Télétravail : nos recommandations pour une sécurité informatique sans faille !

Un contexte à risque pour les entreprises et leur sécurité informatique

La crise sanitaire liée au Covid-19 a instauré une situation inédite pour les employeurs et leurs salariés développant ainsi les usages numériques à distance via le télétravail. Ce dernier a d'ailleurs permis de maintenir l'activité des entreprises lors des périodes de confinement. Mais dans l'urgence, certains points ne peuvent être maîtrisés et la sécurité des systèmes d'information peut être compromise.

Le télétravail est une pratique gagnant-gagnant entre le salarié et l'employeur. Lors de sa mise en place il faut veiller à certains points. Dans cet article, je répertorie pour vous les impacts que peuvent avoir le télétravail sur le SI des entreprises et je vous partage les recommandations d'Axess pour le protéger que ce soit du côté de l'employeur ou du côté du télétravailleur.

Quels sont les dangers et impacts que le télétravail peut faire courir à votre système d'information ?

Cette situation représente une réelle opportunité pour les cybercriminels. En 2020, et notamment pendant les phases de confinement liées au Covid-19, ils ont profité de l'intensification des usages numériques, du développement rapide de la dématérialisation des procédures et de l'incertitude pour multiplier leurs attaques.

Parmi les cyberattaques répertoriées, voici celles qui ont été le plus pratiquées :

Les rançongiciels

Après intrusion sur le réseau de l'entreprise, soit via les accès à distance, soit via le matériel compromis d'un collaborateur, le cybercriminel chiffre, empêche l'accès aux données de l'entreprise, détruit les sauvegardes ou vole des données puis demande une rançon. Ce type de cyberattaque est redouté, car elle entraîne l'arrêt de l'activité de l'entreprise ou encore la perte de données.

Attaque semblable au rançongiciel, le vole de données. Le processus est le même mais l'objectif et les conséquences sont différents. Ici, le cybercriminel revend les données, fait "chanter" l'entreprise ou encore diffuse les données pour nuire à l'image de l'entreprise.

L'hameçonnage

Dans ce cas, le cybercriminel usurpe l'identité d'un tiers de confiance puis envoie un email, sms, chat... contenant bien souvent un lien ou une pièce jointe lui permettant d'entrer. L'objectif est de dérober des informations confidentielles telles que des mots de passe et informations personnelles ou bancaires. Les conséquences possibles de l'hameçonnage sont le piratage de compte de messagerie professionnelle, l'accès au système d'information de l'entreprise, intrusion sur le réseau de l'entreprise, fraude aux faux ordres de virement...

Les arnaques aux faux ordres de virement

Le cybercriminel usurpe l'identité d'un dirigeant, d'un fournisseur ou d'un collaborateur pour demander un virement confidentiel, exceptionnel et urgent ou un changement de RIB d'une facture ou d'un salaire. La demande s'effectue par téléphone ou email. Bien souvent, la majorité de ces attaques a lieu la veille de week-end et jours fériés pour accentuer le côté urgent et limiter les contrôles. Ici, les conséquences sont financières pour l'entreprise.

Pour éviter d'avoir affaire à ces cyberattaques voici nos recommandations côté employeur et télétravailleur.

Nos recommandations pour un télétravail et des données en sécurité

Côté employeur

Équipez vos collaborateurs d’équipements nomades professionnels et sécurisés

C’est même la toute première chose à faire, car laisser travailler ses salariés sur leur machine personnelle, c’est exposer son SI aux virus et au vol de données. En effet, souvent utilisé par toute la famille, l’ordinateur personnel permet de faire des achats en ligne, de naviguer sur le web, de consulter ses mails ou encore, de télécharger des fichiers multimédias. De quoi laisser passer bon nombre de logiciels malveillants.

Autre point, pensez à vérifier en amont avec vos futurs télétravailleurs qu'ils disposent bien d'une connexion internet significative, d'une pièce réservée pour le télétravail chez eux et d'une installation électrique aux normes.

Protégez votre infrastructure

Afin de réduire le risque d’intrusion au sein de votre SI, vous devez impérativement vous doter d’un anti-virus performant et vérifier que les terminaux utilisés par vos collaborateurs sont à jour. Quant à l’anti-spam, il permet de filtrer les mails reçus sur le serveur avant de les faire parvenir à leurs destinataires. Pour rappel, les attaques par hameçonnage ont explosé ces derniers mois, si bien qu’aujourd’hui, plusieurs spécialistes indiquent avoir rarement vu des campagnes de spams aussi importantes.

Sécurisez les accès à distance

Pour cela, l’utilisation d’un VPN est fortement conseillé. Cet outil permet de chiffrer les connexions externes et accès à distance et autorise l’accès au serveur qu’aux équipements et personnes authentifiés. Grâce à lui, vos collaborateurs pourront facilement travailler de chez eux sans pour autant compromettre la sécurité de votre entreprise.

Renforcez votre politique de gestion des mots de passe

Mettez en place une politique de renouvellement de mot de passe avec à minima les éléments suivants :

• 8 caractères minimum avec nombre et caractères spéciaux obligatoires
• Renouvellement tous les 3 mois avec conservation des 3 derniers historiques pour avoir un réel changement de mot de passe

Pour aller plus loin, nous vous conseillons fortement de pratiquer la double authentification notamment pour la messagerie et les applications stratégiques ouvertes sur Internet.

Sensibilisez vos télétravailleurs et mettez en place une charte

La sécurité passe également par l'humain et sachez que bon nombre de cybermenace finisse dans votre système d'information par inadvertance. Pour éviter cela, il faut que vos salariés adhèrent à cette problématique. La sécurité est toujours une contrainte car elle ajoute des procédures, mais il ne faut pas oublier que la survie de votre entreprise est peut-être en jeu.

Voici quelques éléments que vous pouvez mettre en place :

1. Donner des mesures de prévention et des consignes claires et précises via une charte de sécurité informatique en télétravail, par exemple.
2. Montrer l'exemple en vous impliquant et en appliquant vous-même vos consignes et mesures.
3. Soutenez vos télétravailleurs et soyez réactif en cas de besoin.
4. Si vous n'avez pas de service informatique, nommez un référent qui pourra faire le relai en cas de besoin.

Externalisez vos sauvegardes et votre SI

On ne le dira jamais assez, externaliser son infrastructure en dehors de son entreprise est la solution la plus sûre. En effet, stockées en datacenter sécurisé, vos données sont à l’abri de toutes menaces informatiques. Une protection maximale permettant de pallier les risques liés aux erreurs humaines ou aux pannes techniques.

Si vous ne souhaitez pas externaliser votre SI et automatiser vos sauvegardes alors pensez à faire régulièrement des sauvegardes de vos données et activités. Bien souvent, elles seront le seul moyen de récupérer vos données. Mettez également en place des mesures de test et des modalités de contrôle afin de vous assurer que vos sauvegardes se réalisent correctement.

Anticipez les situations de crise

Sachez-le, même en respectant les consignes de sécurité et avec un niveau de sécurité maximal, vous pourrez toujours être attaqué. Les protections informatiques permettent une protection à 99%. Une erreur humaine, une inadvertance, et hop le 1% restant est là. Et c'est pour cela qu'il faut se préparer à affronter une cyberattaque. Pour ce faire, vous pouvez opter pour un Plan de Reprise d'Activité (PRA) ou un Plan de Continuité d'Activité (PCA). En savoir plus sur le PRA et le PCA

Côté télétravailleur

Séparez vos usages professionnels et personnels

Votre poste de travail est fait, comme son nom l'indique, pour travailler. Il s'agit de votre outil de travail, il a un usage professionnel. Nous vous recommandons de bien séparer vos usages professionnels et personnels. Aussi, il ne faut pas utiliser les emails professionnels pour envoyer des emails personnels et inversement. Côté matériel, c'est pareil, on ne fait pas des activités personnelles (achat en ligne, téléchargement...) sur son ordinateur professionnel.

Installez uniquement des applications dans le cadre professionnel

Vous avez besoin d'installer une nouvelle application ou un nouveau logiciel sur votre matériel professionnel ? Passer d'abord par votre DSI, service informatique ou prestataire. Il validera avec vous l'outil, permettant ainsi de limiter les risques d'installation d'une application piégée qui pourrait pirater votre matériel.

Faites attention aux demandes imprévues

Qu'il s'agisse d'une demande par téléphone ou email, si elle vous parait suspecte faites attention et procéder à ces actions :

• Vérifier l'identité de la personne en contrôlant l'adresse email ou le numéro de téléphone. Il peut s'agir d'un cybercriminel se faisant passer pour un membre de la direction de votre entreprise, un fournisseur ou un client. N'hésitez pas à demander confirmation.
• Ne cliquez surtout pas sur le lien et/ou la pièce jointe s'il s'agit d'un email.
• Rapprochez-vous de votre DSI, Responsable informatique ou prestataire informatique.

Pour aller encore plus loin, voici une check-list spéciale consignes de sécurité en télétravail

• Mettre à jour régulièrement ses mots de passe en respectant les consignes de complexité et de longueur.

• Ne pas donner ses mots de passe et identifiants à un tiers.
• Clôturer votre session chaque fois que vous quittez votre poste de travail.
• Éviter les périphériques externes, car ils pourraient contenir des logiciels malveillants : clés USB, disques durs externes, carte SD...
• Éviter de vous connecter aux réseaux publics car ils sont peu fiables.
• Effectuer des sauvegardes régulières sur le réseau de votre entreprise ou sur tout autre espace de stockage mis à disposition par votre entreprise.

Focus sur la sécurité en télétravail de vos télétravailleurs

La sécurité de votre SI est une priorité, mais il faut également penser à la santé et à la sécurité de vos télétravailleurs. Ici, nous parlons d'un autre volet du télétravail à ne pas négliger : la prévention de la santé au travail. En effet, le télétravail amène de nouveaux risques pouvant affecter la santé (isolement, surcharge, santé mentale, porosité vie pro/perso, droit à la déconnexion, sédentarité, fatigue visuelle...) et la sécurité de vos télétravailleurs.

La mise en place du télétravail nécessite ainsi la prise en compte des aspects "humains" et "technologiques". À méditer !

Et après ?

Peu à peu, nous sortons de la situation d'urgence qui a accéléré le déploiement du télétravail. Aujourd'hui, le recours au télétravail prend sa place au quotidien et perdure. Nous pouvons ainsi nous poser des questions sur le futur de cette organisation du travail.

• À quoi ressemblera le télétravail dans 5 ou 10 ans ?
• Est-ce réellement LE nouveau format du travail ou est-ce seulement une mode poussée par la génération Y ?
• La numérisation des entreprises va-t-elle s'accélérer ?

En attendant de pouvoir répondre à ses questions, Axess est là pour vous accompagner dans votre démarche de télétravail et vous donner les moyens humains et matériels de réussir.

Axess accompagne la mise en place d'un télétravail sécuritaire et pérenne

Acteur de la transformation numérique des entreprises, Axess propose différentes prestations pour mettre en place et maintenir le télétravail dans votre organisation en toute sécurité :

• Mise à disposition d'équipements bureautiques : PC fixe ou portable, casque audio, micro…
• Mise en place d'outils de travail collaboratif
• Formation et conseil sur les outils, bonnes pratiques et mesures de prévention à adopter
• Instauration de modalités de contrôle
• Et bien plus encore selon vos besoins