Quatre solutions pour sécuriser votre travail en distanciel


Selon une étude Gallup, 42 % des travailleurs ont un mode de travail hybride. Ils travaillent au bureau un ou deux jours par semaine, et à distance les autres jours. Ils se rendent au bureau pour organiser et assister à des réunions importantes, prendre du matériel et des fournitures de bureau, et travaillent depuis leur domicile ou n’importe où ailleurs le reste de la semaine.


Et comme les ordinateurs portables et les smartphones brouillent les frontières entre le travail et les loisirs, ils peuvent répondre à des messages Slack, envoyer des courriels et accéder à des informations sensibles de l’entreprise à partir de leurs appareils personnels et professionnels lorsqu’ils sont en déplacement.


Ces employés compromettent-ils les mesures de sécurité de leur entreprise en travaillant à partir d’un appareil personnel ou en terminant leur travail sur le réseau Wi-Fi du café Starbucks du quartier ? ZDNET s’est entretenu avec des experts sur les pièges du travail à distance et de la cybersécurité, et sur la manière dont les employés et les employeurs peuvent éviter de se retrouver dans une situation catastrophique.


Voici quelques exemples de ce que vous pouvez faire pour rendre votre environnement de travail à distance plus sûr.


Conseils pour les employés en mode hybride


À NE PAS FAIRE : Travailler à partir d’un appareil numérique personnel


Scénario : Vous vous êtes déjà rendu deux fois au bureau cette semaine et vous souhaitez passer le reste de la semaine chez vos parents. Pour éviter d’emporter vos ordinateurs portables professionnel et personnel, vous n’emportez que votre appareil personnel. Vous pourrez ainsi à la fois terminer votre travail mais aussi accéder aux logiciels ou aux sites web bloqués par le service informatique de votre entreprise.


Dans le meilleur des cas, rien ne sort de l’ordinaire et tout se passe comme si de rien n’était. Dans le pire des cas, un pirate informatique infiltre les défenses de votre ordinateur personnel et accède à des données sensibles. Vos identifiants et mots de passe sont désormais vulnérables aux personnes mal intentionnées, et la vie privée de votre entreprise est menacée.


La solution : Transporter votre ordinateur de travail, quel que soit l’endroit où vous travaillez, afin de préserver la sécurité de vos données.


À NE PAS FAIRE : Télécharger des logiciels de productivité non approuvés


Scénario : Votre patron vous demande de numériser un fichier PDF pour une réunion prévue la semaine prochaine, mais vous n’avez pas l’intention de vous rendre au bureau et vous n’avez pas accès à un scanner à la maison. Vous téléchargez donc sur votre ordinateur une application de numérisation de PDF qui n’est pas fournie par le service informatique de votre employeur pour accomplir cette tâche.


Dans le meilleur des cas, vous pouvez scanner le document, l’envoyer à votre patron et cocher cette tâche sur votre longue liste de choses à faire. Dans le pire des cas, l’application est remplie de codes malveillants qui infectent votre ordinateur professionnel. L’écran de votre ordinateur se remplit de fenêtres contextuelles.


La solution : Vonny Gamot, responsable EMEA chez McAfee, explique qu’il faut s’assurer que les applications téléchargées sont légitimes et sécurisées. La meilleure pratique consiste à contacter votre service informatique et à vérifier si les applications sont approuvées et autorisées par votre entreprise afin d’éviter de télécharger accidentellement des codes malveillants.


« Bien que les applications professionnelles pour appareils, comme les éditeurs PDF, les VPN et les scanners de documents, puissent être d’excellents outils de productivité, près d’un quart des applications malveillantes que nos chercheurs ont trouvées récemment étaient des outils de ce type », explique-t-elle. « Assurez-vous donc que les applications ou les logiciels que vous téléchargez sont légitimes. La technologie nous a permis de travailler de manière plus flexible, mais cette flexibilité s’accompagne de responsabilités. »


Conseils aux employeurs sur le mode hybride


À FAIRE : Aidez vos employés à vérifier les courriels et les messages malveillants


Scénario : En tant qu’employeur, vous demandez à votre équipe informatique d’envoyer un courriel d’hameçonnage (phishing) pour tester vos employés. Après le test, plus de 50 % de vos employés ont cliqué sur l’e-mail, ont ouvert la pièce jointe ou n’ont pas signalé l’e-mail comme étant un e-mail de phishing. Vous voyez maintenant que si l’occasion se présentait, beaucoup de vos employés compromettraient involontairement des informations sensibles.


La solution : Multipliez les occasions de sensibiliser vos employés à la sécurité de l’entreprise. Envisagez d’effectuer régulièrement des tests d’hameçonnage et de les informer des meilleures pratiques en matière de travail hybride.


Quentyn Taylor, directeur de la sécurité de l’information chez Canon Europe, estime que les employeurs devraient former leurs employés aux meilleures pratiques en matière de sécurité, même si elles sont ou paraissent simples. Il recommande également aux employeurs de faire preuve d’une grande ouverture d’esprit à l’égard des employés qui commettent des erreurs susceptibles de mettre en péril la sécurité de l’entreprise.


« Il est également essentiel de promouvoir une culture d’ouverture. En cas de violation, il est important que les employés se sentent à l’aise pour parler de leurs erreurs », explique-t-il. « Cela permet d’atténuer les dégâts, car les problèmes font souvent boule de neige si les employés cachent leurs erreurs. Si une erreur est révélée au grand jour, elle peut être corrigée. »


À FAIRE : Proposer aux employés un service VPN


Scénario : Un employé souhaite travailler dans un café. Il se connecte au wifi public du café et travaille pendant quelques heures.


Dans le meilleur des cas, rien ne se passe et l’employé travaille comme d’habitude. Dans le pire des cas, quelqu’un s’infiltre rapidement dans le réseau du café et vole des informations à l’employé, exposant ses données personnelles et professionnelles.


La solution : Ian McShane, vice-président d’Arctic Wolf, estime que les entreprises devraient investir dans un service VPN qu’elles fourniraient à leurs employés lorsqu’ils travaillent sur un réseau wifi public. Il explique qu’un service VPN fourni par l’entreprise peut préserver la confidentialité de l’activité Internet des employés.


Mais il ajoute que les entreprises doivent vérifier minutieusement le service VPN qu’elles utilisent, car elles doivent partir du principe que le fournisseur de VPN peut accéder à l’activité Internet des employés.


Quelques conseils supplémentaires


Stefano Amorelli, directeur technique fractionné chez Dominance, a donné à ZDNET quelques conseils supplémentaires pour vous aider à rester en sécurité lorsque vous travaillez à distance.

  • Envisagez de fournir aux employés un écran de confidentialité pour leur téléphone ou leur ordinateur portable lorsqu’ils travaillent en public.
  • Appliquer le cryptage intégral du disque dur pour prévenir les cas de vol ou de perte des appareils de travail des employés.
  • Appliquez l’authentification multifactorielle.
  • Si vous devez participer à une réunion au cours de laquelle vous devez discuter d’informations sensibles sur l’entreprise, ne le faites pas en public.


En conclusion, les employés et les employeurs doivent collaborer pour garantir la sécurité de leurs informations personnelles et professionnelles sensibles. Mais les employés ne peuvent être responsables que dans une certaine mesure des pratiques de leur entreprise en matière de cybersécurité.


Inka Karppinen, responsable des sciences du comportement chez CybSafe, explique que même s’il existe de nombreux conseils précieux pour que les employés restent en sécurité, c’est en fin de compte aux employeurs qu’il incombe de protéger leurs employés et leur entreprise.


« Bien que les gens veuillent faire partie de la solution, ils ont des vies très chargées et ne peuvent pas faire grand-chose », dit-elle. « C’est pourquoi les employeurs doivent non seulement donner à leur personnel les moyens d’appréhender la cybersécurité comme une valeur fondamentale, mais aussi leur fournir les outils nécessaires pour constituer une ligne de défense efficace. »


Source : « ZDNet.com »