Si vous faites partie de l’équipe IT, vous avez probablement l’habitude de préparer des ordinateurs portables qui seront utilisés à distance par les employés et vous configurez régulièrement des téléphones mobiles avec un accès aux données de l’entreprise.
Mais les craintes actuelles au niveau mondial concernant l’épidémie de coronavirus (Covid-19) et la nécessité d’éloigner le personnel à risque du bureau impliquent que de nombreuses entreprises risquent de se retrouver rapidement et soudainement avec beaucoup plus d’employés obligés de travailler à domicile …
… et il est essentiel de ne pas laisser les mesures destinées à protéger la santé physique de votre personnel devenir par la même occasion une menace pour leur santé en matière de cybersécurité.
De plus, si vous avez un collègue qui doit travailler à domicile pour éviter d’avoir à se rendre au bureau, vous ne pouvez plus utiliser la bonne vieille méthode qui consistait à le faire venir rapidement juste pour qu’il récupère son nouvel ordinateur portable ainsi que son téléphone, et pour le former sur place dans l’espoir qu’il devienne un télétravailleur avec les bons réflexes en matière de cybersécurité.
Vous serez sans doute amené à configurer de zéro les équipements des utilisateurs distants, et ce entièrement à distance, et vous vous retrouvez donc face à une situation que vous n’aurez pour ainsi dire jamais rencontrée auparavant.
Voici donc nos cinq conseils pour travailler à domicile en toute sécurité.
1. Assurez-vous qu’il sera facile pour vos utilisateurs de démarrer
Ayez une préférence pour les produits de sécurité qui offrent ce qu’on appelle un SSP, abréviation de Self-Service Portal.
En fait, vous recherchez un service auquel un utilisateur distant pourra se connecter, peut-être avec un ordinateur portable flambant neuf qu’il a lui-même commandé, et qu’il pourra configurer facilement et en toute sécurité, sans avoir au préalable à passer par le service IT.
De nombreux SSP permettent également à l’utilisateur de choisir entre différents niveaux d’accès, afin de pouvoir se connecter en toute sécurité via un appareil personnel (avec tout de même un accès restreint qui sera limité au niveau des systèmes accessibles de l’entreprise en comparaison avec l’accès offert en utilisant un appareil dédié), ou via un appareil qui sera utilisé uniquement pour l’activité professionnelle.
Les trois éléments clés que vous souhaitez pouvoir configurer facilement et correctement sont : le chiffrement, la protection et l’installation des mises à jour.
Le chiffrement implique de s’assurer qu’il soit bien activé et opérationnel au niveau de l’appareil dans son intégralité, protégeant ainsi toutes les données sur l’équipement en question en cas de vol. La protection implique que vous devez commencer avec un logiciel de sécurité connu, tel qu’un antivirus, configuré comme vous le souhaitez. Enfin l’installation des mises à jours consiste à s’assurer que l’utilisateur recevra automatiquement tous les correctifs de sécurité disponibles, afin qu’aucun ne soit oublié.
N’oubliez pas que si vous êtes victime d’une violation de données, comme par exemple dans le cas d’un ordinateur portable perdu, vous devrez sans doute faire une déclaration auprès du régulateur en matière de protection des données dans votre pays.
Si vous voulez pouvoir affirmer que vous avez bien pris les bonnes mesures, et donc que la violation peut être classée sans suite, vous devrez apporter des preuves : en effet, le régulateur ne se contentera pas de vous croire sur parole !
2. Assurez-vous que vos utilisateurs pourront mener à bien leur mission
Si des utilisateurs ne peuvent véritablement pas faire leur travail sans un accès au serveur X ou au système Y, alors il est inutile de les faire travailler à domicile sans justement leur donner cet accès à X et Y.
Assurez-vous d’abord que la solution d’accès à distance que vous avez choisie fonctionne de manière fiable avant d’exiger de vos utilisateurs qui l’adoptent : pour résumer, testez-la vous-même !
S’il existe des différences entre les méthodes de travail auxquelles ils étaient habitués et les nouvelles qui leur sont proposées, expliquez-leur clairement. Par exemple, si les emails qu’ils recevront sur leur téléphone seront dépourvus de pièces jointes, ne les laissez pas le découvrir par eux-mêmes.
Ils seront non seulement agacés, mais ils essaieront probablement en parallèle de créer leurs propres astuces pour contourner le problème, en demandant par exemple à des collègues d’uploader les fichiers sur des comptes privés.
Si vous êtes un utilisateur, essayez de faire preuve de compréhension s’il y a des choses que vous pouviez faire au bureau et que vous ne pouvez plus faire chez vous.
3. Assurez-vous de pouvoir contrôler les activités de vos utilisateurs
Ne vous contentez pas de laisser vos utilisateurs se débrouiller seuls avec leurs propres appareils ou bien faire comme bon leur semble.
Si vous avez configuré la mise à jour automatique pour eux, assurez-vous également d’avoir un moyen de vérifier qu’elle fonctionne, et soyez prêt à passer du temps en ligne pour les aider à avancer en cas de problème.
Si leur logiciel de sécurité sera amené à générer des avertissements qu’ils verront apparaître à coup sûr, assurez-vous de pouvoir les consulter également et d’expliquer à vos utilisateurs leur signification et ce que vous attendez d’eux, afin de résoudre les problèmes qui pourraient survenir.
Ne suivez pas non plus à la trace vos utilisateurs, car personne n’aime une telle surveillance; mais ne les laissez pas non plus se débrouiller seuls : montrez-leur l’importance de la cybersécurité et vous verrez que le retour sur investissement sera à la hauteur de vos attentes.
4. Assurez-vous qu’ils pourront signaler à tout moment des problèmes de sécurité
Si vous ne l’avez pas déjà fait, configurez une adresse email facile à mémoriser, comme sos-securite@votreentreprise …, au niveau de laquelle les utilisateurs pourront signaler les problèmes de sécurité rapidement et facilement.
N’oubliez pas que de nombreuses cyberattaques réussissent parce que les cybercriminels essaient encore et encore jusqu’à ce qu’un utilisateur commette une erreur par inadvertance, donc si la première personne à repérer une nouvelle menace sait à quel niveau la signaler et qu’elle ne sera ni jugée ni critiquée (ou, pire encore, ignorée), elle pourra au final rendre service à l’ensemble de l’entreprise.
Dites à vos utilisateurs, en fait cette mesure concerne aussi bien le personnel présent physiquement dans l’entreprise que les télétravailleurs, de vous contacter pour une assistance en matière de cybersécurité uniquement en utilisant l’adresse email ou le numéro de téléphone que vous leur avez donné (pensez à leur envoyer par la poste un flyer ou un sticker avec tous les détails inscrits dessus).
En effet, en ne prenant jamais contact à l’aide des liens ou des numéros de téléphone fournis par email, ils seront beaucoup moins susceptibles d’être victime d’une arnaque ou de phishing.
5. Assurez-vous de disposer de solutions contre le “shadow IT”
Le shadow IT concerne le personnel non-IT qui trouve ses propres moyens pour résoudre les problèmes techniques, pour des raisons de praticité ou de rapidité.
Si vous avez de nombreux collègues qui ont l’habitude de travailler ensemble au bureau, mais qui se retrouvent séparés à un moment donné sans la possibilité de se voir, il est fort probable qu’ils trouveront leurs propres méthodes pour collaborer en ligne, en utilisant des outils qu’ils n’ont peut-être jamais testés auparavant.
Parfois, vous pourriez même être content qu’ils prennent ce genre d’initiative, s’il s’agit d’un moyen peu coûteux et convivial pour stimuler la dynamique de l’équipe.
Par exemple, ils peuvent ouvrir un compte au niveau d’un service en ligne quel qu’il soit, peut-être même qu’ils auront choisi celui dans lequel vous avez toute confiance, en utilisant leur propre carte de crédit dans l’optique d’être remboursé plus tard.
Le premier risque auquel tout le monde pense dans des cas comme celui-ci est : “Et s’ils commettaient une erreur de sécurité ou divulguaient des données alors qu’ils n’auraient pas dû ?”.
Mais il existe un autre problème que beaucoup d’entreprises oublient, à savoir : si au lieu d’être une véritable catastrophe pour la sécurité, cette initiative s’avère être en fait un franc succès ?
Une solution temporaire mise en place pour faire face à un problème de santé publique pourrait devenir un élément dynamique et crucial concernant la présence en ligne de l’entreprise.
Assurez-vous donc de savoir quelle carte de crédit a été débitée et assurez-vous de pouvoir accéder au compte en question si la personne qui l’a créé au départ oublie le mot de passe ou résilie sa carte.
Le soi-disant “shadow IT” n’est pas seulement un risque en cas d’incident, il peut également présenter un problème complexe en matière de responsabilité si tout se passe bien !
Et enfin…
Pour finir, si vous et vos utilisateurs devez soudainement travailler à domicile, soyez prêts à vous rencontrer à mi-chemin.
Par exemple, si vous êtes l’utilisateur et que votre équipe IT insiste soudainement pour que vous commenciez à utiliser un gestionnaire de mots de passe et le 2FA (ces codes de connexion à deux facteurs que vous devez saisir à chaque fois) …
… dites simplement “Oui bien sûr”, même si vous détestez le 2FA et que vous l’avez banni de votre vie personnelle car vous le trouviez peu pratique.
Billet inspiré de Remote working due to coronavirus? Here’s how to do it securely…, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.