Reinsurance
Product Family
Claims
Risk Consulting
Resources & Tools
Resources and Tools
About AXA XL
About AXA XL
About AXA XL
Get In Touch

Modifier l’organisation du travail

Avec l'actuelle propagation du coronavirus, les directives des gouvernements évoluent rapidement. Dans de nombreux pays, on demande pour la première fois aux personnes en bonne santé d’éviter toute exposition sociale non indispensable, par exemple lors de grands rassemblements, dans les transports publics, etc., et sur le lieu de travail.

Par conséquent, de nombreuses entreprises partout dans le monde sont désormais en train de planifier ou de mettre activement en œuvre un modèle d’activité à distance impliquant bien plus d’employés qu’elles ne l’avaient prévu. Les équipes informatiques et la direction s’efforcent de mettre en place les infrastructures et l’organisation nécessaires pour faciliter le télétravail. Dans la précipitation et afin que les entreprises continuent à fonctionner, il existe un risque important que la sécurité ne soit pas correctement prise en compte.

Quelles que soient les circonstances, les bonnes pratiques professionnelles en matière de cybersécurité devraient tenir compte des éléments suivants :

  • La technologie et les infrastructures déployées sont-elles sécurisées contre des acteurs malveillants, en dehors et au sein de l’entreprise ?
  • Tous les employés de la société, les sous-traitants et les tiers concernés ont-ils reçu des instructions et des directives claires sur la façon de travailler en toute sécurité ?
  • L’une des mesures de sécurité mise en place empêche-t-elle les employés de faire leur travail avec efficacité ?

Si le niveau adéquat de sécurité est mis en place, votre entreprise sera en bonne posture pour parer les menaces en matière de cybersécurité. Si le niveau est trop faible, vous êtes vulnérable. Si la sécurité est trop contraignante, appliquée de la mauvaise manière, vos employés se sentiront étouffés et commenceront à chercher des moyens de la contourner, ce qui rendra finalement la société plus vulnérable.

Conseils clé sen matière de sécurité lors de la mise en place du télétravail

Dans cet esprit, S-RM a répertorié ci-dessous certains des aspects clés à prendre en compte lors de la planification ou du déploiement du télétravail.

Sécuriser les appareils

L’un des aspects essentiels du télétravail consiste à équiper les employés d’ordinateurs portables, de téléphones portables, de tablettes et d’autres appareils avec lesquels travailler. De nombreuses entreprises fournissent désormais un équipement supplémentaire à leurs employés, pour leur permettre de rester totalement efficaces en dehors du bureau. Mais ayez conscience des points suivants :

Assurez-vous de mettre en place une gestion efficace des actifs. Déterminez quel appareil a accès à votre réseau et vos données, planifiez tous les changements et bloquez ou supprimez les équipements obsolètes de votre réseau avant qu’ils ne deviennent le talon d’Achille de votre sécurité.

Tous les appareils de la société, notamment ceux qui sont emportés en dehors du bureau, doivent être chiffrés, afin de protéger les données en cas de vol ou de perte.

  • Utilisez BitLocker ou une solution tierce appropriée pour les appareils fonctionnant sous Windows
  • Assurez-vous que le chiffrement est actif sur les appareils Apple (c’est normalement le cas !)
  • Assurez-vous qu’un chiffrement adéquat est utilisé sur les autres appareils mobiles

Si vous permettez aux employés d’utiliser leurs appareils personnels, vérifiez que vos données d’entreprise sont correctement sécurisées. Des solutions de Gestion d’appareils mobiles peuvent permettre de sécuriser les données sur ces appareils, ou il faudra peut-être commencer par restreindre l’accès des employés à certaines données.

N’oubliez pas l’équipement qui reste au bureau ! Lorsque les employés travaillent de chez eux, la sécurité physique est-elle suffisante sur vos sites pour protéger des acteurs malveillants les serveurs, ordinateurs de bureau, et les autres parties de votre réseau ?

Lorsque vous déplacez des appareils, des employés et des comptes utilisateurs, n’oubliez pas les autres aspects de la sécurité au quotidien : des mots de passe solides, des comptes administrateur locaux sécurisés et adaptés, et un contrôle sur les applications et services de votre réseau conservent par exemple toute leur importance.

L’accès à votre réseau devrait être facile pour les utilisateurs légitimes, mais bloqué (ou du moins très compliqué) pour tous les autres.

Sécuriser vos réseaux

Si vos périphériques et vos serveurs sont tous correctement sécurisés, il faut s’assurer qu’ils peuvent se connecter ! L’accès à votre réseau devrait être facile pour les utilisateurs légitimes, mais bloqué (ou du moins très compliqué) pour tous les autres. Évaluez les éléments suivants :

  • Méthode de connexion. Des clients VPN bien configurés sur tous les appareils des employés permettent d’accéder au réseau en toute sécurité via un tunnel privé. D’autres solutions d’accès sécurisé seront disponibles au cas par cas. Si vous avez besoin que les employés aient un accès depuis Internet, se connectent-ils à un pare-feu externe particulier, ou à un service de cloud bien géré comme Office 365 ? Lorsque vous planifiez l’accès utilisateur, essayez de limiter autant que possible l’exposition de secteurs supplémentaires de votre réseau à Internet et à ses nombreuses menaces.
  • Limiter l’accès. Plusieurs types de connexions peuvent être configurés pour accroître la sécurité contre les acteurs malveillants. Si vous utilisez un service de cloud comme Office 365, réfléchissez à limiter l’accès depuis certains appareils, certaines plages IP, ou à certains types de connexions, dans la mesure du possible. Les pare-feux et d’autres services proposeront des options similaires afin de gérer méticuleusement les règles d’accès. Envisagez également des restrictions au sein de votre réseau ; empêcher les connexions ou les comptes utilisateurs d’accéder au-delà de certains secteurs réduira le risque posé par un employé non protégé ou une vulnérabilité imprévue.
  • Authentification solide. La prochaine étape pour sécuriser les accès consiste à s’assurer que des politiques de mots de passe solides et d’authentification multifacteurs sont mises en œuvre. L’application de politiques de mots de passe solides est indispensable pour tous les services, pas uniquement ceux auxquels le public doit avoir accès. L’authentification multifacteurs devrait être employée autant que possible pour votre entreprise. Souvenez-vous qu’il existe différents types d’authentification ; si les messages textes peuvent sembler plus faciles à mettre en place, si vous avez le temps de configurer une application d’authentification, votre entreprise sera bien plus en sécurité, alors que l’authentification basée sur un appareil peut parfois convenir afin de limiter la frustration des employés.
  • Penser à tout. Pour sécuriser un réseau, il faut prendre en compte toutes les manières qui permettent d’y accéder. Comment vos employés accèdent-ils à leurs boîtes e-mail depuis leurs appareils mobiles ? Les employés ont-ils besoin de se connecter à des technologies opérationnelles, comme un équipement d’usine (et est-il sûr de les laisser faire) ? Comment l’accès du bureau à distance à votre réseau est-il structuré ? Si vous ne sécurisez pas ces accès, vous créez des vulnérabilités ; si les accès ne sont pas facilités, vous empêchez les employés de travailler.

Sécuriser les connexions des employés

Le réseau peut être parfaitement sécurisé de votre côté, mais il y a des données qui viennent d’ailleurs. Étant donné que les employés sont installés à l’extérieur de votre environnement sécurisé, c’est souvent à eux que revient d’assurer un comportement exemplaire. Vous pouvez les aider en leur fournissant des directives appropriées (comme on le verra plus loin) sur des sujets comme :

  • La configuration du Wi-Fi à domicile. Les utilisateurs domestiques négligent souvent la sécurité de base lorsqu’ils configurent leur environnement chez eux. Vous pouvez aider vos employés en leur prodiguant des conseils simples, avec le soutien des supérieurs hiérarchiques. Des mesures de base comme changer le nom du réseau et les identifiants d’accès et d’administration sont cruciales, et les employés doivent également s’assurer qu’un chiffrement adéquat du réseau est en place, que l’accès distant est désactivé et que le logiciel est à jour.
  • L’accès à d’autres réseaux. Vous devriez peut-être envisager d’expliquer à vos employés comment utiliser le Wi-Fi public (ou non), comment les noms de réseau peuvent être usurpés, et comment des attaques intermédiaires peuvent être lancées sur les réseaux publics de Wi-Fi. La plupart des instructions d’utilisation du Wi-Fi public à des fins professionnelles sont très similaires, mais en fixant spécifiquement vos propres règles et directives, vous pouvez vous assurer que vos employés comprennent clairement les bonnes pratiques. N’oubliez pas de mentionner les autres risques existants lorsqu’on travaille dans des lieux publics, par exemple liés aux connexions Bluetooth et au simple espionnage par-dessus l’épaule.
  • Canaux de communication. Assurez-vous que vos employés comprennent bien la manière dont ils doivent communiquer avec vous, avec des tiers et entre eux. Indiquez clairement que les e-mails professionnels doivent être réservés aux comptes professionnels, ainsi que les services de messagerie qui doivent être utilisés (disposez-vous d’une solution professionnelle spécifique, ou vos employés sont-ils sur WhatsApp ?). Si vous ne vous assurez pas que des canaux de communication bien définis sont disponibles, vos employés pourraient rapidement échanger des mots de passe ou noms de clients par SMS, avec tous les risques que cela comporte. Si vous leur fournissez des solutions clairement définies, vous pourrez surveiller efficacement les menaces potentielles et les mouvements de données inappropriés, et les surveiller à toutes autres fins utiles.
  • Attention à l’hameçonnage à propos du coronavirus. Comme tous les autres événements majeurs dans le monde, l’épidémie de COVID-19 constitue une opportunité pour les acteurs malveillants, des simples escrocs aux groupes de hackers soutenus par des gouvernements. Les particuliers et les entreprises du monde entier sont désormais visés par des campagnes d’hameçonnage conçues pour jouer sur la peur du virus et sur le manque d’informations fiables sur l’épidémie. Il convient d’être particulièrement vigilant vis-à-vis des communications, liens, pièces jointes ou demandes d’informations concernant le coronavirus. En avertissant vos employés à ce sujet, vous réduirez la menace qui pèse sur eux et sur vous.

Informer vos employés

Les éléments ci-dessus constituent des domaines importants où vous pouvez guider vos employés, mais dans les faits, une communication claire et efficace est l’une des mesures les plus importantes que vous puissiez prendre, quel que soit le domaine. Même si vous avez un plan clair et des infrastructures sécurisées en place, sans informations claires, les employés commettront des erreurs, ou supposeront sinon que vous n’avez pas de plan et commenceront à prendre des mesures (potentiellement non sécurisées ou contre-productives) par eux-mêmes.

Assurez-vous que vos employés sont clairement informés, au moins une semaine à l’avance si possible, sur les appareils qu’ils peuvent utilisés, les services auxquels ils peuvent accéder et comment. Tenez-les au courant s’il y a des changements. Certains employés peuvent ne pas disposer de l’accès nécessaire ; vous devez trouver une solution avant qu’ils n’en trouvent une par eux-mêmes ! Si l’accès n’est pas encore en place, les employés devraient savoir quand la mise en place est prévue afin qu’ils agissent en conséquence, et quelles solutions alternatives sont disponibles dans l’intervalle, s’il en existe.

Les communications de ce type ne concernent pas seulement les équipes techniques informatiques ou de cybersécurité. Les communications avec les employés au sujet de l’accès distant doivent être supervisées par la direction. Si les équipes techniques peuvent fournir des solutions et des directives appropriées dont les employés ont besoin, ces informations doivent être efficacement préparées et rédigées afin qu’elles soient transmises dans un langage simple et clair, par une méthode adéquate et à un moment approprié. Il convient que les directives ou la politique soient clairement soutenues par les cadres de l’entreprise, afin de s’assurer qu’ils ont l’autorité et les connaissances nécessaires pour convaincre les employés de suivre les conseils donnés.

Dans la mesure du possible, assurez-vous de fournir suffisamment d’informations aux tiers également, y compris aux clients qui pourraient avoir besoin d’accéder à votre réseau. Ils auront également besoin de savoir comment vous contacter, comment accéder aux services et infrastructures concernés, et ce que vous attendez d’eux en termes de sécurité de leur côté. Veillez à ce que votre plan et vos exigences soient clairement en place, puis informez vos clients clairement et résolument de ce que vous voulez, et si la situation évolue, réfléchissez au meilleur moment pour les informer.

Se préparer au pire

Tout professionnel de la cybersécurité le sait, personne n’est jamais absolument à l’abri d’une attaque malveillante. Associer l’exposition accrue du télétravail à la confusion de délais brefs de réponse à la situation de crise du coronavirus ne fait qu’augmenter le risque.

Si vous avez mis en place des plans efficaces de réaction aux cyberincidents, de gestion de crise et/ou de reprise d’activité, il convient de les réviser à la lumière de votre nouvel environnement opérationnel. Pouvez-vous accéder à tous les équipements dont vous avez besoin pour un test ou une réinitialisation ? Vos données sont-elles toujours sauvegardées vers un site sécurisé ? Vos utilisateurs peuvent-ils toujours signaler efficacement l’hameçonnage ou d’autres indicateurs de cyberincidents ? Comment allez-vous maintenir la communication entre les gestionnaires de crise clés si tous les ordinateurs portables et mobiles sont chiffrés par un ransomware ? Si votre plan n’a pas encore été testé, ce n’est pas le moment de commencer. Mais est-ce qu’au moins, tout le personnel concerné comprend clairement le plan, et de quelle manière votre situation actuelle l’a-t-elle modifié ?

Si ces plans ne sont pas en place, vous n’avez probablement pas le temps de les mettre au point maintenant, mais il faut au moins réfléchir aux aspects essentiels. Est-ce que vous savez où vos données clés sont stockées ? Est-ce que vous connaissez les services clés pour la survie de votre entreprise ? Disposez-vous de canaux de communication de secours, indépendants de votre réseau ? Disposez-vous de sauvegardes de données identiques séparées et régulièrement mises à jour ?

Et surtout, dans votre situation actuelle, qui serait indispensable pour réagir à une crise ? Qui d’autre faut-il informer ? Comment vont-ils se coordonner, et qui les remplacera s’ils doivent dormir ?

S’adapter

Comme on l’a vu plus haut, la situation mondiale et les conseils des gouvernements évoluent rapidement. Le temps passant, les entreprises auront peut-être plus de temps pour mettre en œuvre des mesures supplémentaires et mieux s’adapter à la nouvelle situation ; ou de nouveaux événements les forceront peut-être à rester dans une attitude réactive. Quoiqu’il en soit, merci de garder en tête ce qui suit :

  • La cybersécurité doit faire partie de votre planification informatique et de votre planification d’entreprise, elle ne doit pas arriver en queue de peloton, au risque d'être inefficace et gênante
  • Gardez toujours un œil sur vos données, actifs et services clés, qui ont besoin d'être protégés
  • Envisagez toujours l’ensemble de votre réseau ou de votre entreprise, attention à ne pas passer à côté de lacunes dans vos défenses, ou de besoins légitimes de votre entreprise que vous bloquez sans le faire exprès
  • Communiquez avec vos employés : utilisez des messages clairs et simples, assurez-vous que les informations fournies sont fondées et officielles, et expliquez la manière dont ils doivent agir afin de faire leur travail efficacement
Vous trouverez un exemplaire téléchargeable de la présente alerte concernant les cyberrisques ici.
  • About The Author
Invalid First Name
Invalid Last Name
Country is required
Invalid email
Invalid Captcha
 
More Articles