Soudainement, des millions de Français ont découvert le télétravail, ses vertus et ses limites. Et des milliers d’entreprises peu préparées ont été confrontés à des risques nouveaux et des bonnes pratiques à mettre en œuvre au plus vite…

La crise pandémique et le confinement qui l’accompagne ont forcé les entreprises à mettre tous les collaborateurs dont les activités le permettaient en mode télétravail. Un fonctionnement « à distance » de l’entreprise amené à se poursuivre dans les semaines, les mois, et les années à venir qui engendre de nouveaux risques de cybersécurité et impose de s’approprier de nouvelles bonnes pratiques.

Nouveaux risques

Permettre le télétravail entraîne un accroissement des risques de cybersécurité, une réalité que certaines entreprises ont toujours considéré comme un obstacle insurmontable, préférant purement et simplement interdire la pratique. Une attitude qui va à l’encontre de l’évolution des usages et des pratiques de travail – évolution contre laquelle il est vain de se battre car elle est inéluctable – et qui a démontré toutes ses limites durant ces dernières semaines.
Toutes les études le démontrent : les entreprises qui s’étaient préparées au télétravail se sont trouvées mieux armées que les autres pour résister à la crise.

Le télétravail ne fait en réalité qu’étendre un système d’information déjà étendu par l’usage du cloud et des services SaaS. Cette extension engendre bien évidemment une extension de la surface d’attaque. Un risque auquel les entreprises sont en réalité depuis longtemps confrontées avec la multiplication des collaborateurs mobiles et que les bonnes pratiques du BYOD ont depuis longtemps aidé à cerner.

Le travail à distance fragilise également les processus en place qui n’y sont pas adaptés. Il peut engendrer, notamment dans les équipes IT, des mauvaises pratiques et des erreurs de configuration essentiellement par manque de formation des équipes et par manque de préparation. Le télétravail impose en effet de revoir certains processus et d’adopter des bonnes pratiques spécifiques notamment en matière d’administration des systèmes et de leur sécurité. Cependant, nombre de ces bonnes pratiques recoupent celles à mettre en place pour une gestion sécurisée du cloud et du IaaS (Infrastructure as a Service).

Enfin, le télétravail peut exposer les collaborateurs à des risques auxquels ils sont moins confrontés dans les murs de l’entreprise en matière de vol (du matériel, des clés USB, etc.), de mises à jour obligatoires des patchs de sécurité, de mauvaises pratiques en matière de partages de fichiers et de téléconférences.

Une cyber-résilience adaptée au travail à distance

Pour les entreprises très habituées à la mobilité de leur effectif et déjà préparées au télétravail, ces nouveaux risques ne sont pas une surprise. Elles ont depuis longtemps adapté leur cybersécurité et leur cyber-résilience afin d’opérer dans un contexte de menaces accrues et sophistiquées et se sont adaptées pour focaliser leurs défenses sur les données, la gestion des accès et celle des identités.

L’agence pour la cybersécurité de l’Union Européenne a publié en mars dernier ses conseils aux entreprises pour un télétravail sécurisé. Elle invite les entreprises :
– à bannir les prises de contrôle à distance directe via Internet (notamment en utilisant RDP),
– à s’assurer que leurs infrastructures VPN tiennent la montée en charge mais aussi à évaluer les alternatives offertes par les nouvelles solutions de connectivité et de contrôle des identités via des services Cloud,
– à activer les authentifications multifacteurs sur les services SaaS,
– à utiliser des solutions de téléconférence sécurisées et chiffrant les communications de bout en bout,
– à fournir aux employés du matériel préconfiguré et présécurisé,
– à adopter les bonnes pratiques du BYOD avec des outils d’UEM (Unified Endpoint Management),
– à mettre en place une politique « Zero Trust »
– et bien évidemment à former tous les collaborateurs au contexte du télétravail et aux risques associés.
Bien évidemment, elle rappelle que tout ceci doit se faire en s’assurant également du respect du RGPD et de la protection des données même en contexte de télétravail.

Beaucoup d’humain et un peu de technologie

Autrement dit, les pratiques de télétravail – qui vont se perpétuer après le déconfinement – doivent s’accompagner à la fois d’une sensibilisation, sur le long terme et répétée, des collaborateurs aux risques de cybersécurité, d’une adaptation des processus de l’entreprise et notamment des pratiques des équipes IT, et d’une adaptation des politiques de sécurité avec un renforcement des sécurités autour du trio « accès, identités et données ».

Bien évidemment, ces nouvelles pratiques doivent aussi s’appuyer sur de nouvelles solutions de sécurité permettant de mettre en œuvre une politique « Zero Trust » et de profiter des nouvelles défenses promises par les défenses boostées à l’Intelligence Artificielle.

C’est notamment vrai pour la sécurisation des emails qui restent le principal vecteur d’attaque contre les entreprises. Une étude récente montrait que plus de 90% des attaques réussies contre les entreprises avaient comme origine un email malveillant. Il est en effet très difficile de contrer le « social engineering » derrière les courriels des cybercriminels qui jouent sur les peurs, la situation angoissante, le sentiment d’urgence pour duper les utilisateurs et les mener à cliquer un peu trop vite sur une pièce attachée ou un lien menant à un site de Phishing. Face à ces risques de longue date et parce qu’elle comprend les comportements humains et les contextes, l’IA apporte aujourd’hui de nouvelles réponses et sait détecter des emails dangereux et des attaques ciblées que les passerelles de protection des emails traditionnelles n’ont jusqu’ici jamais réussi à contrer.

Bref, les entreprises doivent se rendre compte que le télétravail, imposé comme une nécessité pour poursuivre l’activité en temps de pandémie, ne va pas s’arrêter au jour du déconfinement. Il  s’accompagne de bonnes pratiques de sécurité et de nouveaux outils de sécurisation qui ne diffèrent en réalité pas des bonnes pratiques et outils modernes d’une entreprise cyber-résiliente à l’heure de la mobilité et du cloud, bref à l’heure du 21ème siècle.