Entériné dans les ordonnances de septembre 2017, le télétravail s’est installé dans les habitudes des salariés français. Pour preuve, 16,7 % des Français y avaient recours plus d’un jour par semaine en 2016[1]. Environnements de travail dématérialisés, usages intensifs des technologies cloud ou seule une connexion Internet est nécessaire à la réalisation des taches professionnelles, le travail à distance ne peut être considéré sans une solide étude sur l’exposition aux menaces informatiques induite par ce nomadisme 2.0.
Avec la multiplication des technologies de communication et du cloud, comment s’assurer de la sécurisation des données sensibles de l’entreprise ? Face aux risques cloud, quelle approche adopter pour sensibiliser les employés aux bonnes pratiques du télétravail ?
Les services informatiques des entreprises sont de plus en plus nerveux face aux dangers du travail à distance. En effet, les données sensibles de l’entreprise peuvent alors être exposées à une utilisation malveillante, car accessibles depuis n’importe quel point du globe, dès lors qu’aucun contrôle n’est défini sur l’usage des services cloud mis à disposition des utilisateurs. L’adoption du télétravail par l’entreprise nécessite la révision du modèle de sécurité périmétrique de type « bastion » en le faisant évoluer vers des politiques prenant en compte le contexte d’accès à l’information (qui accède à quel type d’informations, sur quel service et depuis quel type de périphérique ?), tout en assurant la persistance des mesures de protection sur les données stockées, quand bien même celles-ci résideraient hors du périmètre de l’entreprise (Office 365, Google Suite, Salesforce, etc.).
Recrutement de talents et formation
Les employés qui travaillent « à distance » peuvent, via leurs habitudes, exposer les entreprises à des vol de données ou des actions de piratage facilitées par l’adoption des technologies cloud qui ne seraient pas associées à un programme de sécurité adapté à ces architectures bien souvent « ouvertes ». Un process doit alors être mis en place pour garantir l’usage de la technologie conformément aux objectifs de sécurité de l’entreprise. Ces derniers ne doivent pas pour autant pas être amoindris par l’adoption de nouveaux usages. Ce process commencera par une évaluation des risques associés et une sensibilisation du personnel à l’impact de leurs actions.
Par ailleurs, les entreprises font face à une nécessité dans la mise en place de nouveaux services permettant d’augmenter productivité et compétitivité, tout en subissant une pénurie de talents dans le secteur des technologies informatiques, notamment dans le domaine de la cybersécurité. Par une utilisation plus ciblée des ressources humaines associées à des technologies faisant appel au machine learning, il sera alors possible d’accompagner plus sereinement ces projets de transformation informatique (IT) sans sacrifier aux exigences de sécurité.
Partage de la responsabilité
Les e-mails et le web étant les formes de communication numérique les plus courantes dans le milieu professionnel, notamment lorsque le télétravail est massivement utilisé, le personnel doit être formé aux principaux signes de phishing existants et poussé à signaler tout élément suspect. En partageant la responsabilité et en encourageant les employés à prendre part à la sécurisation de l’entreprise, l’entreprise sensibilisent ses collaborateurs naturellement et constitue ainsi une première ligne de protection contre les attaques externes.
La confiance et la formation passent aussi par le support des prestataires de service. En faisant évoluer à la fois la technologie et la culture organisationnelle, les entreprises deviennent naturellement plus unifiées et partagent les responsabilités avec un objectif de sécurité commun.
Sécurité
La majeure partie des entreprises sont conscientes des enjeux de sécurité liés à leurs projets de transformation IT, mais nombreuses sont celles ayant négligé l’orchestration de leurs capacités de défense. Comme nous l’avons mentionné précédemment, afin de pallier au manque de compétences dans le secteur de la cybersécurité, il est nécessaire de pouvoir orchestrer les différentes lignes de défense, chacune prenant part dans la réponse à apporter à un évènement de sécurité, dont l’objectif est une réponse globale permettant la résolution autonome des incidents détectés.
Enfin, pour les entreprises peu sensibilisées au « risque cyber », le renforcement des lois de conformité tel le RGPD (Règlement Général pour la Protection des Données) est une occasion permettant d’opérer une politique de transformation pour laquelle la thématique « sécurité » devient stratégique.
Visibilité et contrôle des environnements cloud
Le cloud est en passe de devenir le sujet majeur de la transformation IT des entreprises, mais ses avantages viennent avec sa propre part de risques, qu’il faut savoir évaluer afin maîtriser. Selon les typologies de cloud choisies par l’entreprise (SaaS, IaaS, PaaS), il faudra y associer des politiques et outils de protections spécifiques. Il n’est donc pas étonnant que la courbe d’adoption des offres CASB (cloud Access Security Broker) suive la même progression que celle des souscriptions cloud de type Amazon, Office 365 ou Google Suite. En gagnant en visibilité sur les menaces potentielles et en mettant en œuvre un plan de sécurité solide avec les employés, le contrôle des actifs et du patrimoine informationnel sera optimal.
Avec l’augmentation du nombre d’entreprises permettant le télétravail, le risque d’ouvrir de nouvelles vulnérabilités s’accroît. Pour autant, il reste une marge de manœuvre pour assurer la sécurisation des données sensibles. Formation et responsabilisation sont la clé d’une entreprise où data et employés peuvent s’épanouir sans risque.
__________
Laurent Maréchal est Technology Architect chez Skyhigh McAfee
[1] http://www.cget.gouv.fr/chiffres-teletravail-2016
puis