Réseau M
Fermer

info@sagementorat.com
581 999-8795

Laisse-nous un message!

Laissez-nous votre nom et votre adresse courriel suivis d’un court message et un s’occupe de vous répondre dans les plus brefs délais!

Devenez mentoré

Merci de compléter le formulaire d’adhésion suivant.
Nous communiquerons avec vous dans les plus brefs délais pour la suite du processus.

Inscription à l'infolettre

Laissez-nous votre adresse courriel et on s’occupe de vous envoyer des nouvelles et des articles interessants, et ce, juste asser souvent pour que vous pensiez un peu à nous !

Concilier travail & cybersécurité – est-ce possible?

Retour aux articles

Concilier télétravail & cybersécurité – est-ce possible?

UN DÉFI RÉALISABLE?

La COVID-19 a bouleversé non seulement les habitudes de chacun, mais également celles de ton entreprise en un temps record, vous poussant à passer en mode télétravail, tes employés et toi.

Vitesse et précipitation se confondant dans un climat inconnu jusqu’alors, l’aspect sécurité n’a pas pu suivre le rythme, laissant des failles exploitables à la merci d’opportunistes connus sous le nom de pirates informatiques ou hackers.

Flairant la bonne occasion, ceux-ci ont mis en place de nombreux sites d’hameçonnage en circulation (près de 200 000 ont été dénombrés en mars 2020) visant à recueillir des données personnelles et confidentielles dans le but de s’en servir, de les revendre ou de s’introduire dans tes serveurs.

Pour rappel, l’hameçonnage est une technique d’usurpation permettant de faire croire aux internautes malchanceux qu’ils sont sur un site de confiance afin de leur soutirer des informations sensibles, telles que des identifiants, des mots de passe, des numéros de carte de crédit, etc.
Bien que la situation tende à redevenir normale, la prudence reste de mise du fait que les pirates rivalisent d’imagination et de technicité pour créer des sites reposant sur l’actualité et permettant de piéger toujours davantage de personnes.

DE CE FAIT, AUCUNE ENTREPRISE N’EST À L’ABRI, PAS MÊME LA TIENNE!

Quand on pense aux failles de sécurité, quelques grands noms peuvent nous traverser l’esprit par la couverture médiatique dont ils ont fait l’objet dernièrement. Il ne faut cependant pas croire que seules les « grosses » structures peuvent subir des cyberattaques, car les plus « petites » n’étant pas toujours protégées adéquatement, elles peuvent représenter une cible facile pour les malfaiteurs numériques.

Pour illustrer ces risques, Coalition, une entreprise d’assurance couvrant les frais de dommages liés aux piratages, a mentionné dans son plus récent rapport que la sévérité des rançongiciels aurait augmenté de + 100 % de 2019 à 2020. Elle aurait encore augmenté de 47 % entre le début de l’année 2020 et trois mois après, soit au moment de l’arrivée de la pandémie. Les statistiques portent également sur le fait que les prix des rançons liés à la détention de données sensibles sont, eux aussi, en augmentation.

POURQUOI LE TÉLÉTRAVAIL GÉNÈRE-T-IL TANT DE PRÉOCCUPATION?

Pour la simple raison que toutes les informations de ton entreprise doivent être accessibles à distance pour être mises à la disposition de tes employés. Les moyens les plus efficaces pour le faire sont par la mise en place de VPN et par le déploiement d’outils disponibles dans l’infonuagique. Si on caricature la situation, c’est comme si toutes les informations privées te concernant se retrouvaient écrites en lettres colorées sur tous les murs de la ville.

Partant de cette image, tu comprendras aisément que ton entreprise doit avoir recours à des mesures visant à contrôler l’accès à ces données, car c’est précisément là que les pirates cherchent à s’introduire.

Si nous en revenons aux chiffres pour mieux évaluer l’impact de la mise en place du télétravail, on peut se référer à un sondage réalisé auprès des entreprises canadiennes publié le 29 juillet 2020 (Étude OVH Cloud et Maru/Blue). Ce sondage mentionnait que seulement 32 % des entreprises se disaient très confiantes dans leur capacité à adapter leur infrastructure aux nouvelles réalités du télétravail.
Le même sondage a également révélé que 44 % des compagnies interrogées estimaient que leurs plus grands défis étaient les risques liés à la cybersécurité.

Et toi, as-tu évalué l’impact de la mise en place du télétravail dans ta compagnie?

DES PISTES POUR AMÉLIORER LA SÉCURITÉ EN TÉLÉTRAVAIL

Ces pistes s’articulent autour des axes suivants :

• Les actions qu’un employé doit mener pour minimiser les risques de travail depuis son domicile;
• L’évaluation que doivent faire le dirigeant et l’équipe en technologie d’information pour diminuer les risques de l’entreprise.

Avant d’approfondir les actions pouvant être menées par chacun des interlocuteurs cités, la question du type d’installation à distance doit être réfléchie et repose sur le degré de sensibilité des informations de la compagnie.

En effet, les entreprises optent généralement pour la mise à disposition d’un poste de travail appartenant à l’entreprise et configuré par leurs soins ou par la transmission d’un accès sur une plateforme de type Citrix sur laquelle l’employé peut travailler à distance sur l’environnement de son employeur. La dernière alternative, qui est la moins sécuritaire, est de laisser les employés utiliser leurs propres postes de travail. Malgré les risques, c’est l’option que certaines choisissent : plusieurs éléments complémentaires doivent alors être tenus en compte, mais dans plusieurs situations cela pourrait ne pas être acceptable.

Et toi, quelle option as-tu retenu?

Une fois la stratégie définie, la sensibilisation ne doit pas s’arrêter là. Bien que l’on cherche à contrôler l’environnement de travail pour le rendre sécuritaire, il ne faut pas négliger le fait que nous disposons de plusieurs dispositifs à nos domiciles (ordinateurs, tablettes, téléphones, etc.) ainsi que de différents systèmes d’exploitation (Windows, IOS, Android, iPhone, etc.) et du Wi-Fi. Autant de portes d’entrée pour des visiteurs indésirables si certaines précautions ne sont pas prises, telles que les mises à jour régulières, par exemple.

Pour pallier les risques d’intrusion, il est vivement recommandé de proscrire à la maison du télétravailleur certaines versions de Microsoft, comme Windows 8, 7, XP ou Vista. Les versions considérées comme étant adéquates sont celles pour lesquelles il existe des mises à jour de sécurité, comme Windows 10. Pour Apple, les versions conformes sont 10.14 et les suivantes (soit Mojave, Catalina, Big Sur).

Au-delà des mises à jour à installer, revenons-en aux pistes d’amélioration concernant des actions spécifiques à appliquer par l’employé si celui-ci doit travailler depuis son poste personnel :

• S’assurer que les mises à jour n’ont pas été désactivées pour que l’ordinateur puisse les détecter et les installer;

• Installer un antivirus* : si l’antivirus n’est pas géré directement par ton entreprise, il est recommandé d’installer
un antivirus complémentaire à Windows Defender, car il couvrira une plus longue portée des cyberrisques encourus,
notamment en termes de rançongiciels. Si Windows Defender était utilisé seul, il est important de s’assurer qu’il
soit activé et à jour pour lui permettre d’accomplir son analyse;

• Éviter les recherches du type « Antivirus gratuit » du fait qu’ils ne soient pas nécessairement les plus performants
et pourraient eux-  mêmes  contenir des logiciels espions visant à monétiser les activités réalisées par l’employé
sur Internet**;

• Avoir un compte utilisateur dédié au travail et qui n’aura pas un profil administrateur. Le profil administrateur est
requis pour procéder   aux installations des logiciels et ne pas l’avoir sur son compte utilisateur permet d’éviter l’installation de certains virus;

• Définir le mot de passe du compte utilisateur dédié au travail et rencontrer les règles suivantes :
o Ne pas le partager avec les autres membres de la famille;
o Faire une distinction entre les mots de passe du cadre personnel et ceux du travail;
o Ne pas les enregistrer sur le navigateur quand il s’agit d’informations sensibles (ex. : les accès de la banque);
o Préférer des outils de gestion de mots de passe qui permettent d’en créer des forts, de les enregistrer et même de
les préremplir, comme  KeePass (enregistrement du logiciel sur le disque dur) ou LastPass (enregistrement
infonuagique);
o Configurer l’authentification à deux facteurs sur les sites;

• Navigation sécurisée : s’interroger sur les extensions installées (sont-elles connues? Ont-elles de bons commentaires? Ont-elles beaucoup  de téléchargement?);

• Porter attention aux fenêtres qui s’affichent pour annoncer que l’on n’est pas sur un site sécuritaire et prévenir
l’équipe informatique;

• Wi-Fi, s’interroger sur les éléments suivants :
o Procotole WPA2?
o Complexité du mot de passe? Quand a-t-il été changé pour la dernière fois?
o Mise à jour du routeur?
o Faire un réseau sans fil dédié?
o Complexité du mot de passe administrateur du routeur?

• Sécuriser le téléphone intelligent, car il peut y avoir des applications corporatives installées ou une redirection
des courriels de ton   entreprise. Le PIN à quatre chiffres ou le Pattern sont insuffisants, on doit privilégier le
mot de passe de six caractères, un PIN à huit   chiffres  ou l’utilisation de l’empreinte digitale;

• Échanger des documents avec les clients et les collègues : il est à retenir que les courriels ne sont pas faits pour
le transfert de   renseignements personnels bien qu’ils soient souvent utilisés dans ce cadre. Il faut considérer un
courriel comme une carte postale : il peut   être intercepté et lu par une personne malveillante sans que nous
puissions nous en rendre compte. Il est donc fortement recommandé de   préférer des outils corporatifs tels que
Teams, OneDrive ou SharePoint qui auront été préalablement approuvés et configurés par ton   organisation pour un
échange d’informations sécuritaire***;

• Adopter la politique du bureau propre en s’assurant que l’ordinateur de travail est rangé ou hors de la vue des
visiteurs et que les   documents imprimés soient classés dans un endroit sécuritaire.
• Détruire les documents corporatifs dont on veut se débarrasser soit en les ramenant au bureau, soit en se faisant fournir un bac ou une   déchiqueteuse;

• Travailler en ligne, à l’intérieur des applications corporatives, pour éviter d’avoir des documents sur l’ordinateur,
cela peut également éviter des pertes de données. Si toi ou tes employés ne pouvez pas travailler en ligne,
sauvegardez régulièrement les documents sur les serveurs de l’entreprise.

RÔLE DU DIRIGEANT

• Communiquer clairement les règles à appliquer aux employés;
• Encourager les employés à partager les problèmes rencontrés et reliés à la sécurité;
• Fournir les outils nécessaires pour une utilisation sécuritaire;
• Envoyer des directives sur ce qui est acceptable ou pas = politique sur le télétravail avec un volet sur la sécurité;
• Évaluer les procédures en fonction de la sensibilité de l’information.

RÔLE DE L’ÉQUIPE EN TECHNOLOGIE DE L’INFORMATION

• S’assurer d’avoir un outil permettant le suivi de l’automatisation des mises à jour;
• Disposer d’une console centralisée pour l’antivirus;
• En cas d’informations confidentielles sur les postes de travail, il est recommandé d’avoir un outil qui chiffre les
données en cas de vol ou de tentative d’intrusion pendant que l’ordinateur est éteint;
• Définir un processus de réinitialisation de mots de passe qui peut se faire à distance;
• Connexion en VPN préconisée pour les accès aux solutions d’entreprises hébergées au bureau;
• Sensibiliser les employés : webinaire, en ligne avec une application infonuagique, intranet, courriels avec
thématiques;
• Établir un plan de gestion d’incidents qui doit être communiqué aux employés pour qu’ils puissent prévenir les bonnes
personnes en cas de soupçon de piratage de manière à permettre à l’équipe en technologie d’information de réagir
rapidement.

Pour terminer, il est à noter que des projets de loi visant la protection des renseignements personnels sont en cours et que les entreprises qui n’auront pas pris les mesures nécessaires se verront imputer d’importantes pénalités en cas de vol de données.

POUR ALLER PLUS LOIN :

• Dans le cadre de la semaine du télétravail en septembre dernier, Jean-Philippe a donné trois conférences d’une heure sur la cybersécurité en mode télétravail. On t’y donne accès directement sur notre site Web en cliquant ici

• Tu as besoin d’aide pour mettre ces recommandations en place? Cyberswat étant partenaire de Sage Mentorat, tu peux profiter de nos deux offres exclusives.
* Une étude du 3 mars 2020, de Comparitech, souligne que le taux d’infection par virus sur un téléphone intelligent au Canada est de 4 % et de 10 % pour les ordinateurs.

** Pour trouver un antivirus adéquat ou pour tester votre ordinateur afin d’identifier un éventuel virus, vous pouvez aller sur le site https://www.av-test.org/

*** Restons vigilants sur le fait que le courriel est la cible privilégiée des cyberattaques et que le risque d’hameçonnage provient d’eux à 38 %.

Texte de Jean-Philippe Racine, ambassadeur pour SAGE Mentorat d’affaires

Grâce à ses 17 années d’expérience dans le secteur des TI et à ses nombreuses certifications et formations, M. Racine possède plus d’une décennie d’expérience dédiée à la cybersécurité.

On est aussi sur les réseaux-sociaux

Suivez-nous!