En effet, nous sommes enfin sur le point de retrouver un petit bout de cette “vie normale”, qui a tant manqué à beaucoup d’entre nous depuis un an. Il s’agit sans aucun doute d’un évènement à attendre avec impatience et à célébrer. En parallèle, ce retour au bureau nécessitera une préparation bien réfléchie et une réflexion pour le futur, et pas seulement à cause du virus, mais aussi du fait de l’état de la cybersécurité sur le lieu de travail.
L’année dernière, des entreprises du monde entier ont dû prendre une décision très brutale et imprévue en basculant la plupart, sinon la totalité de leurs employés, en télétravail. Bien que le travail à domicile soit un avantage pour de nombreuses entreprises depuis des années, l’ampleur et la rapidité de cette transition vers le travail à distance généralisé ont pris tout le monde par surprise. La plupart des entreprises n’avaient pas de plan de contingence, en cas de pandémie, concernant les fermetures de bureaux à grande échelle. Ainsi, une grande partie de l’infrastructure IT et de sécurité entourant cette nouvelle situation a dû être inventée à la volée.
Les entreprises se sont alors demandées, par exemple, si les capacité VPN étaient suffisantes pour prendre en charge tous les employés à distance, si les mises à jour logicielles pouvaient être installées sur les équipements professionnels au niveau des réseaux Wi-Fi domestiques, et enfin si chaque employé possédait bel et bien un ordinateur portable professionnel à utiliser pour travailler depuis son domicile. Ces questions, que personne ne s’était posées auparavant, étaient devenues soudainement des questions critiques pour l’entreprise.
Alors que de nombreuses entreprises ont été en mesure de mettre en place rapidement une stratégie IT en matière de télétravail, peu ont à priori déployé des approches de référence de type ZTN (Zero trust networking) ou SASE (Secure Access Service Edge) pour minimiser les risques de sécurité.
Ainsi, pour bien préparer votre retour au bureau et la réintégration d’appareils qui étaient auparavant hors de portée des outils de gestion, voici quelques mesures que les équipes IT pourront adopter pour s’assurer qu’un “retour à la normale” ne sera pas synonyme de compromis en matière de sécurité, et qu’au contraire, elles pourront en profiter pour déployer certaines mises à jour de sécurité déjà disponibles et en attente d’installation.
Déployez un réseau local de quarantaine pour mettre à jour et nettoyer les appareils des employés
De nombreuses entreprises n’ont pas pu poursuivre l’installation régulière (et forcée) de mises à jour pour les appareils professionnels de leurs employés pendant qu’ils étaient en télétravail. Par conséquent, il peut y avoir un nombre important d’ordinateurs portables et d’appareils connectés qui seront alors connectés au Wi-Fi de l’entreprise sans avoir été mis à jour pendant des semaines, voire des mois. Alors que nous sortons du confinement, ironiquement, un autre type de quarantaine peut être une mesure cruciale à envisager dans notre cas.
De nombreux employés ont probablement partagé leurs appareils professionnels avec leurs enfants ou leur famille à un moment donné au cours de l’année écoulée, peut-être d’ailleurs dans le cadre de l’enseignement à distance. Cependant, plus le nombre d’utilisateurs qui partagent un appareil est important plus le risque d’exposition à de potentielles vulnérabilités est élevé, en fonction notamment des sites qu’ils ont visités ou des programmes qu’ils ont téléchargés. Il faut ajouter à cela le fait que de nombreux employés n’ont peut-être pas été assez vigilants quant à l’installation des dernières mises à jour d’applications ou des correctifs du système d’exploitation, et ces appareils peuvent réintégrer le réseau de l’entreprise avec des niveaux de risque en matière de sécurité intrinsèquement très différents.
Le fait de restreindre les appareils au niveau d’un réseau local (LAN) spécifique au sein duquel ils pourront être mis à jour en toute sécurité, à savoir isolés du reste de l’entreprise, garantira que lorsque tous ces appareils rejoindront le réseau plus vaste de cette dernière, ils auront alors le même niveau de protection. Adoptez une approche vaccinale, mais pour vos ordinateurs professionnels.
Effectuez un audit des logiciels utilisés par vos employés
Les employés distants ont été invités à travailler dur et en totale autonomie cette année, de la gestion de leur travail quotidien à la maison, sans les ressources de l’entreprise auxquelles ils étaient habitués, à la garde de leurs enfants en passant par l’enseignement à distance. Ces derniers ont dû faire ce qu’ils pouvaient pour s’en sortir, choisissant et installant eux-mêmes des logiciels ou outils sur leurs appareils professionnels pour leur permettre de mener à bien leur mission en ces temps de crise. Parmi ces applications, nous pouvons citer Slack, Google Docs, Facebook Messenger, Dropbox et WhatsApp.
D’une part, il faut admirer leur ingéniosité ! D’autre part, les appareils appartenant à l’entreprise qui reviennent sur le réseau de celle-ci, chargés d’applications qui n’ont pas été validées par le service IT, peuvent faire courir de véritables risques en matière de sécurité.
À mesure que les employés retournent au bureau, les entreprises doivent déployer un programme d’audit IT pour déterminer les outils utilisés ou téléchargés par les employés. Cette précaution permet non seulement de donner au service IT une meilleure visibilité sur les zones au niveau desquelles il faut protéger et contrôler les données sensibles sur les appareils de l’entreprise, mais constitue également une opportunité d’apprentissage utile pour identifier les lacunes au niveau de votre stratégie de travail à distance.
Supprimez les services de Cloud personnel et les supports amovibles
L’année dernière, les travailleurs distants n’ont peut être pas pu utiliser l’accès VPN de leur entreprise et ont dû se débrouiller avec des Clouds personnels ou des supports amovibles, comme le stockage USB, pour partager des fichiers professionnels. Mais à mesure que ces appareils seront réintégrés dans le réseau de l’entreprise, ces pratiques devront être éliminées dès que possible. Les fichiers partagés via des services de Cloud personnel ou un stockage sur support amovible sont difficiles à chiffrer, ne s’intègrent pas au processus permettant d’obtenir une visibilité IT globale et, franchement, sont tout simplement trop faciles à égarer.
Dans le cadre des efforts déployés pour mener à bien cette réintégration, les entreprises devront mettre l’accent, de manière concertée, sur la sensibilisation des employés aux outils et aux services Cloud officiellement approuvés par l’entreprise, par exemple, les connexions au Cloud et les services au niveau desquels l’entreprise détient déjà des comptes. Les équipes IT doivent aider à migrer les données et les fichiers du stockage personnel vers le stockage appartenant à l’entreprise et s’assurer en cours de route que les employés disposent de tous les privilèges d’accès à ces services.
Bien que le retour au bureau après un an de télétravail puisse être un peu brutal pour le système, tout comme le passage initial au travail à domicile en mars de l’an dernier l’était, les entreprises peuvent faire de ce processus de retour des appareils des employés vers les réseaux de l’entreprise une opportunité en matière de sécurité. Il s’agit là du moment idéal pour les entreprises et les chefs d’équipe IT pour déployer de nouvelles politiques, qui non seulement amélioreront la sécurité et contribueront à la modernisation des appareils des employés, mais apporteront également des changements plus importants au niveau des stratégies de télétravail qui pourront ainsi permettre d’atteindre des niveaux de sécurité et d’accès encore plus élevés.
Le “Retour à la normale” ne signifie pas nécessairement faire “comme d’habitude”. C’est une occasion en or pour les entreprises de progresser.
Billet inspiré de 3 Ways Businesses Can Leverage Returning to the Office for Overdue Security Upgrades, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.