La pandémie au covid-19 a entrainé une adoption massive du télétravail dans les entités (entreprises, associations, organismes publics). Pour un travail distant efficace et attrayant, pour le collaborateur et pour l’entité, il faut mettre en place des solutions disponibles, flexibles, performantes et sécurisées.
Quelles sont les solutions les plus pertinentes pour un travail à distance efficace mais sécurisé ?
NB : il n’existe pas de solutions garantissant la cybersécurité totale de vos SI (Systèmes d’Information). Mais la mise en place de toutes ou du maximum de ces solutions réduira considérablement votre niveau d’exposition.
Le choix de l’équipement
Il est de loin préférable, si vos budgets vous le permettent, que les collaborateurs utilisent un poste de travail (mobil) fournis par l’entité, à l’exception éventuellement pour les smartphones et les tablettes. En effet, votre équipe informatique (si vous en avez une) pourra configurer et maintenir les dispositifs de sécurité de chaque poste. A défaut, utiliser un ordinateur personnel comporte des risques importants. En effet, l’absence de dispositifs de sécurité suffisants sur des postes personnels est très fréquents, car cela nécessite des compétences de professionnels. De plus, certaines utilisations personnelles sont très exposées aux cybermenaces : les jeux en lignes, les téléchargements douteux…
De plus, expliquez à vos collaborateurs comment aménager un lieu de travail agréable, ergonomique (pour éviter les mauvaises positions propices aux troubles musculosquelettiques par exemple), bien éclairé (pour éviter la fatigue oculaire). Rappelez également les règles du travail sur ordinateur : se lever régulièrement, faire des pauses…
Pour les collaborateurs qui travaillent beaucoup chez eux, si possible, les équipez de mobilier de bureau adapté.
Si la personne est beaucoup au téléphone, fournissez-lui, si possible un casque équipé d’un microphone.
La protection physique de l’équipement
En déplacement, ne laisser jamais votre poste sans surveillance.
Chez un client, attachez votre poste de travail avec un câble de sécurité lorsque vous vous absentez, quelques minutes. Pensez à verrouiller votre session avec un mot de passe, car l’envoie d’un mail de votre poste est très rapide à faire par malveillance ou par accident (chez vous, par un enfant en bas âge ou un chat qui joue sur le clavier). Programmez une mise en verrouillage automatique ainsi qu’un délai d’expiration de la session. Si vous vous absentez longuement, entreposer votre poste dans un endroit sécurisé tel qu’un bureau et une armoire verrouillé (les agents d’entretien ont accès à chaque bureau). Ne laisser jamais votre poste de travail dans un véhicule.
Si vous travaillez sur votre poste dans les transports, utilisez un écran de protection pour éviter les regards indiscrets.
Ne connectez jamais un clé USB dont vous ne connaissez pas la provenance (une clé USB trouvé dans le métro, la rue – il s’agit souvent de clés USB piégées déposées dans la rue à dessein) ou dont la provenance est douteuse (inconnu qui vous demande un service) et dont vous ne pouvez garantir la sécurité.
La protection cyber de l’équipement
Protégez votre poste de travail avec :
- Une solution antivirus et antimalware fiable. A défaut de budget suffisant, il existe des solutions gratuites.
- Un pare-feu.
- Un dispositif efficace de mise à jour automatique. En effet, les applications comportent de trop nombreuses vulnérabilités et les cybercriminels s’en tiennent constamment informés afin de les exploiter si possible, avant la mise en œuvre des correctifs, pour infiltrer la machine concernée. Il est donc essentiel de mettre à jour toutes les applications que vous utilisez.
- Une solution de chiffrement de vos données. Ainsi, en cas de vol de votre poste de travail, vos données seront inaccessibles.
Sauvegardez régulièrement vos données sur des disques durs externes et/ou dans un service cloud chiffré.
Pensez à vérifier régulièrement que vos sauvegardes fonctionnent car, désormais, les cybercriminels les attaquent aussi.
Pour vous connecter au réseau et applications de l’entité, mettez en place :
- Un VPN (Virtual Private Network), pour que les données échangées entre votre poste de travail et le SI auquel vous êtes connecté soient chiffrées et donc inexploitables en cas d’interception.
- NB : les solutions VPN fournies à des fins de confidentialité (donc les VPN qui ne sont pas solutions d’entreprise) ne protègent les données qu’entre votre poste et le fournisseur VPN, et non entre le fournisseur VPN et le destinataire final. Votre connexion n’est donc pas sécurisée de bout en bout.
- Un accès aux applications, via des comptes nominatifs avec des droits d’accès limités aux besoins d’utilisation de chaque collaborateur.
- Une politique de mot de passe forte, avec un renouvellement périodique et idéalement une solution de gestion de mot de passe.
- Pour les applications en Saas, une authentification multifacteur. Par exemple : un profil et mot de passe, puis un code reçu par sms suite à la validation du profil / mot de passe.
Si vous utilisez une connexion Wi-Fi
Connexion Wi-Fi de votre domicile. Pensez à configurer votre connexion Wi-Fi pour utiliser un protocole de chiffrement suffisant – par exemple le WPA2 (et surtout pas le WEP, cassable en quelque minute) – avec un mot de passe d’accès fort. A défaut, un attaquant pourra intercepter toutes les données qui transitent par le Wi-Fi y compris vos données de connexion (profil, mot de passe).
Evitez le Wi-Fi public. Vous pouvez vous connecter en utilisant un point d’accès personnel, par exemple votre smartphone. A défaut, si vous devez utiliser un Wi-Fi public, utilisez impérativement un VPN.
Pour échanger avec vos collègues
Utilisez la messagerie de l’entité préalablement configurée par l’équipe informatique de l’entité. Si vous n’en avez pas, mettez-en une en place.
Concernant la visioconférence, utilisez une solution recommandée par l’ANSSI (Agence Nationale de Sécurité des SI). Les solutions grand-public comportent parfois des vulnérabilités. Les mots de passe de la solution de visioconférence doivent être régulièrement changés.
Sensibilisation et formation des collaborateurs
Sensibilisez et formez vos collaborateurs aux risques cyber et aux moyens de s’en prémunir.
Vous pouvez notamment énoncer les bonnes pratiques à respecter dans une charte informatique à diffuser aux collaborateurs, qu’ils s’engageront contractuellement à respecter.
Outre une sensibilisation et une formation régulière aux bonnes pratiques à appliquer, il faut les sensibiliser aux typologies d’attaques utilisées par les cybercriminels tels que les messages malveillants de type phishing.
À propos de l’auteur