à distance, les universités et les établissements d’enseignement supérieur qui sont contraints de faciliter les cours et les études à distance doivent également être attentifs aux cybermenaces liées aux coronavirus.
TitanHQ est une entreprise SaaS de filtrage du web, de sécurité et d’archivage des e-mails, plusieurs fois récompensée.
Ronan Kavanagh a déclaré :
Cette année, nous avons constaté une demande massive pour deux produits en particulier qui peuvent être déployés de manière transparente sur des appareils distants.
Il s’agit de la sécurité des e-mails dans le cloud SpamTitan, qui protège les étudiants et le personnel contre les dernières itérations d’attaques de phishing.
L’autre solution est WebTitan, un produit de sécurité DNS basé sur l’intelligence artificielle. Ensemble, ces deux solutions de sécurité créent une couche de protection pour tous les étudiants et le personnel qui souhaitent mettre leurs appareils à l’abri des menaces cybercriminelles.
Conseil N° 2 – Edgescan souligne l’importance de la surveillance continue des menaces
Selon le PDG et fondateur d’Edgescan, Eoin Keary, le travail à distance doit se faire via un VPN ou une solution similaire pour garantir des communications chiffrées et sécurisées.
Edgescan est un fournisseur de service de gestion de la vulnérabilité (SaaS) primé et l’un des plus grands exportateurs irlandais de solutions de cybersécurité.
Edgescan a déclaré :
L’accès aux systèmes de réseau dans les bureaux doit être basé sur le principe du moindre privilège et si votre organisation dispose d’un serveur d’authentification de réseau (NAS), assurez-vous qu’il est configuré et activé de manière appropriée.
Il a rajouté que des correctifs et des mesures antivirus appropriés devraient également être activés sur les ordinateurs des employés afin d’empêcher les virus de se propager dans le réseau de votre entreprise une fois que les utilisateurs sont de retour au bureau après avoir travaillé à distance.
Edgescan aide ses clients du monde entier à comprendre, à hiérarchiser et à atténuer les risques de cybersécurité en permanence, y compris lorsque les bureaux sont fermés et que les employés travaillent à distance.
Conseil N° 3 – CWSI insiste sur la nécessité de garantir la mobilité sécurisée des entreprises
Les règles régissant la sécurité des données et la cybersécurité ne disparaissent pas simplement parce que les gens doivent changer leur façon de travailler, explique Philip Harrison, directeur technique et cofondateur de CWSI.
Cette marque est spécialisée dans les solutions de sécurité pour les appareils mobiles et la main-d’œuvre. Elle travaille avec de nombreuses grandes organisations depuis ses bureaux à Dublin et à Londres.
Philip Harrison a déclaré :
Les cybercriminels et les pirates informatiques ne font certainement pas une pause pour nous permettre de nous adapter aux nouvelles menaces, ce qui rend les entreprises plus vulnérables que jamais.
Un des principes fondamentaux de tout système de gestion de la sécurité de l’information est de faire en sorte que votre sécurité ou votre conformité ne soit pas affaiblie lors d’un scénario de continuité des activités ou de reprise après sinistre ».
Il a rajouté que l’authentification à deux facteurs est essentielle pour protéger les données des entreprises. Celles-ci doivent également s’assurer que les appareils mobiles sont sécurisés par une solution de défense comme une solution MTD (Mobile Threat Defense).
Les employés devraient être encouragés à signaler les incidents de sécurité aux services informatiques et à veiller à la sécurité des données lorsqu’ils travaillent à domicile, même par des mesures simples comme le verrouillage de leurs écrans lorsqu’ils ne les utilisent pas.
Conseil N° 4 – Cyber Risk Aware recommande la formation sur la cybersécurité en temps réel
Selon le PDG et fondateur de Cyber Risk Aware et ancien responsable de la sécurité de l’information (CISO), Stephen Burke, l’utilisation de VPN et d’applications patchées sur des appareils chiffrés et à jour est essentielle pour la sécurité des travailleurs à distance.
Il a déclaré :
Ces dispositifs devraient être fournis par l’entreprise, avec des fichiers et des données chiffrés et protégés par un mot de passe. Je sais ce que c’est que d’être à l’intérieur et de défendre un réseau.
Les comptes et les dispositifs personnels peuvent vraiment rendre une entreprise peu sûre et vulnérable aux cyberattaques.
Il a rajouté que des lignes de communication claires et sécurisées sont aussi essentielles, les entreprises devraient donc éviter les canaux tels que les médias sociaux et Whatsapp lorsqu’elles travaillent avec des données sensibles.
De même, elles doivent éviter l’utilisation de technologies matérielles et logicielles par les employés d’une entreprise sans l’accord de la direction (Shadow IT) ou le téléchargement et l’utilisation non autorisés de logiciels et de systèmes.
Cyber Risk Aware est la seule entreprise au monde à proposer une plate-forme de formation en temps réel à la sensibilisation à la cybersécurité. Elle aide les entreprises du monde entier à évaluer et à atténuer les risques humains liés à la cybersécurité, qui sont à l’origine de plus de 90 % des incidents de sécurité, en simulant des attaques de phishing, en évaluant les connaissances en matière de cybersécurité afin de localiser les risques au sein d’une entreprise et en fournissant, si nécessaire, un contenu de formation à la sensibilisation à la sécurité.
Conseil N° 5 – Sytorus préconise la mise en place d’une politique d’accès à distance
Selon John Ghent, PDG de Sytorus, les entreprises et les organisations du monde entier recherchent de toute urgence des informations sur la manière de réduire au minimum le risque de violation de données ou de piratage des employés travaillant à domicile. En effet, sa société propose une plateforme SaaS de gestion de la vie privée et est un leader mondial du marché de la protection des données et de la gestion de la vie privée.
Il a déclaré :
De nombreuses personnes travaillant depuis peu à domicile sont susceptibles d’avoir des téléviseurs intelligents, des plateformes de jeux et des routeurs sans fil, et certaines ont également installé des dispositifs IoT (Internet des objets).
Tous ces éléments peuvent renforce la complexité du défi de la sécurité et les vulnérabilités du réseau, d’autant plus que les réseaux domestiques ne sont généralement pas suffisamment protégés.
Ghent conseille aux organisations de mettre à jour leur politique d’accès à distance ou d’en élaborer une si aucune n’est en place.
Celles-ci doivent également s’assurer que tout le personnel suit un programme complet de sensibilisation à la cybersécurité, couvrant des sujets tels que les malwares, la politique d’utilisation acceptable de l’Internet et la sécurité des appareils et le risque élevé de menaces de phishing liées à Covid-19 diffusées via les e-mails.
En résumé, voici le rôle des entreprises pour protéger les télétravailleurs
Les différents conseils susmentionnés riment parfaitement avec les recommandations de la Commission nationale de l’informatique et des libertés (CNIL). En ce qui concerne les obligations des entreprises qui employant des collaborateurs distants, nous pouvons donc les résumer avec les quelques règles et bonnes pratiques suivantes :
- Mettez en place une charte de sécurité pour le télétravail. Le cas échéant, établissez de règles minimales à respecter qui doivent être communiqués à tous les collaborateurs.
- Au cas où vous seriez obligé de modifier les règles de gestion de votre système d’information dans le cadre du télétravail, mesurez d’abord les risques encourus et appliquez les mesures nécessaires pour garantir le niveau de sécurité de vos données.
- Les postes de travail de vos employés distants doivent être dotés d’un pare-feu, d’une solution anti-virus et d’un outil permettant de bloquer l’accès aux sites malveillants.
- Utilisez un VPN pour éviter l’exposition directe de vos services sur le web (si possible, activez toujours l’authentification à deux facteurs du VPN).
- Vos salariés doivent disposer d’une liste d’outils de travail collaboratif et de communications appropriés au télétravail. Ces outils doivent garantir la confidentialité et la sécurité des échanges et des données partagées.
- Si vos services sont accessibles via Internet, vous devriez utiliser des protocoles qui garantissent la confidentialité ainsi que l’authentification du serveur destinataire. Les sites web doivent par exemple utiliser le protocole HTTPS. Pour le transfert de fichiers, optez pour les versions les plus récentes du protocole SFTP. N’oubliez pas d’appliquer les derniers correctifs de sécurité à tous les logiciels et équipements que vous utilisez. Tenez-vous au courant des dernières vulnérabilités sur ces logiciels et des moyens pour s’en prémunir. Utilisez l’authentification multi-facteurs sur les services accessibles à distance et limitez le nombre de services que vous mettez à disposition de vos employés pour limiter les risques d’attaques cybercriminelles.
Six choses que les travailleurs distants ne doivent pas faire
Même si les télétravailleurs sont informés sur les risques potentiels en matière de sécurité et les politiques d’utilisation de l’Internet imposées par leur entreprise, il n’est pas rare qu’ils fassent des choses qu’ils n’auraient pas dû faire. Souvent, ils peuvent enfreindre une règle dans le seul but de faire leur travail ou pour d’autres raisons personnelles.
C’est pourquoi nous avons une liste non exhaustive de choses qu’ils ne doivent pas faire, que ce soit par inadvertance ou intentionnellement, pour éviter les mauvaises surprises.
Entre autres, vos collaborateurs distants ne devraient pas :
- laisser les membres de leur famille utiliser leurs ordinateurs professionnels. En réalité, un ordinateur qui est utilisé pour le travail ne doit avoir qu’un seul utilisateur, c’est-à-dire l’employé. Plus il y a d’autres personnes qui utilisent l’appareil, plus les chances qu’il soit infecté par un malwares ou que des informations sensibles de l’entreprise soient accidentellement divulgués.
- Installer des logiciels qui ne sont pas autorisés par leur organisation ou utiliser leurs ordinateurs pour visiter certains sites web inappropriés pour leur travail.
- utiliser une connexion sans fil non sécurisée, ce qui est souvent le cas lorsqu’un employé distant utilise le Wi-Fi public d’un café, d’une bibliothèque, etc. En effet, il n’est pas rare que le réseau sans fil à domicile présente des failles de sécurité. Si vous n’êtes pas certains qu’il est sécurisé, utilisez donc la connexion par câble.
- oublier de sauvegarder les informations sensibles.
- modifier les paramètres d’administration ou de sécurité mis en place par leur organisation, car ces paramètres sont généralement destinés à protéger les données confidentielles.
- divulguer les informations sensibles de leur entreprise à des non-employés. Certains individus aux intentions malveillantes ou non seront curieux de regarder ce qui se trouve sur votre écran d’ordinateur, les types de données que vous traitez, etc. Quand vous avez fini d’utiliser votre appareil, n’oubliez pas de l’éteindre. Vous devez également faire de même pour votre box Wi-Fi afin d’éviter les intrusions sur votre réseau, car la connexion internet reste toujours vulnérable même si l’ordinateur est éteint.
Même si les entreprises doivent actuellement se tourner vers le télétravail, sachez que cette nouvelle pratique comporte des avantages à la fois pour l’employeur et les salariés. Nous espérons que ces quelques conseils des professionnels irlandais permettront aux entreprises de pallier aux lacunes dans leur sécurité informatique. En respectant les autres recommandations que nous avons fournies, les employés distants pourront également protéger leurs renseignements personnels et ceux de leur organisation lorsqu’ils travailleront dans leur nouveau bureau.