Alors que de nombreux pays font face à la réouverture et, dans certains cas, à la fermeture de leurs frontières à la suite de la pandémie de COVID-19, le concept de travail à distance ou de travail à domicile (TSD) suscite davantage d’intérêt de la part des organisations. Face à cette nouvelle réalité, les employés et les entrepreneurs ont recours au travail à distance ou au télétravail pour passer le cap de 2021 et au-delà.

Selon une enquête de Global Workplace Analytics menée auprès de 3 000 employés travaillant à distance pendant la pandémie, 73 % d’entre eux réussissent très bien lorsqu’ils travaillent à domicile, 86 % déclarent se sentir « pleinement productifs » en travaillant depuis leur bureau à domicile et 76 % souhaitent continuer à travailler à domicile au moins 2,5 jours par semaine, en moyenne. Une autre étude menée par Owl Labs a montré que les employés préfèrent le travail à distance car ils passent moins de temps à se rendre au travail et à en revenir, et l’équilibre entre vie professionnelle et vie privée les a rendus plus productifs et plus concentrés, comme le montre le graphique ci-dessous :

Une nouvelle réalité signifie de nouveaux défis pour la cybersécurité

L’adoption du travail à domicile pose certains problèmes, car elle expose les entreprises à des risques accrus en matière de cybersécurité – elles sont plus sensibles aux attaques de phishing et de logiciels malveillants, exposant ainsi leur entreprise à de multiples cybermenaces.

Vous trouverez ci-dessous les différentes menaces et les différents défis auxquels les entreprises sont actuellement confrontées en matière de cybersécurité :

• La surface d’attaque s’est considérablement accrue avec l’augmentation du nombre d’utilisateurs se connectant au réseau depuis l’extérieur de l’entreprise – le réseau n’est plus fermé. L’activité des cybercriminels s’est également intensifiée, comme en témoignent l’augmentation de 131 % des attaques de virus et les quelque 600 nouvelles tentatives d’hameçonnage par jour au début de la pandémie [Source : Threat Post].

• Les cyberattaques évoluent également en taille et en sophistication. Au début, le nombre d’attaques par hameçonnage était directement lié au COVID-19 (y compris celles prétendant provenir des Centres de contrôle et de prévention des maladies). Plus tard, ces attaques se sont concentrées sur les plans de relance et l’assurance chômage, avant d’évoluer vers des sujets tels que les vaccins et le marché boursier. Ils n’utilisent pas seulement le courrier électronique pour ces tentatives, mais aussi des publicités en ligne, des applications mobiles et d’autres tactiques.

• La plupart des entreprises ont mis en place des tests de sécurité rigoureux pour s’assurer que leur réseau d’entreprise est sécurisé et disposent de l’expertise, des systèmes et des outils de sécurité nécessaires pour détecter et protéger le trafic suspect sur le réseau. À l’inverse, de nombreux réseaux domestiques sont mis en place par les utilisateurs finaux eux-mêmes, à l’aide du routeur fourni par leur fournisseur d’accès à l’internet, sans aucun système de sécurité avancé. Cela signifie que le réseau domestique n’est généralement pas configuré de manière sécurisée, car il ne comprend pas les mesures de protection disponibles sur les réseaux d’entreprise.

Comment pouvons-nous donc atténuer ces risques ?

Solutions proposées

Il est de la plus haute importance pour les entreprises qui adoptent le travail à domicile de mettre en œuvre des solutions basées sur les personnes, les processus et la technologie afin de les protéger contre les cyber-risques et les menaces croissantes.

Processus

Du point de vue de la gouvernance, les entreprises devraient élaborer une politique en matière de travail à distance. Cela les aidera à guider le personnel à travers les défis du travail à distance, à réduire les risques et à s’assurer que l’impact sur la productivité est minimisé.

Avec le passage à un environnement élargi de travail à domicile, la surface de risque a radicalement augmenté pour la plupart des entreprises. Cette évolution justifie une réévaluation des risques de cybersécurité afin de préparer les équipes informatiques et les équipes d’intervention à redéfinir les priorités de leurs efforts pour assurer la sécurité des données de l’entreprise. Un exercice complet d’évaluation des risques devrait donc être mené pour réévaluer le profil de risque de l’entreprise en fonction de l’évolution de sa main-d’œuvre vers un environnement de télétravail.

Les appareils fournis par l’entreprise sont généralement très sécurisés et lorsque le personnel travaille à distance en utilisant les ordinateurs de l’entreprise, le risque est moindre qu’en utilisant ses propres appareils, à condition que tous les paramètres de sécurité restent en place et que les logiciels continuent d’être mis à jour régulièrement. Les appareils professionnels sont dotés de paramètres de sécurité stricts, d’un bon antivirus et de logiciels sûrs approuvés et préinstallés.

Enfin, il est essentiel que l’entreprise mette à jour et teste sa procédure de réponse aux incidents et ses guides. Les entreprises doivent préciser comment réagir si un employé travaillant à domicile possède un ordinateur portable infecté par un logiciel malveillant tel qu’un ransomware – que doit faire l’employé ? Doit-il éteindre l’ordinateur portable ? Ou attendre qu’un membre du service informatique vienne chercher l’appareil et l’examine ?

Tous ces scénarios sont possibles et les réponses doivent être définies à l’avance et les procédures détaillées doivent être clairement énoncées dans les manuels afin d’atténuer les conséquences des attaques.

Les personnes

Une formation continue de sensibilisation à la sécurité doit être organisée pour tenir les employés au courant des risques de sécurité auxquels ils sont exposés et les aider à comprendre comment ces risques peuvent affecter la continuité des activités et, en fin de compte, l’image de marque de l’entreprise.

Vous trouverez ci-dessous quelques suggestions de thèmes pour les sessions de sensibilisation à la sécurité :

• Utilisation d’un réseau domestique privé plutôt que d’un réseau d’invités ;
• Nouveaux types d’ingénierie sociale comme le phishing et le vishing ;
• les meilleures pratiques en matière de courrier électronique et de comportement sur le web
• Sécurité des appareils du réseau domestique.

Enfin, il est très important de tester l’efficacité de la sensibilisation, et les processus susmentionnés tendent à la renforcer. Vous trouverez ci-dessous quelques suggestions pour renforcer la sensibilisation à la sécurité :

• Effectuez des simulations d’hameçonnage ;
• contrôler le nombre d’anomalies signalées par les utilisateurs ; et
• Testez la connaissance des lignes directrices pour une navigation sûre sur le web.

Technologie

En termes de solutions technologiques, différents contrôles peuvent être mis en œuvre selon les scénarios suivants :

1. Les employés utilisent leurs propres appareils pour accéder à l’environnement professionnel.
2. Employés utilisant des appareils de l’entreprise pour accéder à l’environnement professionnel.
3. Employé utilisant ses propres appareils ou ceux de l’entreprise pour accéder à l’environnement en nuage de l’entreprise.

Pour le scénario 1 (c’est-à-dire les employés qui utilisent leurs propres appareils pour accéder à l’environnement professionnel), la solution suggérée est de mettre en place un environnement de bureau virtuel (Virtual Desktop Environment). Ce dernier répondra aux besoins d’un nombre croissant de travailleurs à distance. L’utilisateur dispose d’un bureau conçu en fonction de son profil individuel et n’a accès qu’aux applications dont il a besoin. Ce système devrait également permettre l’authentification multifactorielle (MFA).

Cette mise en œuvre présente de nombreux avantages tels que

• L’accès des utilisateurs est étroitement contrôlé ;
• La propagation des logiciels malveillants est plus difficile ; et
• Il est plus facile de contenir les incidents.

Pour le scénario 2 (c’est-à-dire les employés qui utilisent des appareils de l’entreprise pour accéder à l’environnement professionnel), les contrôles suggérés sont les suivants :

• L’accès n’est possible que par l’intermédiaire d’un réseau privé virtuel (Virtual Private Network) [VPN] avec l’autorisation d’accès à l’Internet (MFA) ;
• Installez Mobile Device Management [MDM] sur les appareils de l’entreprise avec des politiques strictes activées ;
• Contrôle de l’accès à l’internet grâce à la sécurité web ;
• Le correctif à distance [or Virtual Patching] doit être effectué pour les appareils ;
• Contrôle à distance des enregistrements à effectuer ;
• L’accès conditionnel doit être activé ; et
• Prévention de la perte de données [DLP] à appliquer.

Pour le scénario 3 (c’est-à-dire les employés qui utilisent leurs propres appareils ou ceux de l’entreprise pour accéder à l’environnement en nuage de l’entreprise), les contrôles suggérés sont les suivants :

• Activer le MFA sur le système en nuage ;
• Activer l’accès conditionnel ;
• Activez la fonction de sécurité de l’application Cloud [preferably with sandboxing] pour rechercher les logiciels malveillants ;
• Activez la fonction DLP ;
• Durcir l’environnement en nuage selon les meilleures pratiques ; et
• Activez la protection avancée contre les menaces pour l’accès au courrier électronique.

Il est important que les entreprises gèrent activement leur cybersécurité lorsqu’elles travaillent à distance. Bien que de grands changements affectent les entreprises en ce moment, la sécurité ne devrait jamais être compromise et pourrait, en fait, nécessiter plus d’attention au fur et à mesure que nous nous installons dans nos nouvelles méthodes de travail. Ces temps difficiles nous rendent plus forts à mesure que nous comblons les lacunes et les vulnérabilités de la sécurité de notre entreprise, ce qui est en fin de compte une bonne chose.

Même si les entreprises ont mis en place des politiques de télétravail plus souples pour mieux répondre aux besoins de leurs employés à court terme, elles doivent s’assurer que leurs stratégies de télétravail sont solides et qu’elles peuvent prendre en charge une connectivité à distance sécurisée à long terme. En fait, le télétravail pourrait occuper une place plus importante que prévu dans les stratégies d’entreprise de demain.

[Pour en savoir plus sur le travail à domicile chez Bank One, cliquez ici pour accéder au point de vue de Priscilla Mutty, responsable des ressources humaines, dans un blog intitulé « S’adapter au nouvel environnement de travail »].