Un défi réalisable?
La COVID-19 a bouleversé non seulement les habitudes de chacun, mais également celles des entreprises en un temps record, les poussant à passer en mode télétravail pour la majorité, si ce n’est la totalité, de leurs employés.
Vitesse et précipitation se confondant dans un climat inconnu jusqu’alors, l’aspect sécurité n’a pas pu suivre le rythme, laissant des failles exploitables à la merci d’opportunistes connus sous le nom de pirates informatiques ou hackers.
Flairant la bonne occasion, ceux-ci ont mis en place de nombreux sites d’hameçonnage en circulation (près de 200 000 ont été dénombrés en mars 2020) visant à recueillir des données personnelles et confidentielles dans le but de s’en servir, de les revendre ou de s’introduire dans les serveurs d’organismes et de compagnies.
Rappelons que l’hameçonnage est une technique d’usurpation permettant de faire croire aux internautes malchanceux qu’ils sont sur un site de confiance afin de leur soutirer des informations sensibles, telles que des identifiants, des mots de passe, des numéros de carte de crédit, etc.
Bien que la situation tende à redevenir normale, la prudence reste de mise du fait que les pirates rivalisent d’imagination et de technicité pour créer des sites reposant sur l’actualité et permettant de piéger toujours davantage de personnes.
De ce fait, aucune entreprise ni aucun organisme n’est à l’abri, quelle que soit son envergure.
Quand on pense aux failles de sécurité, quelques grands noms peuvent nous traverser l’esprit par la couverture médiatique dont ils ont fait l’objet dernièrement. Il ne faut cependant pas croire que seules les « grosses » structures peuvent subir des cyberattaques, car les plus « petites » n’étant pas toujours protégées adéquatement, elles peuvent représenter une cible facile pour les malfaiteurs numériques.
Pour illustrer ces risques, Coalition, une entreprise d’assurance couvrant les frais de dommages liés aux piratages, a mentionné dans son plus récent rapport, que la sévérité des rançongiciels aurait augmenté de + 100 % de 2019 à 2020. Elle aurait encore augmenté de 47 % entre le début de l’année 2020 et trois mois après, soit au moment de l’arrivée de la pandémie. Les statistiques portent également sur le fait que les prix des rançons liés à la détention de données sensibles sont, eux aussi, en augmentation.
Pourquoi le télétravail génère-t-il tant de préoccupations?
Pour la simple raison que toutes les informations des entreprises doivent être accessibles à distance pour être mises à la disposition des employés. Les moyens les plus efficaces pour le faire sont par la mise en place de VPN et par le déploiement d’outils disponibles dans l’infonuagique. Si on caricature la situation, c’est comme si toutes les informations privées vous concernant se retrouvaient écrites en lettres colorées sur tous les murs de la ville.
Partant de cette image, vous comprendrez aisément que les entreprises doivent avoir recours à des mesures visant à contrôler l’accès à ces données, car c’est précisément là que les pirates cherchent à s’introduire.
Si nous en revenons aux chiffres pour mieux évaluer l’impact de la mise en place du télétravail, on peut se référer à un sondage réalisé auprès des entreprises canadiennes publié le 29 juillet 2020 (Étude OVH Cloud et Maru/Blue). Ce sondage mentionnait que seulement 32 % des entreprises se disaient très confiantes dans leur capacité à adapter leur infrastructure aux nouvelles réalités du télétravail. Le même sondage a également révélé que 44 % des compagnies interrogées estimaient que leurs plus grands défis étaient les risques liés à la cybersécurité.
Des pistes pour améliorer la sécurité en télétravail
Ces pistes s’articulent autour des axes suivants :
- Les actions qu’un employé doit mener pour minimiser les risques de travail depuis son domicile;
- L’évaluation que doivent faire le dirigeant et l’équipe en technologie d’information pour diminuer les risques de l’entreprise.
Avant d’approfondir les actions pouvant être menées par chacun des interlocuteurs cités, la question du type d’installation à distance doit être réfléchie et repose sur le degré de sensibilité des informations de la compagnie.
En effet, il existe plusieurs options à la disposition des entreprises telles que :
- la mise à disposition d’un poste de travail leur appartenant et configuré par leurs soins;
- la transmission d’un accès à une plateforme, de type Citrix, sur laquelle l’employé peut travailler à distance sur l’environnement de son employeur.
Une fois la stratégie définie, la sensibilisation ne doit pas s’arrêter là. Bien que l’on cherche à contrôler l’environnement de travail pour le rendre sécuritaire, il ne faut pas négliger le fait que nous disposons de plusieurs dispositifs à nos domiciles (ordinateurs, tablettes, téléphones, etc.) ainsi que de différents systèmes d’exploitation (Windows, IOS, Android, iPhone, etc.) et du Wi-Fi. Autant de portes d’entrée pour des visiteurs indésirables si certaines précautions ne sont pas prises, telles que les mises à jour régulières, par exemple.
Pour pallier les risques d’intrusion, il est vivement recommandé de proscrire certaines versions de Microsoft au domicile du télétravailleur, comme Windows 8, 7, XP ou Vista. Les versions considérées comme étant adéquates sont celles pour lesquelles il existe des mises à jour de sécurité, comme Windows 10. Pour Apple, les versions conformes sont 10.14 et les suivantes (soit Mojave, Catalina, Big Sur).
Au-delà des mises à jour à installer, revenons-en aux pistes d’amélioration concernant des actions spécifiques à appliquer par l’employé si celui-ci doit travailler depuis son poste personnel :
S’assurer que les mises à jour n’ont pas été désactivées pour que l’ordinateur puisse les détecter et les installer.
Installer un antivirus* : si l’antivirus n’est pas géré directement par l’entreprise, il est recommandé d’installer un antivirus complémentaire à Windows Defender, car il couvrira une plus longue portée des cyberrisques encourus, notamment en termes de rançongiciels. Si Windows Defender était utilisé seul, il est important de s’assurer qu’il soit activé et à jour pour lui permettre d’accomplir son analyse.
Éviter les recherches du type « Antivirus gratuit » du fait qu’ils ne soient pas nécessairement les plus performants et pourraient eux-mêmes contenir des logiciels espions visant à monétiser les activités réalisées par l’employé sur Internet**.
Avoir un compte utilisateur dédié au travail et qui n’aura pas un profil administrateur. Le profil administrateur est requis pour procéder aux installations des logiciels et ne pas l’avoir sur son compte utilisateur permet d’éviter l’installation de certains virus.
Définir le mot de passe du compte utilisateur dédié au travail et rencontrer les règles suivantes :
- Ne pas le partager avec les autres membres de la famille;
- Faire une distinction entre les mots de passe du cadre personnel et ceux du travail;
- Ne pas les enregistrer sur le navigateur quand il s’agit d’informations sensibles (ex. : les accès de la banque);
- Préférer des outils de gestion de mots de passe qui permettent d’en créer des forts, de les enregistrer et même de les préremplir, comme KeePass (enregistrement du logiciel sur le disque dur) ou LastPass (enregistrement infonuagique);
- Configurer l’authentification à deux facteurs sur les sites.
Navigation sécurisée : s’interroger sur les extensions installées. Sont-elles connues? Ont-elles de bons commentaires? Ont-elles beaucoup de téléchargement?
Porter attention aux fenêtres qui s’affichent pour annoncer que l’on n’est pas sur un site sécuritaire et prévenir l’équipe informatique.
Wi-Fi, s’interroger sur les éléments suivants :
- Procotole WPA2?
- Complexité du mot de passe? Quand a-t-il été changé pour la dernière fois?
- Mise à jour du routeur?
- Faire un réseau sans fil dédié?
- Complexité du mot de passe administrateur du routeur?
Sécuriser le téléphone intelligent, car il peut y avoir des applications corporatives installées ou une redirection des courriels de l’entreprise. Le PIN à quatre chiffres ou le Pattern sont insuffisants, on doit privilégier le mot de passe de six caractères, un PIN à huit chiffres ou l’utilisation de l’empreinte digitale
Échanger des documents avec les clients et les collègues : il est à retenir que les courriels ne sont pas faits pour le transfert de renseignements personnels bien qu’ils soient souvent utilisés dans ce cadre. En effet, un courriel doit être considéré comme une carte postale : il peut être intercepté et lu par une personne malveillante sans que nous nous en apercevions. Il est donc fortement recommandé de préférer des outils corporatifs tels que Teams, OneDrive ou SharePoint qui auront été préalablement approuvés et configurés par l’organisation pour un échange d’informations sécuritaire***.
Adopter la politique du bureau propre en s’assurant que l’ordinateur de travail est rangé ou hors de la vue des visiteurs et que les documents imprimés soient classés dans un endroit sécuritaire.
Détruire les documents corporatifs dont on veut se débarrasser soit en les ramenant au bureau, soit en se faisant fournir un bac ou une déchiqueteuse.
Travailler en ligne, au sein des applications corporatives, pour éviter d’avoir des documents sur l’ordinateur et ainsi prévenir les pertes de données. Si vous ne pouvez pas travailler en ligne, sauvegardez régulièrement les documents sur les serveurs de l’entreprise.
Le rôle du dirigeant
- Communiquer clairement les règles à appliquer aux employés;
- Encourager les employés à partager les problèmes rencontrés et reliés à la sécurité;
- Fournir les outils nécessaires pour une utilisation sécuritaire;
- Envoyer des directives sur ce qui est acceptable ou pas = politique sur le télétravail avec un volet sur la sécurité;
- Évaluer les procédures en fonction de la sensibilité de l’information.
Le rôle de l’équipe en technologie d’information
- S’assurer d’avoir un outil permettant le suivi de l’automatisation des mises à jour;
- Disposer d’une console centralisée pour l’antivirus;
- En cas d’informations confidentielles sur les postes de travail, il est recommandé d’avoir un outil qui chiffre les données en cas de vol ou de tentative d’intrusion pendant que l’ordinateur est éteint;
- Définir un processus de réinitialisation de mots de passe qui peut se faire à distance;
- Connexion en VPN préconisée pour les accès aux solutions d’entreprises hébergées au bureau;
- Sensibiliser les employés : webinaire, en ligne avec une application infonuagique, intranet, courriels avec thématiques;
- Établir un plan de gestion d’incidents qui doit être communiqué aux employés pour qu’ils puissent prévenir les bonnes personnes en cas de soupçon de piratage, ce qui permettra à l’équipe en technologie d’information de réagir rapidement.
Pour terminer, il est à noter que des projets de loi visant la protection des renseignements personnels sont en cours et que les entreprises qui n’auront pas pris les mesures nécessaires se verront imputer d’importantes pénalités en cas de vol de données.
Si vous souhaitez vous informer davantage sur le sujet :
- Dans le cadre de la semaine du télétravail en septembre dernier, Jean-Philippe Racine a donné une conférence d’une heure sur la cybersécurité en mode télétravail et vous y avez accès sur notre site Web en cliquant ICI
- Vous avez besoin d’une politique de télétravail, contactez-nous!
* Une étude du 3 mars 2020, de Comparitech, souligne que le taux d’infection par virus sur un téléphone intelligent au Canada est de 4 % et de 10 % pour les ordinateurs.
** Pour trouver un antivirus adéquat ou pour tester votre ordinateur afin d’identifier un éventuel virus, vous pouvez aller sur le site https://www.av-test.org/
*** Restons vigilants sur le fait que le courriel est la cible privilégiée des cyberattaques et que le risque d’hameçonnage provient d’eux à 38 %.
