Skip to main

La frontière entre les sphères professionnelles et privées est de plus en plus floue, et notamment depuis la pandémie qui a redéfini les lieux et modèles de travail dans de nombreuses entreprises. Alors que beaucoup d’individus travaillent au moins en partie depuis leur domicile, les notions de déconnexion, mais aussi de séparation technologique (en termes d’outils et d’environnements) sont particulièrement importantes mais en même temps, loin d’être une évidence. Au-delà d’un bon équilibre à trouver, la question de la sensibilisation à la gestion des données personnelles mais aussi à la cybersécurité, s’impose.

Alors si tous les individus ne sont pas logés à la même enseigne en termes de compétences cyber, l’entreprise ne devrait-elle pas inclure cette question de la cybersécurité dans la formation et l’accompagnement de ses employés – au sein d’une politique de gouvernance cyber ?

Les entreprises doivent gérer leurs données et leurs employés

Compte tenu de la réduction de cette frontière entre les usages privés et les usages professionnels, sur des appareils bien souvent identiques, les entreprises doivent saisir la responsabilité de la sensibilisation et de l’accompagnement à la cybersécurité, tant pour augmenter la résilience du personnel, que pour protéger les points d’entrée dans la société.

Une étude réalisée par Kaspersky en 2019 a révélé que 80 % des employés ne pensent pas que la sécurité des e-mails, des fichiers et des documents relève de leur responsabilité. Il en est de même pour l’attribution des droits d’accès, même s’ils ont créé le fichier.

Le désordre numérique est particulièrement problématique lorsque les informations sont conservées dans des endroits difficiles à contrôler, comme le Cloud ou les fichiers partagés, ou lorsque les fichiers sont transférés, sans oublier la hausse rapide du nombre de fichiers générés. Par conséquent, les entreprises ont beaucoup plus de difficultés à gérer les données. Elles sont pourtant responsables et doivent s’assurer que les informations sensibles et confidentielles ne soient pas facilement accessibles et lisibles par les personnes qui n’y ont pas accès. Une étude récente menée en Europe auprès des dirigeants de PME indique que seuls la moitié des d’entre-eux étaient certains que les anciens employés n’aient plus d’accès aux données et ressources de l’entreprise !

La question de la cybersécurité en entreprise est de plus en plus critique, et notamment avec le manque de personnel qualifié pour gérer la cybersécurité. Pour autant, avec une bonne gouvernance cyber et quelques bonnes pratiques, transmises par le biais de formations continues, comme le propose Kaspersky dans KASAP, ou même très ludiques comme le jeu mobile [Dis]connected,  ou plus expertes comme CITO, associée à une gestion des mises à jours et des patchs de sécurité, une large majorité des incidents cyber en entreprise peut être évitée.

Culture du télétravail : les bons réflexes des entreprises

●      Canaux de communication

Lorsque les employés utilisent le réseau local pour travailler au sein d’une entreprise, les solutions de sécurité gèrent tous les processus d’échange de données. Lorsqu’ils travaillent depuis chez eux, une variable supplémentaire s’ajoute à l’équation, sous la forme de FAI. Une véritable inconnue entre en compte et il est impossible de contrôler leurs mesures de sécurité. Dans certains cas, les employés, mais aussi n’importe quel cybercriminel potentiel, peuvent avoir accès à leur connexion Internet domestique.

Les conseils Kaspersky :

> S’assurer que le personnel utilise un VPN de confiance pour établir un canal sécurisé entre leur poste de travail et l’infrastructure. Cela protège aussi les données de l’entreprise des interférences externes.

> Interdire les connexions aux ressources professionnelles à partir de réseaux externes qui ne disposent pas de VPN.

●      Routines mises en place

Lorsqu’un employé travaille à distance, il ne peut pas se lever pour parler d’un problème avec son collègue. Les entreprises se retrouvent face à une hausse des échanges de messages et à l’apparition de nouveaux participants (des personnes avec lesquelles la communication est seulement verbale en temps normal). En théorie, cela laisse un peu plus de marge de manœuvre aux cybercriminels, surtout lorsqu’il s’agit de perpétrer des attaques BEC. Mais en pratique, un faux message exigeant certaines données ne semblerait pas étrange ou suspect, contrairement à d’habitude. De plus, l’ambiance reposante du milieu familial pourrait faire baisser la garde du personnel.

Les conseils Kaspersky :

> Imposer l’utilisation de l’adresse e-mail professionnelle des employés. Il devrait alors être plus facile de détecter un cybercriminel qui essaie de se faire passer pour un employé, surtout si l’escroc utilise une autre adresse e-mail.

> Vérifier que les serveurs e-mail sont protégés par des technologies qui peuvent détecter les tentatives de piratage qui cherchent à modifier l’expéditeur. Nos solutions disponibles pour les serveurs e-mail et Microsoft Office disposent de ce genre de technologies.

> Dispenser des formations de cybersécurité à tout le personnel, même si vous estimez qu’ils ne sont pas concernés par les risques informatiques : tout le monde peut l’être et les formations ne sont pas dédiées qu’aux professionnels de l’informatique, au contraire !

●      Outils de collaboration

Ayant moins de contacts directs, il est fort probable que les employés aient recours à d’autres méthodes de collaboration, et certaines pourraient ne pas être fiables. Elles doivent être correctement mises en place. Par exemple, un document Google Docs, dont les autorisations d’accès sont mal configurées, pourrait être indexé par un moteur de recherche et provoquer une fuite de données. Il pourrait se passer la même chose avec les informations conservées dans le Cloud. Un environnement de collaboration, comme Slack, peut aussi être la source de fuites et en ajoutant un inconnu ce dernier pourrait avoir accès à l’historique complet des fichiers et des messages.

Les conseils Kaspersky :

> Choisir un environnement de collaboration adéquat en termes de sécurité et de fonctions. Dans l’idéal, l’inscription devrait exiger l’utilisation d’une adresse e-mail professionnelle.

> Avoir recours à un administrateur qui se consacre à l’attribution et au retrait des droits, selon la situation.

> Avant d’autoriser les employés à travailler depuis chez eux, il est d’autant plus important d’organiser un cours de sensibilisation et d’insister sur le fait qu’ils ne peuvent utiliser que le système de collaboration que l’entreprise a mis en place (ou qui a été approuvé par la direction). Cela permet de souligner à nouveau que la protection de secrets industriels relève de leur responsabilité.

●      Matériel

Les entreprises ne fournissent pas un ordinateur portable à tous ses employés et les téléphones portables ne sont pas recommandés pour certaines tâches. Par conséquent, les employés vont certainement utiliser leur ordinateur ou téléphone personnel. Cela pourrait être une menace de taille pour les entreprises qui n’ont pas de politique BYOD.

Les conseils Kaspersky :

> Fournir, dans la mesure du possible, un ordinateur et un téléphone portable professionnels. Il est évident que ces dispositifs doivent être bien protégés par des solutions de sécurité appropriées. De plus, ces solutions devraient permettre d’effacer à distance les données relatives à l’entreprise, de ne pas mélanger les informations personnelles et professionnelles, et de limiter l’installation d’applications.

> Configurer les dispositifs pour qu’ils recherchent automatiquement les dernières mises à jour des logiciels importants et du système d’exploitation.

#Cybermois : Une deuxième thématique essentielle : La cybersécurité au travail, enjeu majeur des entreprises étroitement lié à la responsabilité des salariés

Le Cybermoi/s, ou mois européen de la cybersécurité, a pour but d’aborder à plusieurs voix les défis de la transition numérique. À la fois porteur d’innovation et de croissance, le numérique engendre aussi certains risques pour ses utilisateurs : des professionnels aux particuliers en passant par les administrations publiques. En tant qu’acteur de premier plan dans le domaine de la cybersécurité, Kaspersky entend bien transmettre le plus de connaissances possibles sur le sujet au cours de ce mois de sensibilisation. De nombreuses ressources sont mises à disposition par l’expert en cybersécurité, notamment grâce aux travaux des chercheurs du GReAT publiés tout au long de l’année. Kaspersky proposera une thématique par semaine pour passer au crible les pratiques de cybersécurité actuelles et faire évoluer les habitudes vers un monde numérique plus sain et plus sûr.
Kaspersky Logo