Télétravail : prendre ses distances, mais pas avec la sécurité

Share this post:

Consacré par la crise du Covid-19, le télétravail marque définitivement l’éclatement du périmètre informatique de l’entreprise. Déjà élargi, voire redéfini, à plusieurs reprises par le passé avec l’essor des extranets, du Cloud ou des pratiques comme le Shadow IT, ce périmètre vole définitivement en éclats. Avec de lourdes conséquences sur le volet sécurité.

Ah, qu’elle était simple, l’informatique traditionnelle ! Un réseau local (LAN) fermé sur lui-même, sans aucune ouverture vers le monde extérieur, donc aucune intrusion possible. Certes, il y avait bien, de-ci, de-là, quelques employés négligents pour insérer dans leur ordinateur des disquettes ou clés USB contaminées, mais globalement, ça se passait plutôt bien.

Et puis, au fil du temps, le Système d’Information s’est étendu. Les extranets ont permis de relier des sites distants, parfois à l’autre bout du monde ; le Wi-Fi s’est imposé pour connecter les locaux (et au-delà !) plus facilement que les câbles ; le Cloud s’est invité et les applications SaaS ont envahi les postes de travail ; les collaborateurs ont introduit leurs propres appareils (smartphones, laptops, parfois même enceinte connectées) et outils (chat, gestion du temps, TODO lists…).

C’est une constante : le périmètre informatique de l’entreprise ne cesse de grandir et avec lui, les éléments de sécurité à mettre en œuvre pour le protéger.

Une nécessaire vision stratégique

Le télétravail est l’une des dernières manifestations de cet éclatement du périmètre SI. Rendu obligatoire en temps de confinement, il reste recommandé aux entreprises afin de lutter contre la propagation de la Covid-19.

La pratique n’est pas nouvelle, bien sûr, mais elle était jusque-là plutôt marginale. Dès lors, si certaines entreprises étaient plus ou moins prêtes au télétravail, d’autres ont dû s’adapter à la hâte.

Pour réussir sa transition vers un modèle où le télétravail est amené à tenir une place prépondérante, l’entreprise doit d’abord l’inscrire dans une vision stratégique : le SI doit être adapté et les collaborateurs, sensibilisés.

Trust Nobody

L’approche la plus pertinente est ici celle du « Zero Trust » : ne faire confiance à personne, jamais.

L’accès distant aux actifs de l’entreprise ne doit se faire que via un VPN solide, correctement configuré et tenu à jour.

Des outils de gestion de flotte doivent être installés sur les appareils fournis aux collaborateurs : ils sont utiles pour empêcher l’installation d’applications non désirées, et essentiels en cas de perte ou de vol du téléphone ou de l’ordinateur portable.

De même, un outil de type EDR (Endpoint Detection and Response), dédié à la détection d’activités suspectes sur le poste de travail, est bien plus efficace qu’un antivirus « classique » pour lutter contre les malwares, les virus, les attaques de type « zero day », etc.

Enfin, bien sûr, le choix des apps utilisées est crucial – on a tous en mémoire l’exemple d’une certaine solution de visioconférence dont le succès inattendu a mis en évidence des faiblesses en matière de confidentialité.

Ce sont là quelques pistes, les plus urgentes. D’autres doivent être explorées sur le plus long terme, notamment l’audit et l’ajustement, si nécessaire, du Plan de Continuité d’Activité ou Plan de Reprise d’Activité (PCA/PRA).

Sensibiliser et former les collaborateurs

On ne le répétera jamais assez : la première vulnérabilité d’un SI, c’est… l’utilisateur.

A l’été 2020, un incident de sécurité a affecté l’un des plus grands réseaux sociaux. 130 comptes officiels, dont ceux de Bill Gates, Barack Obama, Elon Musk, Apple ou encore Uber, ont été victimes d’un piratage massif : ils ont diffusé des messages incitant les internautes à leur faire parvenir des Bitcoins en leur promettant en échange le double des montants transférés ! Comment est-ce possible ? Le réseau social a reconnu que les pirates – interpellés depuis – avaient « réussi à cibler certains des employés de la firme ayant accès aux systèmes et outils internes ».

Il n’y a pas de miracle, une information claire et transparente aux collaborateurs est indispensable : sensibilisation au phishing et aux techniques de social jacking et de social engineering, séparation stricte des activités professionnelles et personnelles sur l’ordinateur (la possibilité d’utiliser son PC pro à la maison est le meilleur moyen d’éviter le mélange des genres), etc. Tout ce qui peut être relayé, expliqué, décortiqué, doit l’être.

Prendre le temps de mettre le télétravail en place

Dans l’étude Cybermoi/s 2020 : un mois pour se protéger du chantage numérique, Mathieu Feuillet, sous-directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), rappelle très justement que si « le télétravail offre des opportunités » aux attaquants, il est « réalisable avec un niveau de sécurité correct, il faut juste prendre le temps de le mettre en place ».

Connaissez-vous IBM Security ?