Votre collaborateur, seul en télétravail chez lui, représente une cible de choix pour les pirates. L’ouverture d’accès extérieurs parfois peu sécurisés, la multiplication des communications au sein de l’entreprise, notamment par emails, et l’isolement physique lié à ce nouveau fonctionnement, multiplient les opportunités pour l’attaquant. Son objectif ? Prendre le contrôle d’un poste utilisateur puis attaquer votre système d’information.
Deux axes de sécurisation
Afin de maîtriser au mieux ce nouveau risque, vous devez travailler conjointement sur les deux piliers que sont la sécurité organisationnelle et la sécurité opérationnelle (technique).
Au niveau de l’organisation, il est nécessaire de définir une charte informatique du télétravail, qui définit le niveau de sécurité attendu, et les responsabilités du salarié, en rappelant les mesures d’hygiènes informatiques (cf. Les dix commandements de la cybersécurité) à appliquer. Cela doit être accompagné d’un apprentissage, avec la formation et la sensibilisation. Il est nécessaire de donner à vos salariés les armes pour se défendre, ce qui leur sera également utile pour leurs usages personnels. Vous pouvez leur communiquer et afficher les bonnes pratiques de l’Anssi et de la Cnil (1), et organiser des sessions de sensibilisation avec le kit proposé par le site Cybermalveillance.
Au niveau technique, vous devez mettre en place un environnement de travail sécurisé (avec votre service informatique ou un prestataire spécialisé) avec des postes équipés de logiciels de sécurité à jour (antivirus, pare-feu) et d’un VPN (2) pour accéder à vos ressources internes. Il est important de mettre en place une authentification à double facteur sur vos services accessibles à distance, et de limiter les accès sur le réseau aux ressources et données nécessaires au salarié.
Pensez à auditer vos pratiques
Une fois que l’ensemble de ces mesures sera appliqué, vous pourrez mettre en place une démarche d’amélioration continue en testant les dispositifs en place, et en appliquant les corrections nécessaires. Un audit technique (ou test d’intrusion) de vos accès externes permettra de vérifier leur solidité. Et la mise en place d’un exercice de sensibilisation auprès de vos salariés, comme une campagne de phishing par email, vous assurera de la bonne application des recommandations.
(1) Cnil : Commission nationale de l’informatique et des libertés
(2) VPN (Virtual Private Network) : système permettant de créer un lien direct et sécurisé entre des ordinateurs distants.
Nicolas Guilloux est directeur grand Ouest chez Almond, société d’audit et de conseil dans les domaines de la cybersécurité, du cloud et des infrastructures.
Contact : nguilloux@almond.consulting / 06 65 31 92 93
