Sécurité

Télétravail : prendre ses distances, mais pas avec la sécurité

Share this post:

Consacré par la crise du Covid-19, le télétravail marque définitivement l’éclatement du périmètre informatique de l’entreprise. Déjà élargi, voire redéfini, à plusieurs reprises par le passé avec l’essor des extranets, du Cloud ou des pratiques comme le Shadow IT, ce périmètre vole définitivement en éclats. Avec de lourdes conséquences sur le volet sécurité.

 

Ah, qu’elle était simple, l’informatique traditionnelle ! Un réseau local (LAN) fermé sur lui-même, sans aucune ouverture vers le monde extérieur, donc aucune intrusion possible. Certes, il y avait bien, de-ci, de-là, quelques employés négligents pour insérer dans leur ordinateur des disquettes ou clés USB contaminées, mais globalement, ça se passait plutôt bien.

Et puis, au fil du temps, le Système d’Information s’est étendu. Les extranets ont permis de relier des sites distants, parfois à l’autre bout du monde ; le Wi-Fi s’est imposé pour connecter les locaux (et au-delà !) plus facilement que les câbles ; le Cloud s’est invité et les applications SaaS ont envahi les postes de travail ; les collaborateurs ont introduit leurs propres appareils (smartphones, laptops, parfois même enceinte connectées) et outils (chat, gestion du temps, TODO lists…).

C’est une constante : le périmètre informatique de l’entreprise ne cesse de grandir et avec lui, les éléments de sécurité à mettre en œuvre pour le protéger.

 

Une nécessaire vision stratégique

Le télétravail est l’une des dernières manifestations de cet éclatement du périmètre SI. Rendu obligatoire en temps de confinement, il reste recommandé aux entreprises afin de lutter contre la propagation de la Covid-19.

La pratique n’est pas nouvelle, bien sûr, mais elle était jusque-là plutôt marginale. Dès lors, si certaines entreprises étaient plus ou moins prêtes au télétravail, d’autres ont dû s’adapter à la hâte.

Pour réussir sa transition vers un modèle où le télétravail est amené à tenir une place prépondérante, l’entreprise doit d’abord l’inscrire dans une vision stratégique : le SI doit être adapté et les collaborateurs, sensibilisés.

 

Trust Nobody

L’approche la plus pertinente est ici celle du « Zero Trust » : ne faire confiance à personne, jamais.

L’accès distant aux actifs de l’entreprise ne doit se faire que via un VPN solide, correctement configuré et tenu à jour.

Des outils de gestion de flotte doivent être installés sur les appareils fournis aux collaborateurs : ils sont utiles pour empêcher l’installation d’applications non désirées, et essentiels en cas de perte ou de vol du téléphone ou de l’ordinateur portable.

De même, un outil de type EDR (Endpoint Detection and Response), dédié à la détection d’activités suspectes sur le poste de travail, est bien plus efficace qu’un antivirus « classique » pour lutter contre les malwares, les virus, les attaques de type « zero day », etc.

Enfin, bien sûr, le choix des apps utilisées est crucial – on a tous en mémoire l’exemple d’une certaine solution de visioconférence dont le succès inattendu a mis en évidence des faiblesses en matière de confidentialité.

Ce sont là quelques pistes, les plus urgentes. D’autres doivent être explorées sur le plus long terme, notamment l’audit et l’ajustement, si nécessaire, du Plan de Continuité d’Activité ou Plan de Reprise d’Activité (PCA/PRA).

 

Sensibiliser et former les collaborateurs

On ne le répétera jamais assez : la première vulnérabilité d’un SI, c’est… l’utilisateur.

A l’été 2020, un incident de sécurité a affecté l’un des plus grands réseaux sociaux. 130 comptes officiels, dont ceux de Bill Gates, Barack Obama, Elon Musk, Apple ou encore Uber, ont été victimes d’un piratage massif : ils ont diffusé des messages incitant les internautes à leur faire parvenir des Bitcoins en leur promettant en échange le double des montants transférés ! Comment est-ce possible ? Le réseau social a reconnu que les pirates – interpellés depuis – avaient « réussi à cibler certains des employés de la firme ayant accès aux systèmes et outils internes ».

Il n’y a pas de miracle, une information claire et transparente aux collaborateurs est indispensable : sensibilisation au phishing et aux techniques de social jacking et de social engineering, séparation stricte des activités professionnelles et personnelles sur l’ordinateur (la possibilité d’utiliser son PC pro à la maison est le meilleur moyen d’éviter le mélange des genres), etc. Tout ce qui peut être relayé, expliqué, décortiqué, doit l’être.

 

Prendre le temps de mettre le télétravail en place

Dans l’étude Cybermoi/s 2020 : un mois pour se protéger du chantage numérique, Mathieu Feuillet, sous-directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), rappelle très justement que si « le télétravail offre des opportunités » aux attaquants, il est « réalisable avec un niveau de sécurité correct, il faut juste prendre le temps de le mettre en place ».

 

Connaissez-vous IBM Security ?

 

Consultant en Sécurité IBM

More Sécurité stories
22 janvier 2021

Le « Zero Trust » : remettre en question la confiance pour mieux faire confiance

En télétravail, les salariés ont dû gérer eux-mêmes leurs problèmes de sécurité. VPN, pédagogie sur les techniques de vol des identifiants numériques (hameçonnage ou « phishing ») ont montré leurs limites. La solution : le zero-trust.   Lors de l’arrivée de la Covid-19, les entreprises n’ont pas eu d’autres solutions que « d’ouvrir les vannes » de leur système […]

Continue reading

21 janvier 2021

Rapprocher les métiers et l’IT, un enjeu cyber pour protéger les services essentiels

Les Opérateurs de Services Essentiels doivent fournir une cartographie du système d’information (SI) soutenant leurs activités désignées comme telles. Une approche top-down, allant des métiers vers l’IT, permet d’y parvenir. Cette bonne pratique pourra s’appliquer à d’autres types d’organisation.   Selon l’ANSSI*, « la directive NIS (Network and Information System Security) vise à l’émergence d’une Europe […]

Continue reading

16 juillet 2020

Beyond, une plateforme dans le Cloud pour répondre aux enjeux d’innovation dans le BTP

Construire l’avenir Sixense travaille avec IBM pour transformer la façon dont les entreprises du Bâtiment et des Travaux Publics gèrent les plus grands projets de construction. J’ai consacré au secteur des Bâtiments et des Travaux Publics (BTP) la quasi-totalité de ma carrière et j’y ai vu des réalisations incroyables. Les ingénieurs d’aujourd’hui sont capables d’accomplir […]

Continue reading