Pour faire face à la crise sanitaire, les entreprises du monde entier ont eu recours au télétravail partout où cela était possible. Au sortir des grèves contre la réforme des retraites, en décembre dernier, on estimait à 28% le taux de personnes qui travaillaient depuis chez elles. Ce chiffre a aujourd’hui atteint plus de 40%.
Avec le confinement, de nombreuses organisations n’étaient absolument pas préparées à ce que leurs employés-ées travaillent à distance du jour au lendemain. Il existe pourtant de nombreuses raisons qui peuvent contraindre un·e collaborateur·trice à travailler à son domicile, sans préavis : une tempête de neige, un ouragan ou des grèves massives dans les transports en commun, comme ce fut le cas en janvier dernier. Certaines entreprises peuvent alors envisager que leurs employé·e·s continuent à travailler en utilisant soit l’équipement mobile de l’entreprise, soit leurs ordinateurs personnels et leurs smartphones et tablettes.
Les entreprises équipées d’un accès à distance se montreront alors plus réactives et productives. Cependant, en l’absence d’outils de sécurité appropriés, elle se rendront également plus vulnérables à un certain nombre de menaces.
Quelles sont les mesures que les organisations peuvent prendre pour s’assurer que leurs employés·e·s travaillent en toute sécurité, indépendamment de l’endroit où il·elle·s se trouvent ?
Se préparer à l’impensable
Les organisations qui maintiennent une équipe opérationnelle sur site encouragent leurs employés·e·s à utiliser des liaisons sécurisées dites VPN pour accéder au réseau d’entreprise et à utiliser des agents sur les appareils mobiles de l’entreprise pour accéder aux ressources Cloud. Cette approche peut engendrer un forte latence dans l’utilisation des applications d’entreprise et rend difficile le suivi et la sécurité du trafic internet sur les appareils mobiles, ainsi qu’une latence sur leurs applications personnelles. Cette approche est aujourd’hui dépassée et de plus elle porte atteinte à la vie privée des employé·e·s en ne respectant pas le règlement général sur la protection des données (RGPD).
Les organisations qui ne disposaient pas à présent d’une technologie appropriée vont désormais évoquer la manière pour s’adapter et comment faire face à tout incident futur empêchant les employé·e·s de se rendre physiquement au bureau. Les politiques liées à l’utilisation des équipements personnels au sein du système d’information plus communément appelés BYOD (Bring Your Own Device) permettent aux collaborateur·trice·s de travailler à distance à partir d’appareils comme leur ordinateur portable, leur tablette ou leur smartphone sans incidence pour l’organisation.
Cyber sécurité : ce dont les entreprises ont vraiment besoin
A partir du moment où les employé·e·s peuvent télécharger et partager des données à partir d’appareils personnels, sur des sites distants ou des réseaux non sécurisés, il existe un risque potentiel d’exposition des données de l’entreprise à un tiers non habilité. Il est primordial que les contrôles de sécurité ci-dessous accompagnent la mise en œuvre d’une politique de BYOD pour garantir la sécurité liée au travail à distance des employé·e·s.
Visibilité et contrôle des données
Il est essentiel pour les entreprises de conserver la visibilité et le contrôle des données auxquelles accèdent les appareils personnels des utilisateurs-trice·s. Sans visibilité ni contrôle sur l’activité de ces appareils, les organisations s’exposent à des accès non autorisés à leurs données, à un partage externe malveillant et à une incapacité à protéger les données téléchargées lors de la perte ou le vol d’un appareil. C’est d’ailleurs pour éviter cela qu’il est recommandé d’utiliser des outils de prévention des pertes de données (DLP) en contrôlant les données sensibles stockées et d’identifier les utilisateur·trice·s qui y accèdent afin d’empêcher les fuites intentionnelles ou non. Avec une visibilité et un contrôle des données, les entreprises s’assurent que les données ne se retrouvent exposées à des tiers non habilités ou pire qu’elles ne tombent entre de mauvaises mains.
Gestion des identités et des accès
La gestion des identités et des accès, telle que l’authentification multifactorielle (MFA) ou l’analyse des anomalies liées au comportement (UEBA), permet de détecter les activités suspectes et de faire face aux menaces liées à la mobilité. L’authentification multifactorielle MFA requiert une deuxième forme de vérification de l’identité afin d’authentifier et de s’assurer que l’utilisateur·trice est bien celui·celle qu’il·elle prétend être. Après avoir saisi son mot de passe, il·elle se voit proposer de vérifier une nouvelle fois son identité au moyen d’un code envoyé par courrier électronique ou par message texte. De son côté, une solution type UEBA étudie les anomalies liées au comportement et produit une analyse sur les utilisateur·trice·s afin de détecter toute activité suspecte. Par exemple, si un utilisateur·trice qui se connecte habituellement depuis Paris venait à se connecter depuis San Francisco – en particulier dans une période de restrictions strictes de voyage comme c’est actuellement le cas – une alerte serait envoyée pour s’assurer que le compte de l’utilisateur·trice n’a pas été compromis. Au minimum, l’authentification unique (SSO) devrait être mise en œuvre, car elle permet aux entreprises d’authentifier de manière sécurisée les utilisateur·trice·s au travers de leurs applications Cloud.
Solutions sans agent
Déployer une solution de sécurité sans agent est une autre obligation pour protéger les données des entreprises sur les appareils personnels. Les outils qui requièrent l’installation d’agents sur les équipements personnels perturbent la vie privée des utilisateurs et nuisent au fonctionnement de ces appareils. Les solutions de gestion des appareils mobiles (MDM), par exemple, contiennent plus de données que les employé·e·s ne le soupçonnent, à commencer par les identifiants de connexion en texte clair. En outre, lorsque les fonctions de suppression des solutions MDM sont utilisées pour effacer des données d’entreprise, tout est supprimé de l’appareil, y compris les photos personnelles, les contacts, etc. Grâce aux solutions sans agent, les services informatiques se dotent de la sécurité et de la conformité nécessaire pour protéger les données des entreprises sur les appareils personnels, sans risque d’intrusion dans la vie privée de l’utilisateur·trice.
De plus, les solutions de sécurité sans agent peuvent être mises en œuvre à tout moment, car elles ne nécessitent aucune installation sur les équipements eux-mêmes, ce qui serait de toute manière impossible dans les conditions actuelles de confinement. En cela, elles sont particulièrement pertinentes pour les entreprises qui n’étaient pas préparées au télétravail.
Confrontées à autant d’imprévus, les entreprises doivent permettre à leurs employé·e·s de travailler à distance à tout moment. S’il est impossible d’agir sur des catastrophes climatiques ou de faire face à une pandémie, il est possible – et recommandé – d’anticiper autant que possible les plans de sécurité et de continuité d’activité en cas d’urgence afin de protéger l’entreprise contre les menaces malicieuses et l’arrêt d’activité. Grâce à une politique de sécurité du travail à distance avec l’aide du BYOD, l’entreprise garantira à ses employé·e·s de travailler en toute sécurité particulièrement quand l’impensable se produit.
______________________________________
Par Valentin Jangwa, directeur Europe du Sud chez Bitglass