L’adoption récente et massive du télétravail ne s’est pas faite sans douleur, pour beaucoup d’entreprises. Au-delà des problèmes d’organisation, un nouveau risque, alors inconnu de la plupart de ces entreprises, est apparu : les cyberattaques.
Ces attaques peuvent causer de lourds dégâts, et il est important de s’en prémunir, même si le risque semble nul. En implémentant quelques bonnes pratiques, il est déjà possible de pratiquer le télétravail en toute sécurité.
Vous voulez connaître les outils et bonnes pratiques à mettre en place pour un télétravail sécurisé ? Nous vous expliquons tout dans cet article.
Télétravail : des risques accrus pour la sécurité informatique
Un recours de plus en plus important au télétravail
Le télétravail, peu répandu en France il y a encore quelques années, est maintenant pratiqué dans beaucoup d’entreprises. Une des causes principales de changement est la crise sanitaire du COVID-19, qui a bousculé le monde du travail en imposant, de gré ou de force, le travail à distance.
Cette transition parfois brutale, s’est faite dans la précipitation pour beaucoup de compagnies. Ces dernières n’ayant pas eu le temps de se former aux bonnes pratiques liant télétravail et sécurité informatique, elles sont maintenant exposées à de nouveaux risques : les attaques informatiques.
Une pratique risquée pour les entreprises
Ces risques, liés au manque de préparation au passage au télétravail, sont souvent inconnus des entreprises, qui ne prennent donc pas les précautions nécessaires.
Fatalement, le nombre de cyberattaques augmente. Selon le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 54% des entreprises françaises auraient même subi une cyberattaque en 2021. Il ne faut pas sous-estimer ces attaques, qui peuvent causer jusqu’à la fermeture d’une entreprise.
Parmi les principaux risques de sécurité informatique liés au télétravail, nous pouvons citer :
- le vol de l’ordinateur professionnel, que ce soit en dehors ou au domicile du salarié, plus risqué que s’il restait dans les locaux de l’entreprise ;
- l’utilisation de réseaux non sécurisés, si le salarié vient à travailler sur des réseaux publics (cafés, gares, etc.). Ces réseaux sont parfois faiblement sécurisés, ce qui permet à des attaquants “d’écouter” ce qui y transite, tels que des mots de passe ;
- le phishing, qui est la principale source des cyberattaques. L’employé reçoit un e-mail frauduleux, soit sur sa boîte professionnelle, soit sur sa boîte personnelle. Ce courriel contient généralement un lien, menant vers un faux site demandant à l’utilisateur de se connecter (et donc de donner son mot de passe), ou de télécharger un fichier qui se trouve être un virus. Le phishing peut mener à de graves conséquences, allant jusqu’à compromettre l’ensemble du SI d’une entreprise.
5 bonnes pratiques pour un télétravail en toute sécurité
Pour télétravailler en toute sécurité, il est important de suivre certaines règles. Nous avons listé ici les principales, dont certaines sont simples à implémenter.
1. Utiliser du matériel sécurisé
Nous l’avons dit, l’utilisation du matériel personnel pour le télétravail augmente le risque d’attaques informatiques. Par exemple, un collaborateur qui télécharge par inadvertance un virus sur son ordinateur personnel – mais utilisé dans le cadre professionnel, peut potentiellement exposer toutes les données de l’ordinateur à l’attaquant, incluant les données professionnelles qui y sont stockées.
Il est donc déconseillé de laisser un employé utiliser son ordinateur personnel pour son travail. Mieux vaut qu’il ait un ordinateur, fourni par l’entreprise, qu’il n’utilisera que dans le cadre professionnel.
2. Mettre en place un VPN
La mise en place d’un VPN fait aussi partie des bonnes pratiques. Un VPN, pour virtual private network, ou réseau privé virtuel en français, est un système qui permet d’isoler les échanges entre deux machines, les rendant imperméables au reste du trafic.
C’est notamment utile dans le cas de la connexion à un réseau WiFi publique. L’utilisation d’un VPN protégera les données échangées entre l’ordinateur et le serveur de l’entreprise. Cet outil permet également de bloquer l’accès au réseau interne de l’entreprise si l’ordinateur n’est pas connecté – via un mot de passe sécurisé – au réseau virtuel.
3. Déléguer la gestion des mots de passe
L’utilisation de mots de passe à faible niveau de sécurité, ou la réutilisation de ces derniers sur plusieurs services, est une des causes principales de piratage. Par exemple, si un employé utilise son mot de passe personnel pour sa boîte mail professionnelle, et que ce mot de passe est corrompu, un attaquant pourra accéder aux courriels professionnels du collaborateur. Et, par ce biais, tenter de s’infiltrer sur l’ensemble du réseau.
Pour l’entreprise, il est possible de mettre en place une politique de mot de passe forte (12 caractères, contenant un chiffre, un caractère spécial, etc.) pour limiter les risques. Mais la meilleure pratique reste de déléguer la gestion de ces mots de passe à des services externes, comme 1Password. Ainsi, le collaborateur n’aura même pas à connaître ses mots de passe professionnels. Ceux-ci seront automatiquement suggérés au moment se connecter aux sites internes – si l’utilisateur s’est authentifié au service de mots de passe.
Il est également recommandé d’activer l’authentification à deux facteurs, ou 2FA. Le service professionnel (type messagerie) demandera alors au salarié de saisir un code, par exemple envoyé par SMS, lors de la connexion. Cela limite les risques de piratage en cas de vol du matériel.
4. Utiliser des logiciels sécurisés (et les maintenir à jour)
Pour avoir un système sécurisé, il est important d’utiliser les bons logiciels. Que cela soit pour des boîtes mails, des messageries instantanées ou des outils de gestion de projets, il existe énormément de solutions. Mais toutes ne se valent pas, en terme de cybersécurité.
Il convient donc de choisir les bons outils, et de les mettre à jour. En effet, ces logiciels proposent régulièrement de nouvelles versions, souvent pour corriger des problèmes de sécurité. Ne pas lancer ces mises à jour dès qu’elles sont disponibles fait courir un risque important aux entreprises.
Cela vaut aussi pour les systèmes d’exploitation, qu’il s’agisse de macOS, Linux ou Windows. En 2017, une cyberattaque via ransomware (connue sous le nom de WannaCry) a infecté des centaines de milliers d’ordinateur fonctionnant sous Windows, alors qu’une mise à jour de sécurité était disponible depuis plusieurs semaines. De grandes entreprises, telles que Renault, ont été victimes de ce virus.
5. Sensibiliser les collaborateurs à la sécurité lors du télétravail
La plupart des attaques venant de failles humaines (perte ou vol de matériel, phishing), il est essentiel de sensibiliser les collaborateurs aux risques cybers.
Pour cela, il existe évidemment des formations, mais la mise en place de quelques bonnes pratiques suffisent à instaurer un niveau de sécurité au télétravail suffisant. Citons par exemple :
- toujours regarder l’expéditeur d’un e-mail reçu ;
- se méfier des signes évoquant un e-mail frauduleux : fautes d’orthographe, images floues, notion d’urgence, etc. ;
- regarder si les liens contenus dans le courriel ne paraissent pas étranges avant de cliquer dessus (si le nom du site internet est bien officiel, par exemple) ;
- ne jamais partager d’informations confidentielles (mot de passe, numéro de carte de crédit, etc.) par e-mail, quel que soit le destinataire ;
- en cas de doute, contacter le département SI de l’entreprise, ou le responsable sécurité informatique s’il y en a un.
Conclusion
Nous l’avons vu, l’adoption du télétravail a été massive, rapide et souvent forcée. Les entreprises n’y étant pas préparées, très peu ont su mettre en place une politique de cybersécurité efficace, ce qui a inévitablement conduit à une augmentation du nombre d’attaques informatiques.
Cependant, en suivant quelques bonnes pratiques souvent simples à mettre en place, comme celles expliquées dans cet article, il est possible d’améliorer grandement la sécurité informatique d’une entreprise, et donc de limiter ces risques de cyberattaques.
