Retour au bureau : l’enjeu de la sécurité à l’heure du travail hybride

L'organisation du travail a été profondément métamorphosée par la pandémie. À l'heure de la reprise, le travail à distance s'impose comme un nouvel impératif durable, mais aussi comme un nouveau périmètre à protéger pour l'organisation. Comment assurer la protection des données en télétravail et juguler la question de la cybersécurité ?

Le télétravail s'est généralisé avec l'irruption de la crise sanitaire. Le déconfinement initié, une majorité de salariés et de cadres semblent favoriser un modèle hybride, entre le bureau classique et le travail à domicile, confirme une étude de BDO. La pandémie l'a pourtant prouvé : si l'organisation y est mal préparée, le risque de cyberattaque représente une nouvelle menace pour l'intégrité des données et même la continuité des opérations.

Le souhait du 100% télétravail reste encore minoritaire, mais près de 80% des salariés se prononcent en faveur d'une organisation comprenant 3 jours de télétravail par semaine ouvrée. En Belgique, le travail à distance va également continuer de figurer parmi les pratiques des entreprises. Il faut donc assurer à tout prix une protection des données pour pérenniser le télétravail sans jamais sacrifier la cybersécurité

Télétravail : les risques pour votre IT

La banalisation du travail à distance pose un certain nombre de défis pour les départements IT. Par essence, l'entreprise est le lieu où la sécurité des réseaux d’entreprise est naturellement assurée et acceptée.

Un dangereux relâchement ex cathedra

Lorsque le bureau se déplace au domicile des utilisateurs, quid de la sûreté des réseaux domestiques ? "D'une part, on constate que les mots de passe sont souvent réutilisés pour plusieurs comptes. Or, un mot de passe subtilisé peut par essence ouvrir d'autres portes. D’autre part, la présence d'objets connectés dans la maison pose question, car leur sécurisation n'est pas toujours garantie", explique Geert van Bossuyt, Product Manager Security. Exemple : une caméra de surveillance peut être vérolée et permettre une prise de contrôle à distance, donc d'accéder aux données de l'utilisateur sans qu'il s'en rende compte.

Pour Geert van Bossuyt, l'état d'esprit sécuritaire à la maison doit épouser celui qui naturellement prévaut en entreprise : "Il faut communiquer et transmettre la culture de la sécurité. Expliquer, par exemple, que les outils de l'entreprise doivent primer sur des sites moins sécurisés de type Dropbox ou WeTransfer pour transmettre des documents sensibles, tant avec les clients que les collègues."

Ce relâchement s'observe également dans d'autres endroits, à mesure que les États déconfinent les populations : "On peut en effet très bien travailler dans un café ou en terrasse avec un ordinateur professionnel, sur des réseaux là encore entièrement ouverts", donc poreux.

Les nouvelles menaces de fraude

Les situations exceptionnelles dans lesquelles la crise sanitaire nous a plongés ont donné naissance à de nouvelles techniques comme le phishing, l'ingénierie sociale ou encore la fraude aux CEO. Les cybercriminels choisissent en effet de s'attaquer aux entreprises en touchant directement les collaborateurs, allant parfois jusqu'à la manipulation psychologique. Les moyens utilisés vont des appels téléphoniques aux e-mails usurpés en passant par les messageries instantanées comme WhatsApp, Signal, Telegram ou iMessage. Objectif : recueillir des informations sensibles et confidentielles.

Le phénomène Shadow IT

Les CIO doivent également faire face au phénomène du Shadow IT, avec la multiplication des appareils non certifiés qui se connectent soit aux réseaux soit aux données de l'entreprise. Le problème : plus de vue précise sur ce qui se fait dans l'entreprise et en dehors de ses enceintes et filiales.

Sécuriser les données : les bases

Une vigilance numérique de tous les instants est un gage de cybersécurité pour les organisations.

Imposer un VPN

De nouveaux paradigmes ont fait leur irruption pour assurer ce périmètre, peu importe le lieu où le travail s'accomplit : "Naguère, on préconisait un antivirus pour accéder aux ressources de l'entreprise, mais cette époque est révolue. Il faut aujourd'hui impérativement imposer un tunnel VPN, qui va établir un lien sécurisé entre l'ordinateur personnel et les ressources des organisations".

Imposer l'authentification forte

À l'heure du Cloud, le télétravail aura beau utiliser un VPN pour se connecter et s'authentifier, il passera également par des données hébergées sur un Cloud public (Amazon, Google Workspace, Microsoft 365). Conséquence : les DSI doivent sécuriser l'ensemble des données, mais aussi des accès à ces données et à ces ressources (applications dans le Cloud, par exemple). Pour ce faire, "le mot de passe doit évoluer vers des solutions de double authentification", c'est-à-dire la combinaison entre un single sign on et une méthode d'authentification forte. Celle-ci peut être assurée à l'aide d'une application de type OTP ou encore un boîtier qui va générer une séquence de chiffres sans laquelle l'utilisateur ne pourra être identifié.

Rien n'est moins simple, confirme Geert VAN BOSSUYT : "Généraliser la double authentification n'est pas simple, car elle ennuie l'utilisateur final. C'est d'ailleurs la raison pour laquelle certains départements IT décident de relâcher cet aspect et c'est une erreur. Il faut travailler sur l'awareness sécurité, la conscientisation. Expliquer que, certes, c'est un peu moins convivial, mais pourquoi il est essentiel de combiner les outils. La sécurité bancaire va de soi aujourd'hui : ce qui prévaut dans le domaine doit servir d'exemple pour les données de l'entreprise, peu importe le niveau de frilosité des équipes IT et la réticence des utilisateurs finaux".

Imposer une politique sécuritaire

Chez soi comme dans un environnement public (y compris les espaces de coworking), l’attention se relâche : "On peut plus facilement être victime de phishing ou autres malwares". D'où l'importance de définir une politique claire en matière de sécurité qui consiste notamment à protéger le poste de travail à distance : cela passe, par exemple, par “une gestion fine des droits des utilisateurs, mais aussi par la nécessité de filtrer les accès web pendant qu'il travaille". Autre nécessité : garantir la possibilité de pouvoir effacer des données ou bloquer un ordinateur à distance en cas de risque détecté.

Quelles règles en télétravail ?

"Au sein de Win, nous avons par exemple établi une série de règles très précises que nos collaborateurs suivent à la lettre et qui nous servent de modèle de cybersécurité du télétravail auprès de nos clients", commente le Product Manager Security :

• Travailler exclusivement avec une connexion VPN SSL ;`

• Impossibilité d'imprimer sauf exceptions ;

• Aucun stockage de fichiers sensibles sur des supports externes, Cloud compris ;

• Pas de transfert de fichiers en dehors des outils de Cloud sécurisés de l'entreprise ;

• Utilisation des applications de messagerie et de communication approuvées et certifiées uniquement.

Le Zero Trust Network

Les données d'entreprise ultrasensibles doivent, elles, conduire à la création de ce que l'on appelle Zero Trust Network, qui va encore plus loin : "Dans ce modèle plus extrême, on n'accorde pas plus confiance aux utilisateurs qu'ils soient dans les bureaux, dans un café ou chez eux. Ils doivent s'authentifier de manière forte, peu importe l'endroit de connexion". L'avantage ? Une fois l'utilisateur correctement identifié, une confiance peut lui être attribuée durant sa session de travail, y compris sur certains Clouds.

Conclusion

Les départements IT ont été fortement sollicités pour mener la mise en place du télétravail durant la pandémie. Elles peuvent aujourd'hui pérenniser cette pratique en adoptant des politiques sécuritaires strictes, seules capables de garantir la sécurité et l'intégrité des données et applications d'entreprise. Car le travail à distance est une tendance de fond et qu'il n'est plus envisageable de revenir en arrière.