Selon le sondage « Priorités IT 2020-2021 » de TechTarget, 65% des entreprises se préparent à mieux accompagner le télétravail en 2021. Dans cette optique, une notion en particulier est indispensable à traiter : la question de la cybersécurité à domicile.
Boostée par la crise sanitaire, tous les responsables informatiques doivent composer avec la tendance du télétravail, partie pour s’installer dans la durée. Et avec elle, un dommage collatéral souvent mis de côté dans l’urgence : la protection informatique des entreprises. Un pied au bureau, un pied chez soi, et le risque d’un mélange des genres entre vie privée et vie professionnelle, environnement de travail et environnement personnel… Quel bilan sécurité tirer de l’année 2020 ? Le travail à distance doit-il être considéré comme une faille potentielle de plus pour la cybersécurité des entreprises et organisations ? Comment allier télétravail et sécurité ? Quels sont les moyens d’action des responsables informatiques pour sécuriser ce mode de travail ? Analyse.
L’heure du bilan
Alors que les bougies du premier confinement dans la majeure partie du monde sont à peine soufflées, l’heure est au bilan pour les organisations qui, il y a plus d’un an, se sont vues dans l’obligation d’avoir recours au télétravail de façon massive et précipitée. Si de nombreuses entreprises n’étaient pas prêtes pour le télétravail, d’autres ont saisi l’occasion de cette situation inédite pour apporter la touche finale et donner un coup d’accélérateur à des politiques de télétravail déjà bien enclenchées. « De nombreuses entreprises se sont formées sur le tas et on note une vraie démystification du télétravail. Cependant, le travail à distance reste un sujet complexe pour les organisations de secteurs sensibles comme la Défense ou le secteur bancaire qui ont une forte culture du secret professionnel », explique Adrien Brochot, Product Manager chez Stormshield. Et d’une manière plus générale une tendance se dégage : pour toutes les structures, la question de la protection des données – a fortiori en télétravail – est devenue essentielle.
La sécurité informatique de l’entreprise mise à l’épreuve
« Pour les entreprises qui n’étaient pas habituées au télétravail, tout était à construire et certaines ont dû faire des compromis de sécurité sur certains aspects, comme autoriser des tâches ou actions alors que jusqu’à présent elles n’étaient possibles que depuis le réseau de l’entreprise » signale Maxime Nempont, Technical Leader Sécurité chez Stormshield. En effet, une entreprise sur quatre affirme avoir réalisé des concessions en matière de cybersécurité pour assurer une continuité d’activité, selon l’édition 2020 de notre baromètre sur la transformation numérique. Assurément, et comme l’indique cette recommandation émise par Cybermalveillance.gouv.fr à l’aune du premier confinement, des entreprises ont par exemple dû guider certains collaborateurs à distance pour s’installer en télétravail, sans avoir réellement la main sur la sécurité. Certaines entreprises ont, elles, dû composer avec le manque d’équipements informatiques à disposition et accepter que des collaborateurs travaillent depuis leurs postes personnels, sans pouvoir s’assurer de mesures de sécurité efficaces.
Pour les entreprises qui n’étaient pas habituées au télétravail, tout était à construire et certaines ont dû faire des compromis avec la sécurité
Maxime Nempont, Technical Leader Sécurité Stormshield
Autre retour d’expérience notable : apprendre à gérer la démultiplication des connexions depuis l’extérieur de l’entreprise. Bon nombre de structures ont privilégié l’adoption de solutions Cloud et se sont tournées vers des outils Web, au point d’inquiéter les grands fournisseurs sur leur capacité à absorber une demande exponentielle. Pour d’autres, le déploiement massif du télétravail a mis en lumière la question de confiance. Ou plutôt, le principe qui consiste à ne jamais faire confiance : le Zero Trust Network Access (ZTNA). « Si le VPN reste un moyen répandu de sécuriser les échanges, d’autres techniques existent, dont le ZTNA, précise Adrien Brochot. Avec un principe simple : ne jamais faire confiance lorsqu’une demande d’accès à une ressource de l’entreprise est réalisée par un utilisateur. Et vérifier la sécurité de son poste ou lui imposer une authentification supplémentaire ». Ainsi, la crise sanitaire pourrait donner un coup d’accélérateur à cette approche.
Le passage au tout-télétravail a aussi conforté certaines entreprises déjà bien rôdées dans leur capacité à travailler à distance. Mais il en a aussi surpris – et souvent mis en difficulté – d’autres qui n’étaient pas prêtes, et pour qui les risques liés au télétravail sont arrivés en haut de la pile des préoccupations. Cependant, malgré une recrudescence notable des attaques durant la pandémie – une étude Deloitte indique d’ailleurs que 25% des collaborateurs en télétravail ont été plus exposés aux menaces comme le phishing ou les spams – les menaces cyber en télétravail restent les mêmes que celles sur site, et la chasse aux comportements suspects est restée peu ou prou inchangée. Ce qui a changé avec le travail à distance, c’est la perte en visibilité des DSI sur les actions des collaborateurs : l’environnement de travail est moins contrôlé donc plus exposé, et le risque humain est amplifié, loin des protections périmétriques de l’entreprise. « En télétravail, les postes sont de fait plus exposés, entraînant pour les équipes IT un challenge supplémentaire pour protéger ces postes qui ne sont plus dans un environnement de confiance », précise Maxime Nempont.
Le rôle central des équipes RH
Du côté des équipes RH, la menace indiscutable qui ressort de cette longue période de travail à distance subi – à l’opposé d’une pratique de Home Office choisi – est le mélange de la vie professionnelle et de la vie personnelle sur une très longue période. « Ce que les RH ont fait durant cette période ? Prendre soin des collaborateurs et s’assurer de conserver un lien humain ». En effet, pour Sylvie Blondel, DRH de Stormshield, « mélanger la vie professionnelle et la vie personnelle a été une vraie menace, notamment d’un point de vue cyber ». En plus de mauvaises habitudes prises par certains collaborateurs de manière générale, la lassitude des salariés dus à un contexte sanitaire inédit où le domicile devient l’unique bureau, ont entraîné une baisse de vigilance numérique impactant directement la cybersécurité des organisations. Utiliser le poste de l’entreprise pour de la navigation personnelle et prendre le risque de compromettre la machine, porter peu d’attention à la sécurité du poste professionnel d’habitude gérée par les équipes IT… Autant de baisse d’attention de la part des collaborateurs qui ont été notées sur ces derniers mois, avec à la clé autant de failles de sécurité supplémentaires à appréhender pour les entreprises. Cela a mis en exergue l’importance pour les équipes RH de travailler main dans la main avec les responsables informatiques. Un désilotage propice à la mutualisation des expertises. Des expertises qui se sont avérées être particulièrement complémentaires pour accompagner les collaborateurs en télétravail, comme avec la mise en place de sensibilisation par exemple.
Faut-il repenser le bureau à domicile ?
« Le télétravail va naître du Covid-19 pour de nombreuses entreprises et laisser son empreinte » avance David Lamiaux, DRH du Groupe Kiloutou. Ainsi, avec la crise sanitaire qui s’installe, le télétravail pourrait bien devenir un mode de travail à part entière, voire le mode de travail prédominant. Une nouvelle tendance qui pourrait offrir un boulevard aux groupes malveillants en tout genre, si les entreprises ne prennent pas des mesures, des habitudes de sécurité adaptées à ce nouveau paradigme et n’anticipent pas les risques du télétravail. Mais alors par quel bout prendre la question ? Quelles actions les entreprises peuvent-elles mettre en œuvre pour pérenniser le télétravail sans sacrifier la cybersécurité ?
Le télétravail va naître du Covid-19 pour de nombreuses entreprises et laisser son empreinte
David Lamiaux, DRH Kiloutou
Redoubler de vigilance pour les collaborateurs
En télétravail, c’est un peu loin des yeux loin du cœur pour les DSI. En effet, il n’est plus possible de passer une tête dans le bureau d’à côté et de rappeler au bon souvenir des collaborateurs les pratiques en matière de sécurité. Or, le niveau de vigilance des salariés reste un point clé de la cybersécurité, d’autant plus à domicile. Mais comment prévenir une baisse de vigilance ? Pour David Lamiaux, la vigilance au sens cyber est d’abord l’apanage de l’entreprise et des responsables informatiques, qui doivent la définir et l’organiser comme au sein d’une entreprise « réelle ». « Le collaborateur lambda ne souhaite pas se soucier des questions de sécurité de son entreprise et plus globalement, les collaborateurs ne sont pas ou peu armés face au risque cyber. » Côté sensibilisation, au-delà des salves d’exercices classiques – à prodiguer néanmoins sans modération auprès des collaborateurs ! – en télétravail, il faut orienter le discours sur la menace. « Depuis 2020, il est important pour les DSI de marquer le coup autour de la menace en télétravail, en rappelant que, même depuis chez eux, les collaborateurs sont toujours dans l’entreprise », suggère Bertrand Méens, DSI adjoint du Groupe IRCEM et membre du CESIN, et d’ajouter : « Ce qui est intéressant, c’est de se poser la question du scénario de sensibilisation que l’on va utiliser et de le rendre concret par rapport au contexte ». Ce n’est une surprise pour personne, la sensibilisation des utilisateurs reste un levier central à activer lorsqu’il s’agit de travail et de cybersécurité, c’est en tout cas un constat partagé par 58% des entreprises, qui souhaitent prendre en compte ce sujet en priorité en 2021, selon TechTarget.
L’UX peut aussi être un moyen de palier une baisse de vigilance des collaborateurs. Les responsables informatiques ont donc tout intérêt à utiliser des solutions cyber avec une prise en main simple et efficace, et qui sauront s’intégrer sans contrainte dans le quotidien des salariés, comme certains outils de chiffrement de données par exemple, qui peuvent désormais s’intégrer directement au navigateur ou encore appliquer des politiques de chiffrement automatique.
S’assurer d’une cybersécurité en dehors des murs de l’entreprise
La question de la mobilité et la problématique de la sécurité informatique ne vont pas vraiment de pair. Alors pour s’assurer d’une continuité de la cybersécurité en télétravail, il faut opérer un basculement simple vers le travail à distance, de sorte que les collaborateurs n’ont presque pas à modifier leurs habitudes, limitant ainsi la perte de repères, souvent synonyme de perte de bonnes pratiques et de réflexes. Ainsi, les responsables informatiques doivent, autant que faire se peut, donner aux salariés le même environnement de travail qu’en entreprise, avec une flanquée de guides et procédures IT. « Il ne faut plus voir le sujet de la cybersécurité de manière technique mais plutôt du point de vue de l’usage, et donc orienté vers les collaborateurs » affirme Bertrand Méens. Comment lancer son VPN ? Comment paramétrer tel ou tel logiciel ? Comment chiffrer et protéger ses fichiers ? Ou encore mettre son terminal en veille, ne pas laisser son poste sans surveillance dans le train, en voiture et même au sein du cercle familial… Même s’il s’apparente à une liste à la Prévert, le rappel des bonnes pratiques en télétravail est essentiel. En parallèle, les DSI peuvent mettre en place des sécurités renforcées sur les postes comme le verrouillage automatique ou le blocage d’accès aux périphériques personnels, et pré paramétrer les équipements pour limiter l’autonomie des collaborateurs. « Cela donne un certain confort aux collaborateurs et un cadre avec un modèle de sécurité imposé pour l’entreprise », ajoute Bertrand Méens.
Et la sécurisation des accès distants dans tout ça ?
Si le télétravail existe depuis des années, il est désormais généralisé à presque tous les métiers d’une entreprise, impactant directement la cartographie des SI. Il y a 10 ans, les responsables informatiques avaient un seul point d’entrée, alors qu’aujourd’hui de plus en plus d’entreprises composent avec le télétravail, une approche multi Cloud et des outils collaboratifs qui se retrouvent éparpillés. Il y a donc un changement fort de paradigme du SI, et des mesures techniques sont à mettre en place pour limiter le risque d’exposition des postes en télétravail : « Il faut instaurer des règles strictes de firewalls et faire passer l’ensemble du trafic par le réseau de l’entreprise » souligne Maxime Nempont. La sécurité doit aussi être centrée sur le poste en lui-même, grâce à des solutions Endpoint. Sans oublier le recours au VPN, qui reste massivement utilisé pour sécuriser les échanges à distance et les connexions au SI. La vigilance reste de mise cependant, puisque les VPN sont loin d’être infaillibles, et il est recommandé de prendre des dispositions supplémentaires comme le recours à la double authentification (2FA) ou à l’authentification à facteurs multiples (MFA).
Autre question qui est soulevée par cette généralisation du télétravail : comment sécuriser les postes mobiles ? Les smartphones sont de plus en plus utilisés, jusqu’à en devenir un second bureau, et la vigilance des collaborateurs a souvent tendance à être plus faible face à ces terminaux mobiles. Il faut donc brider autant que possible l’utilisation des postes mobiles et les faire pré-paramétrer par les équipes IT. « Il faut définir des bulles applicatives avec les logiciels que l’on souhaite autoriser et les sécuriser » selon Bertrand Méens. Autre levier possible, réaliser de l’enrollment avec des outils de type Mobile Device Management (MDM), notamment pour garantir l’application des règles de sécurité et avoir la capacité d’effacer à distance les données d’un terminal, en cas de perte ou de vol.
Les DSI, qui n’ont pas chômé en 2020, ont donc déjà une feuille de route ambitieuse pour les mois à venir, et un rôle clé à jouer dans la structuration d’une cybersécurité renforcée en télétravail.
