@travail | Technologies

Télétravail : 6 mesures pour protéger votre organisation des cyberattaques

Les employés qui travaillent à distance pourraient être le maillon faible de vos efforts pour protéger votre entreprise contre les cyberattaques.

A Facebook IconFacebook A Twitter IconTwitter A Linkedin IconLinkedin An Email IconCourriel

Jeune homme, train, utilisation, smartphone, ordinateur portableSelon une étude menée en 2018 par l’International Workplace Group auprès de plus de 18 000 professionnels des affaires répartis dans 96 pays, 70 % des employés travaillent ailleurs qu’au bureau au moins une journée par semaine. (Getty Images/gruizza)

La pandémie de COVID-19* fait rage et du jour au lendemain, tous vos employés doivent travailler de chez eux.

Peut-être aviez-vous déjà mis en place une politique de télétravail? Selon une étude menée en 2018 par l’International Workplace Group (IWG), 70 % des employés travaillent ailleurs qu’au bureau au moins une journée par semaine. Mais que se passe-t-il quand tous les employés doivent télétravailler simultanément? Comment effectuer un suivi de leur activité? Vos politiques en matière de cybersécurité sont-elles à jour?

Selon des experts, des ressources limitées (comme un nombre restreint dordinateurs portables ou de téléphones cellulaires dentreprise) augmentent les risques puisqu’elles obligent les employés à utiliser leurs appareils personnels à des fins professionnelles.

« Rester au fait de l’évolution de la cybersécurité, c’est comme une course aux armements qui s’accélère sans cesse, déclare Peter Tsai, analyste principal des technologies à Spiceworks, réseau de professionnels de l’informatique. Lorsque les entreprises renforcent leurs lignes de défense, les pirates intensifient leur capacité d’attaque. »

Vous pouvez toutefois prendre des mesures pour vous protéger. Voici six façons de surveiller vos télétravailleurs et de protéger vos données. 

1. Investir dans un VPN (réseau privé virtuel) ou un VNC (système informatique virtuel en réseau)

Le choix du VPN ou du VNC dépend des ressources dont l’employé a besoin ou de l’accès que l’organisation veut bien lui accorder.

Un VPN permet d’accéder à distance au réseau de l’entreprise, tout en chiffrant les données et en masquant l’adresse IP. Quant au VNC, il permet d’accéder à distance à un ordinateur de bureau sans se connecter au réseau, ce qui offre plus de sécurité, car il est possible d’imposer des restrictions sur des opérations comme le transfert de fichiers. Le VPN offre un meilleur accès aux ressources, mais il présente un risque accru de vol de données et d’infection par un logiciel malveillant.

2. Gérer les mots de passe

Quand il est question de sécurité des données, les employés ne sont peut-être pas le seul maillon faible. Les mots de passe qu’ils utilisent quotidiennement pour accéder à leurs applications représentent aussi une menace. Les outils de gestion de mots de passe peuvent contrer cette menace en stockant et en gérant de manière sécurisée des centaines de mots de passe en même temps, tout en les rendant difficiles à déjouer dans un environnement de télétravail. 

3. Adopter l’authentification à deux facteurs

Considérée comme une solution aux attaques de mots de passe, l’authentification à deux facteurs permet de valider l’utilisateur qui tente d’accéder au système ou au compte, ce qui ajoute un niveau de sécurité. Après avoir entré son nom d’utilisateur et son mot de passe, on reçoit par courriel ou par texto un code numérique, qui change à des intervalles de quelques secondes pour empêcher l’accès par un tiers. On doit ensuite entrer ce code pour pouvoir accéder au système ou au compte.

Ce niveau de sécurité supplémentaire est utile pour le travail à distance, surtout lorsqu’on utilise des applications comme Slack, Basecamp et Dropbox. Les outils d’authentification à deux facteurs habituellement utilisés par les entreprises sont RSA SecurID et Single Sign On (SSO) d’Okta. « L’authentification à deux facteurs représente un excellent compromis sur le plan technologique : cette procédure est quelque peu contraignante, soit, mais elle améliore grandement la sécurité », affirme Satyamoorthy Kabilan, vice-président, Politiques publiques, au Forum des politiques publiques.

4. Tenir les systèmes à jour

Le service des TI d’une entreprise doit évidemment être bien outillé pour protéger ses systèmes, que ce soit au moyen de la sauvegarde des données, de la mise à niveau des logiciels et du matériel informatique ou de l’ajustement de l’accès des utilisateurs. D’autres ressources lui seront aussi utiles : logiciel de surveillance du réseau pour effectuer un suivi de la performance des infrastructures et des activités des employés, audits externes pour relever toute faiblesse du réseau et renforcer les mesures de défense.

5. Essayer le mode Prenez vos appareils personnels (PAP)

Les politiques PAP sont de plus en plus répandues, car les entreprises cherchent à réduire les frais qu’elles paient pour les forfaits de téléphonie mobile. Toutefois, selon le rapport 2018 sur la sécurité des appareils mobiles d’iPass, qui repose sur un sondage mené auprès de 500 chefs de l’information et décideurs en matière de TI, ces politiques entraînent une augmentation des risques de sécurité liés aux appareils mobiles selon 94 % des répondants. Une solution viable : un système de gestion des appareils mobiles, qui peut notamment effacer les données d’un téléphone à distance, localiser un téléphone perdu et séparer les données personnelles des données professionnelles.

6. Assurer la cyberhygiène

Selon le rapport sur l’état des TI de 2019, 59 % des professionnels des TI estiment que la formation des employés est la meilleure façon de prévenir les atteintes à la sécurité. Les employés internes et externes doivent savoir ce qu’ils peuvent faire ou non lorsqu’ils travaillent à distance. En cas d’utilisation de solutions infonuagiques, ils doivent recevoir, ainsi que les clients, une formation sur la protection des données. Non seulement les entreprises doivent-elles se doter d’une politique de télétravail, mais elles doivent aussi la diffuser et s’assurer régulièrement qu’elle est bien comprise et mise en pratique. [Voir l’article Les télétravailleurs connaissent-ils les règles de cyberhygiène?]

« Pour protéger leurs appareils et leurs données, les entreprises doivent adopter une approche globale qui tient compte des employés, des processus et de la technologie, explique M. Tsai. Comme l’utilisateur final est souvent le maillon faible en raison de sa vulnérabilité à l’hameçonnage, par exemple, la sécurité est sans doute l’un des sujets les plus importants à aborder avec lui. »

*Cet article a été mis à jour le 25 mars 2020 pour inclure des informations relatives à la crise du COVID-19.