Quelles directives devraient être suivies par votre organisation pour assurer la sécurité de l’information en situation de télétravail ? Comme l’a dit l’Organisation mondiale de la santé (OMS) à propos de la pandémie de COVID-19, « le monde est entré en territoire inconnu ». En réaction à la crise, la majorité des entreprises a suivi les directives de santé publique quant à la distanciation sociale et à l’isolement volontaire et a demandé à ses employés de travailler à distance. Nous vivons donc une situation sans précédent dans le monde du travail.
Bien que cette décision soit accueillie favorablement par les professionnels de la santé et par les personnes à risque de développer des complications face à la COVID-19, les entreprises doivent tout de même penser aux conséquences liées à la sécurité de l’information.
Voici les principaux enjeux de sécurité affectant les employés en télétravail et comment minimiser le risque d’impact sur l’entreprise.
Les cybercriminels utilisent toutes les situations à leur avantage et la pandémie de COVID-19 ne fait pas exception. Elle est pour eux une véritable mine d’or pour les attaques malveillantes. En effet, la pandémie de COVID-19 a ouvert la voie aux cyberattaques de fraudeurs. De nombreuses fraudes liées à la COVID-19 sont apparues. Plusieurs de ces fraudes peuvent viser les employés en télétravail n’ayant pas accès aux services d’une équipe interne de TI. Le National Fraud Intelligence Bureau du Royaume-Uni (Bureau national contre la fraude) a récemment émis un avertissement quant à une augmentation flagrante du nombre de fraudes.
Voici quelques exemples :
L’entreprise de sécurité Checkpoint a récemment découvert que les domaines liés au coronavirus ont deux fois plus de chance d’être malveillants. L’entreprise a également découvert que les cybercriminels encouragent les pirates débutants sur le Web profond à frauder en leur offrant des kits d’hameçonnage et des outils de piratage à rabais avec le code COVID-19.
Plusieurs fraudes liées au coronavirus ciblent les utilisateurs. Par exemple, une campagne d’hameçonnage par courriel utilise l’image de marque de l’Organisation mondiale de la santé. Ces courriels utilisent la peur et l’incertitude comme moteurs d’ingénierie sociale et encouragent les utilisateurs à cliquer sur un lien menant à un site Web malveillant.
En plus des fraudes liées directement à la COVID-19, certains enjeux de cybersécurité plus généraux perdurent. Même lorsque la pandémie sera terminée, cette situation devra être surveillée de près. Voici certains enjeux de sécurité :
Les menaces internes d’action malveillantes et accidentelles doivent être anticipées. Elles sont beaucoup plus probables à cause du télétravail. « Hors de vue, hors de l’esprit » : cette expression devrait être prise en considération dans votre politique de sécurité en situation de télétravail. Plusieurs menaces sont attribuables à la divulgation accidentelle de données, notamment à cause de la perte d’appareils électroniques ou d’un partage de données non sécuritaire.
La connexion sécuritaire en dehors des murs de l’entreprise est un enjeu important. Plusieurs routeurs personnels de maison sont des sources potentielles de risque. Le logiciel malveillant appelé VPNFilter a attaqué plus de 500 000 routeurs personnels de maison en 2019. Une fois installé, ce logiciel malveillant intercepte les données et vole les informations personnelles et les mots de passe des utilisateurs, une attaque appelée « attaque de l’homme du milieu (Man in the Middle) ».
Les applications mobiles sont reconnues pour poser des risques pour le vol de données. L’employé travaillant de la maison, puisqu’il n’est pas dans son environnement de travail habituel, peut être tenté d’utiliser d’autres applications que celles qu’il utilise normalement. Plusieurs applications mobiles sont conçues pour le télétravail; cependant, ces applications doivent faire l’objet d’une évaluation par votre organisation afin de veiller à ce qu’elles répondent aux exigences en matière de sécurité de l’information.
En plus des enjeux de conformité, les applications mobiles peuvent aussi contenir des logiciels malveillants. En 2019, une hausse de 50 % des cyberattaques visant les téléphones intelligents et les applications mobiles a été constatée.
Les enjeux d’absence de technologies appropriées préoccupent les entreprises dont les employés sont en télétravail. Que ce soit à cause d’autres habitants de la maison pouvant avoir accès à des informations confidentielles ou à cause du partage de mots de passe et d’appareils, des données confidentielles risquent d’être divulguées.
Bien que le défi posé par la COVID-19 ait changé nos façons de travailler, il est possible de limiter son impact négatif sur nos habitudes de sécurité. Même en télétravail, les employés doivent être encouragés à travailler de façon sécuritaire. Ces 5 techniques peuvent aider à créer une culture de sécurité au travail, même à l’extérieur du bureau :
Commencez par documenter les politiques de sécurité existant déjà dans votre entreprise quant au télétravail. Il s’agit d’une bonne occasion pour enregistrer tous les besoins en matière de travail à distance.
Voici les outils de base se retrouvant dans une politique de sécurité en situation de télétravail :
Les politiques de télétravail doivent aussi inclure la prise en considération des exigences de conformité en situation de télétravail. Par exemple, vous pourriez être appelés à mener une évaluation de l’impact de la vie privée (Privacy Impact Assessment) pour documenter le télétravail de vos employés.
Les employés travaillant de la maison risquent d’être ciblés par des techniques d’ingénierie sociale des cybercriminels. Par exemple, la sensibilisation quant aux enjeux d’hameçonnage est un aspect important du télétravail. Des programmes de formation pour la sensibilisation des employés à la sécurité au télétravail peuvent être utilisés afin de les aider à cibler les tentatives d’hameçonnage courantes et à prévenir les attaques malveillantes sur les appareils de la maison et du bureau.
De plus, les formations de sensibilisation sur la sécurité aident les employés à comprendre l’importance d’adopter de bonnes habitudes de sécurité. Elles offrent aux employés une meilleure compréhension des enjeux, comme l’exposition accidentelle des habitants de la maison à certaines données, la divulgation de données et les habitudes à prendre par rapport aux mots de passe dans un environnement de travail.
Puisque vos employés font du télétravail, vous devriez leur offrir des outils servant à sécuriser leurs appareils et ainsi prévenir la divulgation de données. Voici les outils les plus pertinents pour le télétravail :
Si vous avez besoin de mesures de sécurité supplémentaires pour du travail confidentiel, vous pouvez fournir un environnement virtuel contrôlé à votre employé. Bien que le travail demandé soit plus grand, une machine virtuelle (MV) est très pratique pour créer un environnement contrôlé et peut réduire l’exposition des réseaux et des données de l’entreprise.
Faites la liste des outils que les employés en télétravail peuvent utiliser. Cela doit inclure les outils utilisés pour générer et partager des données. Par exemple, les applications mobiles et les portails collaboratifs. Bien que certains de vos employés pourraient ne pas suivre cette règle, vous pouvez l’intégrer à votre politique de sécurité d’entreprise pour aider à la mettre en application.
En tout temps, il est important d’avoir un système d’authentification efficace pour accéder aux ressources d’une entreprise. Dans le cas du télétravail, ce système devient absolument essentiel. Peu importe l’endroit où se trouve l’employé, veillez à ce qu’un second niveau d’authentification soit utilisé pour l’accès aux ressources de l’entreprise.
De plus, l’utilisation du principe de droit d’accès minimal devrait être sérieusement considérée par votre entreprise (s’il n’est pas déjà utilisé). Des politiques d’identification Zero Trust peuvent être mises en place pour contrôler l’accès et veiller à ce que les données soient accessibles seulement lorsqu’elles doivent absolument être consultées. Cela réduira le risque de divulgation des données.
Parce que cette pandémie a fait rage partout dans le monde, il est important de travailler ensemble pour minimiser son impact sur la santé mondiale. Cela inclut la pratique de la distanciation sociale, et donc du télétravail. Lorsque le virus sera moins présent, il est possible que nous soyons en mesure de revenir à la « vraie vie ». Cependant, la nouvelle tendance au télétravail pourrait continuer longtemps. Bien que nous soyons dans l’obligation de penser à la cybersécurité en raison de la COVID-19, il est évident que, dans tous les cas, cette réflexion nous aidera à améliorer notre futur.
