Avec le boom du travail hybride lié à la crise du Covid-19, les pirates informatiques redoublent d’ingéniosité pour s’introduire dans les systèmes informatiques. Ainsi, selon une étude Tanium de 2020, 90 % des entreprises ont enregistré une hausse des cyberattaques depuis le mois de mars 2020. En sachant qu’une cyberattaque coûte environ 35 000 € à une TPE ou PME¹, ce risque n’est pas à prendre à la légère ! Pour lutter contre cette menace grandissante, la DSI doit, plus que jamais, investir dans la sécurité informatique. Dans cet article, nous vous présentons les principaux cyber-risques à prendre en compte, et les bonnes pratiques à adopter pour sécuriser les données partagées par vos collaborateurs travaillant à distance.
Quels sont les cyber-risques ?
Le phishing
Le phishing, qui consiste à récupérer des données de l’entreprise pour les utiliser à des fins malveillantes, est la principale cause des incidents de sécurité informatique en télétravail. Telle est la conclusion du rapport “Securing the Future of Hybrid Working” de Tessian. Ainsi, entre mars et juillet 2020, une organisation sur trois a constaté une augmentation des attaques de ransomware provenant d’e-mails de phishing. Ces chiffres sont également confirmés par une étude Deloitte de 2020, selon laquelle 25 % des salariés ont observé une augmentation des emails frauduleux et des tentatives d’hameçonnage depuis le début de la crise du Covid-19.
Les menaces internes
Outre le phishing, les menaces internes sont également en cause : selon Tessian, 43 % des incidents de sécurité y seraient liés. Par exemple, entre mars et juin 2020, près de la moitié des entreprises ont été victimes d’une fuite de données.² Ces menaces internes, qui sont souvent le fruit de négligences de la part des employés, sont les plus difficiles à contrôler pour la DSI. Pour éviter ces comportements dangereux, le meilleur moyen est de donner plus de visibilité aux risques cyber, de sensibiliser les collaborateurs et de se doter de dispositifs de contrôle pour empêcher certains comportements (par exemple : la copie de données de l’entreprise par des employés sur le départ).
Le BYOD
Popularisé dans les années 2000, le BYOD (Bring Your Own Device) est de plus en plus utilisé en entreprise, notamment par les télétravailleurs. Selon le rapport Bitglass de 2018, 85 % des entreprises autoriseraient leurs employés à travailler sur leurs appareils personnels. Mais si elle n’est pas bien encadrée, une telle politique peut accroître considérablement les cyber-risques, tels que la perte ou la fuite de données, le phishing, l’infiltration de virus ou le shadow IT.
Or, de nombreuses entreprises sensibilisent peu – voire même pas du tout – leurs collaborateurs à ces risques. Ainsi, plus de la moitié des salariés en télétravail pendant le premier confinement disent ne pas avoir reçu de formation pour lutter contre les cyber-menaces.³
La multiplication des appareils utilisés, notamment les smartphones, sont aussi un élément important à prendre en compte. En effet, d’après le Verizon Mobile Security Index 2020, presque 40 % des entreprises rapportent avoir été confrontées à une attaque visant les appareils mobiles de leurs employés.
Le shadow IT
Enfin, le travail à distance et le BYOD tendent également à accroître le shadow IT, c’est-à-dire l’utilisation de matériels ou logiciels non autorisés par la DSI. Ce phénomène, qui rend les organisations plus vulnérables aux cyberattaques, manque pourtant de visibilité. D’après le rapport shadow IT du CESIN, les employés utiliseraient en moyenne 1700 applications Cloud en entreprise, alors que la DSI n’en répertorie que 30 à 40.
En conséquence, presque 50 % des responsables informatiques considèrent ce phénomène comme un risque majeur en télétravail.⁴ Cependant, seuls 22 % des entreprises disent avoir mis en place des règles strictes pour gérer cette menace.⁵
Les bonnes pratiques de la DSI
[Cette partie de l’article est extrait du Livre Blanc « Futur du travail : place au travail hybride ! » >>> accéder gratuitement à l’intégralité du livre blanc]
Sécuriser l’environnement de travail
Pour garantir la sécurité des données, la DSI doit privilégier autant que possible l’utilisation d’équipements mis à disposition par l’entreprise, qui auront été sécurisés au préalable. Si malgré tout, votre entreprise souhaite maintenir une politique BYOD, il ne faut pas oublier de donner des directives de sécurité claires aux collaborateurs sur ce qu’ils doivent faire pour minimiser les risques de cybersécurité.
La DSI peut également mettre en place un réseau privé virtuel (VPN), qui permettra de protéger la confidentialité des données de l’entreprise, même lorsque les employés travaillent à distance. Par ailleurs, une boîte mail ou un groupe de conversation dédié (sur votre réseau social interne, par exemple) pourra être créé(e) pour remonter les éventuels problèmes de sécurité.
Travailler en mode hybride suppose également de centraliser toutes vos données sur un cloud privé, qui permettra aux collaborateurs d’accéder à leurs documents n’importe quand et n’importe où. Cependant, l’entreprise devra s’assurer que les données soient hébergées en Europe, et non aux États-Unis, pour qu’elles ne puissent pas être transmises aux autorités américaines (conformément au Cloud Act).
Accompagner et former les collaborateurs
Les collaborateurs ne sont pas toujours au courant des dangers de cybersécurité. Il est donc essentiel de les sensibiliser à ce sujet, et de leur apprendre à reconnaître les e-mails frauduleux. Par exemple, l’entreprise peut donner aux employés une checklist de bonnes pratiques à mettre en place : utiliser un gestionnaire de mot de passe, activer l’authentification à deux facteurs, mettre régulièrement à jour les applications, utiliser uniquement son ordinateur professionnel pour travailler…
Lire aussi : Comment concilier Digital Workplace et cybersécurité ?
Afin de minimiser le shadow IT, la DSI doit fournir aux salariés une liste des applications autorisées, mais aussi rester à l’écoute de leurs besoins et leur faire savoir qu’elle reste ouverte à la mise en place de nouveaux outils.
Mettre en place les outils adaptés
Si les outils actuels ne semblent pas correspondre aux besoins des collaborateurs, la DSI peut encourager les employés à partager les applications qu’ils utilisent. Elle peut ensuite vérifier si ces outils sont suffisamment sécurisés pour l’organisation et, dans le cas inverse, suggérer des alternatives qui sont plus adaptées.
Basculer dans un mode de travail hybride nécessite d’utiliser des outils qui s’adaptent aux nouveaux usages des collaborateurs, et leur permettent de communiquer et collaborer à distance. Pour bénéficier de toutes ces fonctionnalités, de nombreuses entreprises font le choix de la digital workplace : un bureau virtuel sécurisé qui rassemble au même endroit toutes les applications utilisées par les salariés.
Lire aussi : Quelles sont les meilleures solutions de Digital Workplace ?
*
* *
Pour garantir la sécurité des données de votre entreprise en télétravail comme en présentiel, il faut avant tout sensibiliser vos collaborateurs aux enjeux de cybersécurité, notamment à travers des formations, mais aussi par la diffusion de bonnes pratiques. Le choix des outils est également essentiel. En effet, lorsque le salarié dispose d’outils modernes réellement adaptés à ses besoins, il a moins tendance à télécharger des applications à l’insu de la DSI. L’entreprise est alors moins vulnérable aux cyberattaques.
Vous souhaitez en savoir plus sur les enjeux et bonnes pratiques d’un mode de travail hybride mêlant télétravail et présentiel ? Consultez notre livre blanc à ce sujet :
Accéder au Livre Blanc
Dans notre livre blanc « Futur du travail : place au travail hybride ! », vous découvrirez : les 8 enjeux principaux du travail hybride ; les bonnes pratiques à adopter du côté des managers, des RH, de la communication interne, de la DSI et des collaborateurs ; ainsi que les outils à mettre en place pour faciliter le travail hybride.
¹ Article Hiscox 2020
² Rapport Tessian 2020 “Securing the Future of Hybrid Working”
³ Etude CrowdStrike d’avril 2020
⁴ Etude Checkpoint d’avril 2020
⁵ Rapport ManageEngine 2020
_
Auteure : Emmanuelle Abensur