Jacques-Bruno Delaroche, Ingénieur avant-vente chez Exclusive Networks dans Nouvelles technologies
Zoom, cloud, risques : 4 questions sur le télétravail et la sécurité informatique
Depuis le 16 mars, 40% des Français sont passés en télétravail dans le cadre du confinement lié au Covid-19. Mais cette instauration progressive d’une « nouvelle normalité » pour les télétravailleurs n’est pas exempte de risques. Si des outils comme le cloud, Zoom ou les messageries instantanées sont sur-sollicités, la montée en puissance des cyberattaques révèle que la mise en place d’une politique de sécurité informatique spécifique à la mobilité est plus que jamais essentielle.
Le télétravail est-il une menace pour la sécurité informatique ?
Depuis le confinement, le volume d’incidents de sécurité informatique traités a été jusqu’à 11 fois supérieur à la moyenne[1]. Mais il ne faut pas pour autant percevoir le télétravail comme une menace. En soi, un mode de travail ne peut être une menace. Le manque de préparation appliqué au télétravail peut, en revanche, représenter un risque pour l’entreprise. En effet, l’essor généralisé du télétravail s’accompagne d’un regain d’intérêt des hackeurs pour d’anciennes méthodologies qui avaient dû être abandonnées face aux mesures de protections prises par les entreprises. Le confinement est, pour eux, une opportunité : il est plus facile de cibler un utilisateur isolé et de s’attaquer à un réseau privé peu sécurisé.
Les pratiques « à risque » pendant le télétravail
Le risque vient d’un confinement déclaré dans l’urgence, et de ce que les entreprises n’étaient pas prêtes à mettre en place un plan de télétravail massif du jour au lendemain. Pour elles, la question n’a pas été de savoir comment sécuriser l’ensemble des postes rapidement, mais en premier lieu de réussir à fournir le matériel nécessaire au télétravail à chaque salarié. Ainsi, les ventes d’infrastructures ont largement augmenté mi mars… mais pas leur sécurisation. Si les premières semaines de confinement ont été dédiées à une réorganisation dans l’urgence, désormais, la priorité doit être de sécuriser les postes.
C’est particulièrement le cas pour les entreprises ayant recours à des applications en mode SAAS. Tous ceux qui ont investi dans la migration cloud ont pu mettre le télétravail en place plus facilement. Néanmoins, attention : augmenter les droits des utilisateurs ne veut pas dire réduire la sécurisation ! La question des droits d’accès est stratégique en termes de cybersécurité, dans un contexte où la sécurité périmétrique n’entre plus réellement en ligne de compte. Qui accède à mes applications ? Quels droits leurs octroyer ? Ces deux questions sont le socle de la cybersécurité moderne, et doivent être au coeur des stratégies informatiques des entreprises en télétravail aujourd’hui.
Zoom, Slack & Microsoft Teams : l’essor des visios est-il vecteur de risques ?
Des applications comme Zoom ou Teams ne sont pas particulièrement problématique mais, dans l’absolu, tout est une cible ! Ces applications de communication nouvelle génération sont davantage de portes d’entrée déverrouillées pour un hackeur si elles sont sur une machine non sécurisée, comme un device personnel (ordinateur privé, téléphone portable), ou un ordinateur qui n’est pas à jour (antivirus, OS, etc.). En effet, l’interconnexion des applications, couplée à une machine mal sécurisée, présente un risque majeur pour la sécurité des entreprises.
C’est par exemple le cas avec les applications Microsoft : les applications Office étant connectées entre elles, il suffit que les droits d’accès soient insuffisamment maîtrisés dans Office 365 pour qu’au travers d’un malware, un pirate puisse prendre la main sur un ordinateur, récupérer toutes les informations locales et même pénétrer dans le cloud. Tout étant interconnecté, l’accès local à une machine donne accès aux fichiers et dossiers stockés en SaaS.
Dans cette configuration, les messageries sont très utilisées par les entreprises… et donc d’autant plus attaquées car elles restent des portes potentiellement ouvertes vers d’autre App web.
Comment garantir la cybersécurité pendant le télétravail
Le vrai challenge de la cybersécurité pendant le confinement, est de réussir à sensibiliser des métiers qui n’ont pas la culture de la cybersécurité à l’importance de la sécurité de la donnée. C’est le premier pas vers une mise en place des bonnes pratiques. Pour cela, trois étapes sont indispensables.
1 – Identifier les applications utiles
Avec le déploiement du télétravail dans l’urgence, de nombreuses applications collaboratives ont été intégrées au sein des équipes pour garder le contact et faciliter la communication inter-équipes. Aujourd’hui, il faut identifier les applications moins utiles, et mettre en place une politique stricte des droits d’accès pour minimiser le risque.
2 – Identifier les mesures mises en place pour faciliter le télétravail
Quels outils l’entreprise a-t-elle déployés ? Que ce soit un VPN ou des applications cloud, la bonne pratique à retenir est de ne pas multiplier les points d’entrée. En effet, plus on augmente la technologie, plus on accroit la surface d’attaque et plus on noie l’utilisateur. Ainsi, les entreprises doivent faire le choix du tout SAAS avec des mesures d’authentification renforcées, ou du VPN en abrogeant l’utilisation des applications cloud.
3 – Éduquer l’utilisateur
Pour les entreprises qui le peuvent, cette période est idéale pour sensibiliser les utilisateurs aux bonnes pratiques de cybersécurité. Trop souvent, les mesures sont imposées sans être expliquées, et le fait qu’elles ne soient pas comprises freinent leur implémentation auprès des salariés. Près de 10 millions de salariés sont en chômage partiel : c’est une occasion à saisir pour les former !
Longtemps, la mise en place de plans de continuité de l’activité a été repoussée par les entreprises. Aujourd’hui, le confinement et le télétravail « forcé » sont, pour elles, un électrochoc. Il leur faut désormais se préparer pour demain : sécuriser les outils de travail opérationnels, investir dans la sécurité pour anticiper une prochaine crise. S’orienter de plus en plus vers le AAS, tout en limitant les accès vers les données sensibles.Le confinement n’a fait qu’accélérer le passage des entreprises au télétravail. Aujourd’hui, il leur appartient de sécuriser leurs outils en connaissant leurs besoins.
Jacques-Bruno Delaroche, Ingénieur avant-vente chez Exclusive Networks: Jacques-Bruno Delaroche, ingénieur Data protection, est Presales Engineer chez Exclusive-networks depuis 2015, capitalise plus de 20 années d’expérience dans la cybersécurité.