En cette période difficile de confinement lié à la lutte contre la propagation du Covid-19, on entend beaucoup parler de télétravail. Et pour cause les entreprise qui tentent de mettre un maximum de moyens en oeuvre pour permettre à leurs employés de continuer à travailler depuis leur domicile. Mais attention, car en ce moment bon nombre d'entreprises travaillent dans l'urgence pour donner accès, le plus rapidement possible, au système d'information de l'entreprise... Ce qui n'est évidemment pas sans risques. Je vous propose, dans ce billet, de faire un petit tour d'horizon des bonnes pratiques à respecter pour les employeurs dans le cadre de la mise en place du télétravail. Un second billet sera publié par la suite, proposant des bonnes pratiques pour les salariés...
Une période propice pour les hackers
La période est actuellement idéale pour les hackers du monde entier. En effet, comme la majorité (pour ne pas dire la totalité) des entreprises publient des accès extérieurs pour permettre aux employés de travailler à distance, les hackers disposent de nouveaux terrains de jeu... Et au delà des accès ouverts qu'ils peuvent tenter d'exploiter, la période est également propice aux attaques de type phishing pour essayer de faire commettre des faux pas aux salariés les moins aguerris. Bref, cette période est donc idéale pour les attaques en tout genre, et il est donc important de rester vigilent. Proposer du télétravail, Oui, mais pas dans n'importe quelles conditions !
Télétravail : 12 recommandations pour les employeurs
Je vais donc vous proposer ici des recommandations à destination des employeurs, collectivités, associations, etc. Ces recommandations ne viennent pas de moi mais sont issues principalement des documents de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et du site cybermalveillance du gouvernement.
1. Equipement des télétravailleurs
Le premier point concerne le choix et la mise à disposition de moyens de télétravail par l'employeur. Il est en effet important pour l'employeur de définir comment les employés vont se connecter, et avec quels moyens. L'idée ici est de s'assurer que ces moyens sont parfaitement adaptés et sécurisés à l'exercice du travail à distance. Si toutefois l'employeur se trouve dans l'incapacité de fournir de tels moyens, il est primordial qu'il communique de manière claire sur l'utilisation des moyens personnels et sur les aspects de sécurité liés à leur utilisation. L'employeur doit sensibiliser sur le fait que ces équipements ne pourront jamais atteindre le même si niveau de sécurisation que les moyens professionnels, et qu'ils sont peut être même déjà compromis. Le but de cette sensibilisation, vous l'aurez compris, est d'inciter à la plus grande prudence.
2. Assurer une communication claire
Assurer une communication claire auprès des utilisateurs est un point clé pour assurer la sécurité du télétravail. Cette communication permettra aux utilisateurs de savoir ce qu'ils peuvent faire ou non, en terme de sécurité. Une communication complète, claire et pédagogique permettra une bonne compréhension des utilisateurs ainsi qu'une meilleure adhésion aux règles. De plus, les utilisateurs auront surement besoin d'un support réactif et de qualité afin de ne pas tomber dans les pièges d'une cyberattaque.
3. Limiter et surveiller les accès extérieurs
Dès lors qu'une entité va publier des services à l'extérieur, elle va exposer son système d'information à un risque potentiel. Il est donc important de limiter cette surface d'attaque. Et pour ce faire, la recommandation est toute simple (du moins à énoncer car cela implique tout de même un travail certain en pratique) : l'entreprise ne doit exposer que les services strictement nécessaires au maintien de l'activité? Et elle doit le faire en restreignant les accès aux seuls personnes nécessaires.
4. Sécuriser les accès extérieurs
Même si l'entreprise a limité les accès extérieurs, conformément à la recommandation précédente, il en reste pas moins que certains accès ont été donnés. Dès lors, il est important de sécuriser au maximum ces accès. Comment faire ? Tout simplement en utilisant un VPN (Réseau privé virtuel) pour établir les connexions avec l'entreprise. Ce type de dispositif permettant de chiffrer les échanges entre l'employé et le système d'information de l'entreprise et donc d’accroître la sécurité,en limitant notamment les équipements autorisés à se connectant. Mais ce n'est pas tout. Il est en effet, plus que recommandé de mettre en place une authentification à double facteur sur ces connexions VPN. Un tel dispositif, qui peut s'avérer lourd car un peu plus contraignant pour les utilisateurs permettra d'éviter toute tentative d'usurpation d'identité sur le service.
5. Supervision des accès externes
Une supervision des accès externe est le meilleur moyen de détecter rapidement toute activité anormale, annonçant potentiellement le début d'une attaque. Cette supervision permettra, par exemple, d'identifier des connexions en dehors des horaires de travail ou des tentatives de connexions erronées et successives.
6. Renforcement de la politique de mot de passe
La majorité des attaques étant imputable à l'utilisation de mots de passes trop faibles ainsi qu'à la réutilisation du même mot de passe sur plusieurs services, il est nécessaire dans un moment tel que celui que nous vivons, de renforcer la politique de mot de passe de l'entreprise. La recommandation est donc ici d'obliger les utilisateurs à utiliser des mots de passe longs et complexes. Mais cette recommandation ne se suffit pas à elle même et il convient également de sensibiliser les utilisateurs à ne pas utiliser le même mot de passe partout, et à les changer régulièrement, même sur des système n'obligeant pas un renouvellement régulier. Et pour ce qui est de l'utilisation de mots de passe forts, je vous renvoie au live du 3 décembre dernier que j'avais dédié à ce sujet, où j'expliquais notamment comment créer des mots de passe forts et différents, tout en les retenant.
Enfin, au delà de cette politique de mot de passe, il est intéressant d'activer l'authentification multi-facteur dès que cela est possible.
7. Déploiement des mises à jour de sécurité
L'application de correctifs de sécurité est bien évidemment un élément qui permet de réduire les possibilité d'attaques d'un système d'information. Il est donc plus que primordial d'appliquer ces correctifs de sécurité sur tous les équipements et dans un délai le plus réduit possible. Les hackers mettent en effet peu de temps avant d'exploiter ces failles et il s'agit donc de réagir rapidement afin de prévenir l'utilisation cette exploitation. Ce point n'est pas à négliger car la non application de patchs de sécurité constitue un vecteur important d'attaques.
8. Politique de sauvegarde
Les sauvegardes. Voilà le point crucial permettant de retrouver les données de l'entreprise après une attaque. Mais encore faut-il que ces sauvegardes soient effectuées régulièrement, et que la capacité de restauration soit également testée de manière régulière. Car faire des sauvegardes est un bon point, mais celles-ci s'avèrent inutiles si on est pas en capacité de les restaurer. Et avec la sophistication des attaques, comme par exemple les ransomwares, il est également important de s'assurer que l'entreprise dispose de sauvegardes déconnectées. La politique de sauvegarde doit donc être complète et précise afin de s'assurer que le système d'information puisse reparti en cas d'incident.
9. Solutions antivirales
La recommandation est ici d'utiliser des solutions antivirales professionnelles complètes. Ces solutions agissent bien au delà de la menace des virus, en protégeant par exemple du phishing, de certains ransomwares, etc. De plus, l'ANSSI recommande d'utiliser plusieurs solutions différentes pour la protection des infrastructures : de telles solutions pouvant parfois être complémentaires, permettant ainsi de démultiplier la protection.
10. Journalisation des équipements
Neuvième point de la liste : l'audit des équipements d'infrastructure. Que ces équipements soient systèmes ou réseaux, il est utile de journaliser toute l'activité de connexion et d'administration) sur ces équipements (serveurs, switchs, firewall...). Cette journalisation doit se faire sur plusieurs jours/semaines. Elle sera utile pour comprendre ce qui s'est passé et les actions ayant été réalisées en cas d'attaque. Cette journalisation pourra donc permettre de comprendre l'attaque, mais aussi de prévenir d'attaques similaires.
11. Préparation à une cyberattaque
Il convient ici d'être clair : le risque 0 n’existe pas. Toute les entités peuvent subir une cyberattaque, quelle que soit sa taille ou son activité. L'entreprise doit donc se préparer à faire face à une cyberattaque, anticiper les mesures et actions nécessaires (plan de communication, contractualisation avec des prestataires spécialisés pour recourir à leurs services en cas de besoin, etc.
12. Implication des dirigeants
Les mesures de sécurité ne seront efficaces que si leur adhésion est totale, y compris par les dirigeants. Il est important que ceux-ci montrent l'exemple et se soumettent aux mêmes règles que les employés. Cette adhésion permettra également aux employés d'accepter plus facilement les règles de sécurité, qui peuvent parfois être jugées comme contraignantes.
Voilà donc une partie des règles à respecter pour assurer un télétravail efficace en limitant les risques. Si le sujet vous intéresse, je vous renvoie aux recommandations de l'ANSSI sur le nomadisme numérique. Dans les jours qui viennent, je vous présenterai également les recommandations de sécurité à destination des utilisateurs en situation de télétravail.
Partager la publication "Télétravail : 12 recommandations pour les employeurs"