La crise sanitaire a introduit un nouveau mode de travail, qui a été le quotidien de nombreux français durant les derniers mois, et qui pourrait bien perdurer : le télétravail. Bien qu’il présente certains avantages, le télétravail présente d’importants risques en termes de cybersécurité. À quels risques sont exposés les entreprises et comment peuvent-elles se protéger ?
Être bien équipé pour assurer la cybersécurité en entreprise
La rapidité avec laquelle le télétravail a été instauré a obligé aux entreprises et aux salariés à s’adapter. Avec le télétravail, ce sont toutes les informations des entreprises qui doivent être accessibles à distance pour que chacun soit en mesure d’effectuer son travail. La grande majorité des employés a donc été obligée d’utiliser ses équipements personnels pour travailler. On estime qu’encore un Français sur deux utilise son propre équipement pour télétravailler. C’est précisément en ce point que la sécurité informatique des entreprises est menacée. Comme nous l’apprend l’entreprise de cybersécurité Serenicity, les failles de sécurité sont bien plus nombreuses car le système de sécurité des équipements personnels des employés ne sont pas nécessairement performants ni mis à jour.
Les salariés utilisent donc leur ordinateur à des fins professionnelles et personnelles. Les foyers possèdent de plus en plus d’appareils connectés, avec parfois l’usage d’un même appareil par différents membres du foyer. La menace cyber augmente avec le télétravail car les pirates informatiques ont plus de moyens de contaminations à disposition. Chaque poste de travail peut être une porte d’entrée pour les hackers.
Les pratiques à risques liées au télétravail
La cybersécurité des entreprises est donc mise à mal par la pratique du télétravail car les cyberattaques sont plus facilement réalisables par le biais des appareils personnels des salariés. Les hackers peuvent donc subtiliser à la fois les informations privées stockées sur leur ordinateur et des informations professionnelles en se connectant au réseau des entreprises. Par exemple, on constate une hausse significative de « rançongiciels ». Ce sont des logiciels qui cryptent les données stockées sur les réseaux informatiques afin de les « prendre en otage ». Et le prix des rançons est généralement très élevé. De nouveaux logiciels malveillants sont apparus et le nombre de menaces a augmenté.
Plus concrètement, comment les pirates informatiques s’y prennent-ils ? Par la pratique du phishing, c’est-à-dire la mise en circulation de sites d’hameçonnage. L’hameçonnage est une technique malveillante qui consiste à faire croire aux internautes qu’ils sont sur un site qu’ils connaissent afin qu’ils communiquent des informations personnelles clefs (identifiant, mot de passe, numéro de carte bleue…). Par l’authentification des individus ou par le téléchargement de logiciels malveillants, les hackers sont capables de récupérer données personnelles et confidentielles. Ces données peuvent être revendues ou utilisées pour s’introduire dans les serveurs des entreprises. Même lorsque l’on est au courant de ces pratiques, il n’est pas si simple de les éviter. Les pirates redoublent d’inventivité et de technicité pour créer des sites web crédibles accompagnés de messages alertants ou engageants.
Le renforcement des mesures de sécurité
Pour assurer leur cybersécurité, les entreprises et les collaborateurs doivent adopter les bons comportements. Les différents systèmes et logiciels sollicités doivent être régulièrement mis à jour et doivent contenir des mises à jour de sécurité, l’externalisation des données doit être surveillée, une politique de mot de passe forte doit être instaurée, des logiciels de protection des postes de travail doivent être activés, les données doivent être chiffrées, les disques durs peuvent être chiffrés…
Pour assurer la bonne mise en pratique des mesures de sécurité, les employés doivent tout d’abord être sensibilisés aux enjeux de la cybersécurité. En effet, un service de sécurité ne peut pas être totalement efficace si les collaborateurs ne comprennent pas le fonctionnement de la cybersécurité ou qu’ils ne sont pas correctement accompagnés. Des comportements simples comme verrouiller sa session de travail ou installer des filtres de confidentialité sur ses écrans afin que personne ne puisse jeter un regard indiscret, évitent de prendre des risques inutiles.
Maintenant que le télétravail s’est largement démocratisé et pour plus de sûreté, les entreprises peuvent fournir un poste de travail configuré par leurs services informatiques à leurs collaborateurs. Il y a ainsi beaucoup moins de risques de défaillances que sur l’équipement principal du salarié. Autrement, il est possible pour les entreprises de donner l’accès à une plateforme qui permet à l’employé de directement travailler sur l’environnement de son employeur, comme s’il était au bureau. Bien sûr, adopter une de ces deux solutions ne change pas le fait que les collaborateurs ont parfois besoin de plusieurs outils de travail (téléphones, tablettes…) qui utilisent différents systèmes d’exploitation et qui sont connectés à un Wi-Fi personnel. De telles mesures ne suffisent donc pas à assurer une cybersécurité optimale.
Les pistes d’amélioration pour une meilleure cybersécurité
Récapitulons les différentes actions concrètes que peuvent effectuer les employés lorsqu’ils sont amenés à travailler sur leur poste personnel dans le cadre du télétravail.
- Faire les mises à jour. Chacun doit vérifier sur son ordinateur que les mises à jour ne sont pas désactivées de sorte à ce que la machine puisse les détecter, les notifier et les installer.
- Installer un antivirus. L’installation d’un antivirus est essentielle pour contrer les cyberattaques de toutes sortes. Il faut s’assurer qu’il soit activé et mis à jour. Dans le cas contraire il ne sera pas en mesure de produire d’analyses performantes.
- Attention aux antivirus gratuits. Les antivirus gratuits ne sont généralement pas les plus performants et peuvent parfois eux-mêmes contenir des logiciels malveillants.
- Attention aux téléchargements. Des logiciels espions peuvent se cacher dans les logiciels ouverts aux téléchargements. Il est utile de lire les avis, regarder le nombre de téléchargements, et évaluer la popularité des sites au préalable.
- Utiliser des sessions différentes. Les collaborateurs peuvent créer une session sur leur ordinateur pour un usage strictement professionnel. Cette session peut être configurée en compte utilisateur, et non administrateur, car c’est ce dernier qui est nécessaire pour pouvoir installer des logiciels. Cela peut donc empêcher l’installation de virus non-désirés.
- Avoir une politique de mot de passe forte. Pour ce faire, l’utilisateur doit avoir un mot de passe différent dans le cadre personnel et dans le cadre professionnel. Aussi, il est toujours préférable de ne pas autoriser son navigateur à mémoriser ses mots de passe lorsqu’ils réfèrent à des informations sensibles. Bien sûr, les mots de passe complexes avec différents tailles de caractères et de symboles sont à largement privilégier. Une autre pratique de plus en plus populaire est l’’authentification à deux facteurs qui permet de sécuriser l’accès au compte de l’utilisateur au cas où le mot de passe aurait été trouvé.
- Attention aux échanges d’information. Bien que les mails soient très souvent utilisés dans le cadre professionnel, ils ne sont pas faits pour s’échanger des informations confidentielles. Ils peuvent très facilement être interceptés. Il faut préférer des outils collaboratifs configurés par les services informatiques de l’entreprise.
- Utiliser un VPN. Les VPN permettent de masquer votre IP, assurer votre protection lorsque vous utilisez un réseau Wi-Fi inconnu ou encore, et bien d’autres.
Pour limiter les risques liés au télétravail, les employeurs comme les employés doivent œuvrer en faveur de la cybersécurité. Il est de la responsabilité de l’entreprise de mettre à disposition des collaborateurs les moyens nécessaires et de les sensibiliser aux risques liés. En effet la cybersécurité est l’affaire de tous et c’est le seul moyen par lequel les cyberattaques pourront être détournées.