Télétravail : quand les employés deviennent des « Responsables informatiques »

Benoît Grunemwald, expert chez ESET

La crise sanitaire a forcé de nombreuses entreprises à switcher vers le télétravail. Si certaines étaient bien préparées et fonctionnaient déjà avec une partie des effectifs à distance, pour d’autres, la bascule a été plus problématique. Dans tous les cas, ce nouveau mode de travail requiert des fondamentaux en termes de sécurité informatique, afin d’éviter les attaques contre les salariés et donc contre l’entreprise. Benoît Grunemwald, expert chez ESET, entreprise technologique leader dans les solutions de cybersécurité, fait le point sur les bonnes pratiques à mettre en place.

« Pour beaucoup d’entreprises, le recours massif au télétravail imposé dès les premiers confinements n’a été qu’une mise à l’échelle. » Pour Benoît Grunemwald, évoquer la bascule vers le télétravail et les problématiques de sécurité informatiques nécessite d’observer les bonnes pratiques, mises en place par certaines entreprises bien avant la crise. En effet, nombre d’entre elles fonctionnaient avec des employés en télétravail ou des prestataires à distance. La crise sanitaire n’a été qu’une généralisation de ce fonctionnement, pour s’appliquer de manière plus ou moins importante à la grande majorité des employés.

« Comment traitions-nous ces populations à distance avant la crise ? questionne l’expert d’ESET. Quel équipement, quelle sensibilisation, quelles infrastructures étaient déployés pour que les données auxquelles les travailleurs accèdent soient sécurisés ? C’est cela que nous devons regarder afin d’élargir ces pratiques. »

Sécuriser les mots de passe

Passer en télétravail nécessite le plus souvent d’avoir recours à un Cloud et des outils collaboratifs, pour partager les documents et maintenir un travail d’équipe. Premier impératif dans ce cadre, selon Benoît Grunemwald, sécuriser les mots de passe des employés. Dans un premier temps, ceux-ci doivent être forts et différents pour chaque application. Aussi, le document sur lequel sont consignés ces mots de passe doit être bien protégé.

Mais ceci n’est pas suffisant selon l’expert, qui conseille d’utiliser l’authentification forte. Il s’agit d’un code à six chiffres reçus sur le téléphone de l‘employé, assurant ainsi une deuxième protection au cas où les mots de passe aient été volés. Ce code change toutes les 30 secondes, et assure ainsi que la personne qui se connecte est bien celle qu’elle prétend être. Cette pratique, très simple et peu couteuse à mettre en place, est systématiquement recommandée par ESET, que ce soit en interne ou en externe, pour les clients. « Nous proposons notre solution, ESET Secure Authentification. En termes de coût, financier et humain, c’est très abordable et simple à déployer”, assure Benoît Grunemwald. C’est une solution qui s’intercale dans des applications existantes. Car si les grands fournisseurs de messagerie proposent cette authentification forte, ce n’est pas le cas des petites applications. C’est pour cela que nous proposons cette solution. »

Si celle-ci était déjà déployée auprès des clients d’ESET avant la pandémie, le recours massif au télétravail a poussé l’entreprise à la proposer d’avantage aux partenaires. Car la crise a engendré une inversion de la proportion du personnel en travail à distance et de celui présent sur site.

Le gros avantage avec cette solution : n’importe quel téléphone mobile peut générer le code d’authentification forte, ce qui la rend accessible au plus grand nombre.

En Afrique, les risques de l’obsolescence

Sur le continent, des spécificités se dégagent en termes de cyber risques selon l’expert. En effet, le rapport trimestriel d’ESET sur les menaces fait état, sur le continent, de nombreuses machines attaquées à cause d’anciennes vulnérabilité. Il s’agit en fait d’ordinateurs qui ne sont pas à jour ou qui utilisent des logiciels obsolètes.

Un employé en plein télétravail

L’entreprise recommande ainsi à ses clients africains de mettre à jour les systèmes d’exploitation, les applications et tous les éléments actifs du réseau. Car ces derniers, vieux de plusieurs années, comprennent souvent de nombreuses failles. Il s’agit des routers, des imprimantes, des écrans, de tous les objets connectés au réseau, qui comprennent des vulnérabilités.

Analyser les risques

La bascule vers le télétravail implique donc une plus grande analyse des risques, selon l’expert. Car il s’agit le plus souvent d’une population qui n’avait pas l’habitude de travailler depuis l’extérieur. Certains membres du personnel qui accèdent à des informations confidentielles au sein de l’entreprise, comme les comptables, se sont ainsi retrouvés en télétravail dans ce contexte de crise.

Benoît Grunemwald conseille alors de baser cette analyse-risque sur trois piliers :

  • La disponibilité des données, c’est à dire qu’elles soient disponibles et accessibles uniquement au personnel qui en a besoin ;
  • L’intégrité des données, c’est à dire qu’elles restent justes et non falsifiées ;
  • La confidentialité, tant en interne qu’en externe où personne ne doit avoir accès à certaines données.

Les clés de la confiance

« La beauté de l’agilité informatique, est qu’elle permet d’assurer la sécurité sur n’importe quel poste de travail, au sein de l’entreprise, comme à l’extérieur. Même en utilisant un poste lambda, on peut continuer à travailler sans mettre en danger la sécurité de l’entreprise », assure Benoît Grunemwald.

Pour autant, cela demande plus de préparation, plus de moyens et plus d’étapes pour sécuriser les postes.

Et ceci requiert un travail énorme de sensibilisation des employés et de mise en place de solutions techniques. Ainsi donc, doivent être déployés des filtres anti-phishing, anti-spams, ceci dans une démarche d’accompagnement de l’utilisateur. Car, « chaque terminal connecté au même réseau devient un attaquant potentiel », rappelle Benoît Grunemwald, qui attire l’attention sur la nécessité de « ne pas oublier les objets connectés au réseau, dont les smartphones sur lesquels il est nécessaire d’installer un antivirus ».

« L’employé n’est pas là pour être un expert informatique, ajoute l’expert d’ESET. On gagne du temps s’il est informé, mais il n’a pas vocation à tout savoir sur la sécurité ». Des solutions simples existent pour sensibiliser l’ensemble des employés, comme mener de fausses campagnes de phishing, avec bienveillance. Ensuite, c’est une question de confiance. « Lorsqu’on travaille ailleurs qu’au sein de l’entreprise, chaque employé devient un responsable informatique. Il faut donc l’informer pour qu’il devienne un maillon fort de cette cybersécurité », conclue l’expert.

La Rédaction

 RETROUVEZ CE PUBLIREPORTAGE DANS LE N°69 DE NOTRE MAGAZINE SUR LE TELETRAVAIL ET LA CYBERSECURITE : https://bit.ly/3d5nfWp

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here