Télétravail et cybersécurité : comment protéger vos données à distance ?

Points clés

• Le télétravail expose les entreprises à de nouveaux risques cyber qu'il est crucial de prendre en compte
• Négliger la sensibilisation et la formation des collaborateurs est l'erreur la plus fréquente et la plus dangereuse
• Ne pas sécuriser les accès à distance et les connexions des télétravailleurs ouvre la porte aux pirates
• Laisser les employés utiliser leurs équipements personnels sans précaution met en danger les données de l'entreprise
• L'absence de procédures et de solutions de sauvegarde adaptées au travail à distance peut être fatale en cas d'attaque

Introduction

Le télétravail s'est imposé dans nos organisations, propulsé par la crise sanitaire. Et cette tendance est partie pour durer ! D'après une étude récente, 84% des entreprises prévoient de pérenniser le travail à distance au-delà de la pandémie. Une révolution qui apporte son lot d'opportunités mais aussi de nouveaux défis, en particulier en matière de cybersécurité.

Car avouons-le, dans l'urgence de la mise en place du télétravail, la sécurité est souvent passée au second plan. Pourtant, travailler hors des murs de l'entreprise expose à des risques accrus : connexions non sécurisées, équipements personnels, shadow IT... Autant de portes d'entrée pour les cybercriminels qui ont vite compris le potentiel de cette nouvelle donne. Les attaques ciblant les télétravailleurs ont ainsi bondi de 148% en 2020 !

Alors dirigeants, pour ne pas voir votre entreprise rejoindre les rangs des victimes, il est urgent de vous saisir du sujet. Mais par où commencer ? En évitant les 6 erreurs les plus courantes qui mettent en péril votre sécurité. Suivez le guide !

Erreur n°1 : Négliger la sensibilisation et la formation des collaborateurs

On ne le dira jamais assez, vos collaborateurs sont votre premier rempart contre les cybermenaces. Mais aussi votre maillon faible s'ils ne sont pas sensibilisés aux risques et aux bonnes pratiques. Une étude révèle que 90% des incidents de sécurité sont dus à une erreur humaine !

Phishing, mots de passe faibles, navigation sur des sites douteux... Les comportements à risque sont nombreux, et ils sont exacerbés en télétravail où le contrôle est plus difficile. Sans compter que les pirates rivalisent d'ingéniosité pour berner vos équipes, avec des attaques de plus en plus ciblées et crédibles.

Votre priorité doit donc être de former et d'informer régulièrement tous vos collaborateurs, y compris les prestataires et intérimaires. Au programme :

• Les menaces courantes et comment les détecter
• Les bonnes pratiques de sécurité (mots de passe, mises à jour, sauvegarde...)
• Les procédures à suivre en cas d'incident
• Des exercices pratiques type simulation de phishing

Veillez à adapter le contenu et le format selon les profils (métiers, niveaux de risque...). L'essentiel est de créer une véritable culture cyber dans la durée. Nommez aussi des référents dans chaque service pour relayer les messages. La sécurité est l'affaire de tous !

Erreur n°2 : Laisser les accès à distance grands ouverts

Pour travailler de chez eux, vos collaborateurs doivent pouvoir accéder à distance aux ressources de l'entreprise : messagerie, applications métiers, données... Mais gare à ne pas laisser ces accès grands ouverts ! C'est comme laisser toutes les portes de votre maison ouvertes en partant en vacances.

Pourtant, par facilité, beaucoup se contentent d'ouvrir l'accès VPN à tous les salariés, sans restriction ni contrôle. Grave erreur ! Non seulement cela expose vos systèmes aux intrusions, mais en plus vous perdez toute visibilité sur qui accède à quoi. Un vrai cauchemar pour la sécurité et la conformité.

La solution ? Mettre en place une gestion stricte des accès selon le principe du moindre privilège :

• Définissez des profils d'accès selon les rôles et besoins
• Donnez les droits d'accès au plus juste, en les révisant régulièrement
• Imposez une authentification forte (MFA) pour tous les accès sensibles
• Tracez et analysez les connexions pour détecter les comportements suspects

Des solutions de gestion des accès et des identités (IAM) vous aideront à automatiser ces tâches. Mais attention à bien les configurer et les maintenir à jour !

Erreur n°3 : Utiliser des connexions non sécurisées

En télétravail, exit le réseau d'entreprise sécurisé et supervisé par vos experts IT. Place aux connexions personnelles, parfois partagées avec toute la famille ! Box ADSL, wifi public, partage de connexion sur mobile... Les télétravailleurs utilisent une multitude de réseaux sur lesquels vous n'avez aucune visibilité ni contrôle. Un vrai gruyère pour la sécurité !

Car sur ces réseaux non maîtrisés, vos données peuvent être interceptées, modifiées, volées à votre insu. Les pirates peuvent aussi en profiter pour s'introduire sur les équipements de vos collaborateurs et, de là, se propager sur tout votre système d'information. Le cauchemar !

Pour y remédier, quelques règles d'or :

• Imposez un VPN chiffré et sécurisé pour toutes les connexions professionnelles
• Interdisez l'usage des wifi publics ou partagés pour accéder aux données de l'entreprise
• Filtrez les accès pour n'autoriser que les applications et services nécessaires
• Segmentez votre réseau pour isoler les accès distants des ressources critiques

Bref, partez du principe que le poste du télétravailleur est un point d'entrée à risque qu'il faut sécuriser au maximum. Votre réseau vous dira merci !

Erreur n°4 : Mélanger les usages personnels et professionnels

"Pratique ce laptop de boulot pour regarder Netflix le soir !" Voilà le genre de raccourci qui fait frémir les responsables de sécurité. Car utiliser les équipements professionnels à des fins personnelles, c'est le meilleur moyen d'y introduire des logiciels et contenus à risque. Sans parler des données d'entreprise qui se retrouvent exposées au sein du cercle privé.

Malheureusement, cette frontière est de plus en plus ténue avec le télétravail. Pire, certaines entreprises, pour faire des économies, autorisent les employés à utiliser leurs propres appareils. Sans se douter des dangers du BYOD (Bring Your Own Device) : absence de contrôle, mises à jour aléatoires, apps douteuses... Une porte ouverte aux malwares et fuites de données !

Alors pour garder le contrôle, mieux vaut :

• Fournir des équipements professionnels dédiés et sécurisés à vos télétravailleurs
• Interdire l'usage des appareils perso pour accéder aux données d'entreprise
• Imposer un socle de sécurité (antivirus, chiffrement, MFA...) sur tous les postes
• Séparer les environnements pro/perso (profils, containers...) si le BYOD est inévitable
• Encadrer contractuellement les usages et responsabilités en cas de BYOD

Vos données seront ainsi protégées, où qu'elles se trouvent. Et vos employés pourront continuer à regarder leurs séries sans risque !

Erreur n°5 : Négliger les sauvegardes et la résilience

Ransomwares, pannes, erreurs humaines... Les causes de pertes de données sont nombreuses. Et leurs conséquences désastreuses, surtout quand toute l'activité repose sur l'informatique. Pourtant, trop d'entreprises négligent ce risque vital, en particulier pour leurs télétravailleurs.

Certaines se reposent sur les sauvegardes automatiques dans le cloud, sans vraiment savoir ce qui est sauvegardé ni comment restaurer. D'autres font confiance aux employés pour sauvegarder sur des disques ou clés USB, sans aucun contrôle. Quant aux sauvegardes sur site, elles sont souvent inadaptées à des utilisateurs distants. Bref, la protection des données est un vrai gruyère !

Quelques principes pour y remédier :

• Définissez une stratégie de sauvegarde adaptée au télétravail (fréquence, supports, rétention...)
• Automatisez les sauvegardes sur des serveurs ou services cloud dédiés et sécurisés
• Testez régulièrement vos restaurations pour vous assurer qu'elles fonctionnent
• Sensibilisez les utilisateurs à faire des sauvegardes locales régulières en complément
• Préparez un plan de reprise d'activité prenant en compte les spécificités du télétravail

L'essentiel est d'avoir des sauvegardes fiables, accessibles à distance et faciles à restaurer. Votre entreprise sera ainsi plus résiliente face aux incidents.

Erreur n°6 : Improviser sans stratégie ni gouvernance

Le télétravail s'est souvent mis en place dans l'urgence, sans réflexion ni pilotage d'ensemble. Chacun s'est débrouillé avec les moyens du bord, en mode "shadow IT". Les règles de sécurité habituelles sont vite passées à la trappe, faute d'être adaptées à ce nouveau contexte. Résultat : une explosion des risques incontrôlés !

Car la sécurité du travail à distance ne s'improvise pas. Elle doit faire l'objet d'une vraie stratégie, alignée sur les enjeux métiers et portée au plus haut niveau. Avec à la clé des procédures et des outils adaptés, un pilotage centralisé et une amélioration continue.

Quelques points clés pour une gouvernance efficace :

• Évaluez les risques spécifiques au télétravail et définissez votre politique de sécurité
• Fournissez des moyens sécurisés et supportés pour travailler et collaborer à distance
• Adaptez vos processus de gestion des incidents et de support aux utilisateurs distants
• Suivez des indicateurs pour mesurer l'application et l'efficacité de votre politique
• Ajustez votre stratégie en fonction des retours terrain et de l'évolution des menaces

Le RSSI est le chef d'orchestre de cette transformation, mais il doit impliquer toutes les parties prenantes : direction, métiers, juridique, RH... La sécurité en télétravail est l'affaire de tous !

Citations: 1 2 3