Cybersécurité et télétravail : quelles sont les bonnes pratiques d'Infogene pour sécuriser ses données ?

Pratiqué par beaucoup d’entreprises, d’administrations et prisé par les salariés, le télétravail connaît une croissance forte. Accentué par la pandémie covid-19, les entreprises ont encore plus fait appel au télétravail afin de continuer au mieux leur activité. Ce nouveau contexte de télétravail massif est particulièrement propice aux cyberattaques et affecte tout particulièrement la protection des données sensibles des entreprises. Celles-ci doivent donc faire face à un défi majeur : la sécurité des données doit désormais se penser en dehors des murs.

Au-delà d’être un défi important pour toutes les entreprises de toute taille, de la PME à l’entreprise du CAC 40, c’est un sujet au cœur des nouvelles directives de la CNIL et de la RGPD au niveau européen.

Retrouvez dans cet article les bonnes pratiques d’Infogene pour concilier travail à distance et protection des données.

‍

‍

Télétravail et cybersécurité : une situation critique

Selon un rapport de Malwarebytes, 20 % des organisations ont été victimes d’une cyberattaque causée par un collaborateur en télétravail depuis le début de la pandémie. La plupart des attaques réalisées se font sous forme de « ransomware ». Ces logiciels malveillants, qui ont pour point d’ancrage l’accès extérieur au système d’information d’une société, cryptent les informations des SI et vont demander une rançon pour que l’entreprise puisse récupérer ses informations.

C’est ce type d’attaque qui a été massivement déployé dans de nombreux hôpitaux et organisations médicales depuis le début de la pandémie. On compte une attaque par semaine dans les centres hospitaliers. Auparavant épargnés, les hôpitaux sont devenus la cible n°1 des cybercriminels, avec une véritable recrudescence des attaques.

Par exemple, il faut savoir que plus la donnée est sensible et critique, plus le montant de la rançon sera élevé. Voilà tout l’intérêt des cybercriminels pour les centres hospitaliers.

Aujourd’hui les attaques se font en masse, les cibles sont multiples. Les hackers font en quelque sorte de la “pêche à la ligne” et ils attendent de voir ce qui mord. Peu importe la taille de l’entreprise, de la PME à la multinationale, il faut se protéger des cyberattaques.

‍

‍

Principaux risques et cybermenaces liés au télétravail

Dans un monde où le progrès technologique est partout avec aujourd’hui une intensification du télétravail et sommes de plus en plus connectés, les attaques informatiques s’accentuent.

Les cybercriminels profitent de la possible désorganisation et confusion des entreprises pour intensifier leurs attaques. Ainsi, pour mieux se protéger, il est primordial de savoir à quoi s’attendre.

Voici les attaques informatiques les plus communes :

Les attaques par mot de passe

« Cracker » le mot de passe d’une personne est souvent plus simple qu’on ne le pense. Parfois, il suffit de quelques informations, en utilisant des techniques telles que l’interception de trafic (utiliser un logiciel de surveillance réseau et enregistrer les mots de passe lorsqu’ils sont transmis s’ils ne sont pas cryptés fortement), l’ingénierie sociale (hameçonnage par exemple) ou en devinant par force brute (deviner un mot de passe en entrant ce que les gens entrent le plus souvent : nom, prénom, passe-temps favori, dates de naissance des enfants, etc.) pour que les cybercriminels arrivent à leurs fins.

Les logiciels malveillants ou malwares

Un malware est un logiciel indésirable installé dans votre système d’information à votre insu. Il en existe de tous types mais les plus utilisés aujourd’hui sont les ransomwares.

Le cas de figure le plus classique de ce type d’attaque, c’est l’envoi par mail d’une pièce-jointe qui récence en son sein un code malveillant. Dès lors que la cible clique sur la pièce-jointe en question pour lire le document, le virus qu’il contient va chiffrer les documents de l’ordinateur, se répandre dans le réseau de l’entreprise et rendre le système ainsi que les données inaccessibles aux utilisateurs.

Pour que l’entreprise puisse retrouver l’accès à son système qui est paralysé par le cybercriminel, elle devra envoyer une rançon. Ce type d’attaque a des conséquences désastreuses : arrêt de l’activité de l’entreprise, perte de données, image de marque.

Les attaques de phishing

Le phishing, c’est cette fameuse fenêtre qui surgit en vous disant que vous avez gagné un million d’euros, ou cet étrange email que vous recevez de votre banque ou d’un tiers de confiance vous demandant de saisir votre identifiant, vos informations personnelles ou autres… cette technique combine ingénierie sociale et stratagème technique vous incitant à télécharger par vous-même des malwares qui voleront vos informations personnelles et confidentielles comme vos numéros de carte de crédit ou toute autre information stockée sur votre ordinateur.

Conséquences possibles : piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’organisation, intrusion sur le réseau de l’entreprise, rançongiciels (ransomware), fraude aux faux ordres de virement…

Elles sont multiples et peuvent engendrer d’importants problèmes pour l’entreprise.

‍

‍

Sensibiliser les collaborateurs aux risques informatiques : le point de départ

Selon une étude réalisée par CyberArk, 62 % des personnes sondées admettent utiliser des appareils professionnels à des fins personnelles, et 42 % d’entre eux déclarent ne pas mettre à jour régulièrement leur système de sécurité.

Il est important de prendre conscience que la plupart des cyberattaques sont dues à une erreur humaine et sensibiliser les collaborateurs à la sécurité est tout aussi important que les solutions technologiques mises en place pour s’en protéger.

Pour une sécurisation efficace il est donc encore plus essentiel de sensibiliser les télétravailleurs aux bonnes pratiques de cybersécurité. Mise à jour régulière des antivirus, dissociation des messageries personnelles et professionnelles, limitation de l’usage de périphériques externes (clés USB, disques durs…) pour transférer des données d’un ordinateur à un autre… des règles de base qui doivent être rappelées régulièrement. Il existe de nombreux outils ludiques pour expliquer comment télétravailler en toute sécurité.

En mettant en place une sensibilisation régulière mais demandant peu de temps d’investissement à vos collaborateurs, vous aurez plus de chances d’être entendu et d’obtenir des résultats efficaces en termes de cybersécurité.

4 bonnes pratiques de cybersécurité à mettre en place dans une entreprise

Nul n’est à l’abri d’une faille dans le système de sécurité informatique ou de comportements périlleux des salariés qui exposeraient certaines données sensibles à une cyberattaque. La meilleure façon d’en limiter les risques consiste à adopter des bonnes pratiques permettant la sécurisation des données de l’entreprise :

1. Profiler les télétravailleurs

Pour renforcer la sécurisation des données de l’entreprise en télétravail, il est indispensable de différencier les profils des collaborateurs. Il faut donc savoir quel poste occupe nos collaborateurs, quels sont leurs horaires de travail, sont-ils en temps plein, temps partiel, CDI ou CDD. Ces informations vont permettre de limiter les autorisations d’accès aux seules catégories d’informations sensibles dont les télétravailleurs ont besoin pour maintenir leur activité. La mise en œuvre de cette politique de confidentialité des données augmente considérablement le niveau de sécurité.

2. Authentifier les accès à distance

Le premier moyen de prévenir la fuite, la perte ou le vol de données à caractère personnel dans le système de l’entreprise est d’instaurer un système d’identification du télétravailleur lorsqu’il s’y connecte (identifiant, mot de passe, code à usage unique…). Ces systèmes de double authentification ne sont pas coûteux et sont simples d’utilisation. En offrant un niveau de protection assez élevé contre les accès frauduleux, ce système permet de sécuriser efficacement les données.

3. Dissocier et protéger les appareils

Comme évoqué précédemment, 62 % des personnes sondées admettent utiliser des appareils professionnels à des fins personnelles. Cette pratique consistant à mélanger activité professionnelle et personnelle sur un même ordinateur peuvent engendrer des failles de sécurité importantes. Les moyens d’éviter les risques entre le périphérique de l’employé et le SI de l’entreprise sont de réduire les droits d’administrations au maximum sur la machine et d’attribuer au télétravailleur un périphérique à usage strictement professionnel régulièrement mis à jour au niveau sécuritaire par le service informatique. Il s’agit de dissocier le monde professionnel et personnel et d’isoler au maximum les liens réseaux entre le périphérique du télétravailleur et sa connexion réseau « home office ».

4. Mettre à jour ses systèmes de cybersécurité

Afin de sécuriser le partage d’information, de données personnelles ainsi que de documents à distance entre le poste du salarié et le réseau de l’entreprise, il est important de sécuriser ses flux.

On peut les sécuriser de deux manières :

• En mettant à jour des systèmes de cybersécurité : logiciel anti-virus, anti-cookie, pare-feu…
• En utilisant un VPN (Virtual Private Network, ou réseau privé virtuel) : qui permet à l’adresse IP de l’utilisateur de rester privée

Avec le développement du cloud, certaines entreprises mettent également en place des plateformes de bureau virtuel, qui permettent d’accéder n’importe où et sur n’importe quel appareil aux données sensibles de l’entreprise, sans y être directement physiquement connecté. Ces actions permettent de garantir la sécurisation des données sensibles.

‍

L’entreprise doit sécuriser son système mais le collaborateur en télétravail doit également s’impliquer

1. Ne pas utiliser son matériel informatique personnel pour son activité professionnelle ni des logiciels, type messagerie ;
2. Eviter toute connexion sur un Wifi public quel qu’il soit ;
3. Renforcer la sécurité de ses mots de passe – utiliser des sites pour tester la robustesse de son mot de passe Ne pas noter ses mots de passe dans un fichier local, sur son bureau etc. ;
4. Utiliser un antivirus et effectuer une analyse complète ainsi que les mises à jour régulièrement ;
5. Éviter l’utilisation de périphériques externes pour les transferts de données en sachant que les clés USB et les disques durs externes peuvent facilement être infectés par des programmes malveillants ;
6. Sauvegarder régulièrement son travail sur un serveur de l’entreprise afin de se prémunir d’une cyberattaque localisée sur son propre PC ;
7. Se méfier de courriers électroniques suspects dont l’expéditeur est inconnu demandant de vérifier ou de renouveler son mot de passe. Répondre à la question : est-il normal que l’on me demande de renseigner des informations confidentielles ? ;
8. Vérifier le contenu des emails ainsi que la nature de l’expéditeur afin de ne pas cliquer sur un lien malveillant ;
9. Ne pas donner accès à son PC professionnel à ses proches et verrouiller son écran à chaque moment d’absence.

Rien qu’en adoptant ces bonnes pratiques, de nombreux risques en termes de sécurité informatique peuvent être évités !

‍

‍

J’ai été victime d’une cyberattaque en télétravail, suis-je responsable ?

Une entreprise peut être tenue pour responsable des infractions commises pour son compte, et elle peut elle-même engager la responsabilité de l’un de ses salariés ou de son dirigeant.

En 2014, jugé responsable de la fuite massive de données qui a touché son entreprise, le dirigeant de la société Target a été diligemment poussé vers la porte de sortie. Plus récemment, le dirigeant de la société Equifax a lui-même été révoqué par ses actionnaires. Motif de la sanction ? L’ampleur des dégâts infligés et l’impact sur la marque justifiaient que la responsabilité individuelle du dirigeant soit engagée, au nom de l’entreprise qu’il représente.

Ce recours à la sanction pour négligence, irresponsabilité ou mauvaise hygiène numérique pourrait se développer dans les années à venir, et concerner n’importe quel collaborateur, quel que soit son niveau hiérarchique.

Une vigilance importante est donc de mise pour se prémunir de possibles cyberattaques.

‍

‍

Conclusion : un SI performant passe par une sécurisation renforcée

Comme nous l’avons vu tout au long de cet article, la cybersécurité est un enjeu majeur pour les entreprises, d’autant plus dans ce contexte si particulier d’intensification du télétravail. Beaucoup d’entreprises n’étaient pas préparées et ont dû mettre en place une organisation à la hâte, sans se prémunir convenablement des risques en termes de sécurité informatique. S’appuyer sur un prestataire ayant une expertise dans le domaine est essentiel pour assurer à son SI une sécurité optimale. Chez Infogene, nous sommes experts en enjeux data critiques et sensibles ainsi qu’en projets d’envergures de traitement et de sécurisation de données critiques. Nous travaillons dans ce domaine particulièrement pour des acteurs de la Santé pour qui la cybersécurité des données de santé est un enjeu primordial depuis toujours.