#Cybermois : Une deuxième thématique essentielle : La cybersécurité au travail, enjeu majeur des entreprises étroitement lié à la responsabilité des salariés
Le Cybermoi/s, ou mois européen de la cybersécurité, a pour but d’aborder à plusieurs voix les défis de la transition numérique. À la fois porteur d’innovation et de croissance, le numérique engendre aussi certains risques pour ses utilisateurs : des professionnels aux particuliers en passant par les administrations publiques. En tant qu’acteur de premier plan dans le domaine de la cybersécurité, Kaspersky entend bien transmettre le plus de connaissances possibles sur le sujet au cours de ce mois de sensibilisation. De nombreuses ressources sont mises à disposition par l’expert en cybersécurité, notamment grâce aux travaux des chercheurs du GReAT publiés tout au long de l’année. Kaspersky proposera une thématique par semaine pour passer au crible les pratiques de cybersécurité actuelles et faire évoluer les habitudes vers un monde numérique plus sain et plus sûr.
La frontière entre les sphères professionnelles et privées est de plus en plus floue, et notamment depuis la pandémie qui a redéfini les lieux et modèles de travail dans de nombreuses entreprises. Alors que beaucoup d’individus travaillent au moins en partie depuis leur domicile, les notions de déconnexion, mais aussi de séparation technologique (en termes d’outils et d’environnements) sont particulièrement importantes mais en même temps, loin d’être une évidence. Au-delà d’un bon équilibre à trouver, la question de la sensibilisation à la gestion des données personnelles mais aussi à la cybersécurité, s’impose.
Alors si tous les individus ne sont pas logés à la même enseigne en termes de compétences cyber, l’entreprise ne devrait-elle pas inclure cette question de la cybersécurité dans la formation et l’accompagnement de ses employés – au sein d’une politique de gouvernance cyber ?
Les entreprises doivent gérer leurs données et leurs employés
Compte tenu de la réduction de cette frontière entre les usages privés et les usages professionnels, sur des appareils bien souvent identiques, les entreprises doivent saisir la responsabilité de la sensibilisation et de l’accompagnement à la cybersécurité, tant pour augmenter la résilience du personnel, que pour protéger les points d’entrée dans la société.
Une étude réalisée par Kaspersky en 2019 a révélé que 80 % des employés ne pensent pas que la sécurité des e-mails, des fichiers et des documents relève de leur responsabilité. Il en est de même pour l’attribution des droits d’accès, même s’ils ont créé le fichier.
Le désordre numérique est particulièrement problématique lorsque les informations sont conservées dans des endroits difficiles à contrôler, comme le Cloud ou les fichiers partagés, ou lorsque les fichiers sont transférés, sans oublier la hausse rapide du nombre de fichiers générés. Par conséquent, les entreprises ont beaucoup plus de difficultés à gérer les données. Elles sont pourtant responsables et doivent s’assurer que les informations sensibles et confidentielles ne soient pas facilement accessibles et lisibles par les personnes qui n’y ont pas accès. Une étude récente menée en Europe auprès des dirigeants de PME indique que seuls la moitié des d’entre-eux étaient certains que les anciens employés n’aient plus d’accès aux données et ressources de l’entreprise !
La question de la cybersécurité en entreprise est de plus en plus critique, et notamment avec le manque de personnel qualifié pour gérer la cybersécurité. Pour autant, avec une bonne gouvernance cyber et quelques bonnes pratiques, transmises par le biais de formations continues, comme le propose Kaspersky dans KASAP, ou même très ludiques comme le jeu mobile [Dis]connected, ou plus expertes comme CITO, associée à une gestion des mises à jours et des patchs de sécurité, une large majorité des incidents cyber en entreprise peut être évitée.
Culture du télétravail : les bons réflexes des entreprises
● Canaux de communication
Lorsque les employés utilisent le réseau local pour travailler au sein d’une entreprise, les solutions de sécurité gèrent tous les processus d’échange de données. Lorsqu’ils travaillent depuis chez eux, une variable supplémentaire s’ajoute à l’équation, sous la forme de FAI. Une véritable inconnue entre en compte et il est impossible de contrôler leurs mesures de sécurité. Dans certains cas, les employés, mais aussi n’importe quel cybercriminel potentiel, peuvent avoir accès à leur connexion Internet domestique.
Les conseils Kaspersky :
> S’assurer que le personnel utilise un VPN de confiance pour établir un canal sécurisé entre leur poste de travail et l’infrastructure. Cela protège aussi les données de l’entreprise des interférences externes.
> Interdire les connexions aux ressources professionnelles à partir de réseaux externes qui ne disposent pas de VPN.
● Routines mises en place
Lorsqu’un employé travaille à distance, il ne peut pas se lever pour parler d’un problème avec son collègue. Les entreprises se retrouvent face à une hausse des échanges de messages et à l’apparition de nouveaux participants (des personnes avec lesquelles la communication est seulement verbale en temps normal). En théorie, cela laisse un peu plus de marge de manœuvre aux cybercriminels, surtout lorsqu’il s’agit de perpétrer des attaques BEC. Mais en pratique, un faux message exigeant certaines données ne semblerait pas étrange ou suspect, contrairement à d’habitude. De plus, l’ambiance reposante du milieu familial pourrait faire baisser la garde du personnel.
Les conseils Kaspersky :
> Imposer l’utilisation de l’adresse e-mail professionnelle des employés. Il devrait alors être plus facile de détecter un cybercriminel qui essaie de se faire passer pour un employé, surtout si l’escroc utilise une autre adresse e-mail.
> Vérifier que les serveurs e-mail sont protégés par des technologies qui peuvent détecter les tentatives de piratage qui cherchent à modifier l’expéditeur. Nos solutions disponibles pour les serveurs e-mail et Microsoft Office disposent de ce genre de technologies.
> Dispenser des formations de cybersécurité à tout le personnel, même si vous estimez qu’ils ne sont pas concernés par les risques informatiques : tout le monde peut l’être et les formations ne sont pas dédiées qu’aux professionnels de l’informatique, au contraire !
● Outils de collaboration
Ayant moins de contacts directs, il est fort probable que les employés aient recours à d’autres méthodes de collaboration, et certaines pourraient ne pas être fiables. Elles doivent être correctement mises en place. Par exemple, un document Google Docs, dont les autorisations d’accès sont mal configurées, pourrait être indexé par un moteur de recherche et provoquer une fuite de données. Il pourrait se passer la même chose avec les informations conservées dans le Cloud. Un environnement de collaboration, comme Slack, peut aussi être la source de fuites et en ajoutant un inconnu ce dernier pourrait avoir accès à l’historique complet des fichiers et des messages.
Les conseils Kaspersky :
> Choisir un environnement de collaboration adéquat en termes de sécurité et de fonctions. Dans l’idéal, l’inscription devrait exiger l’utilisation d’une adresse e-mail professionnelle.
> Avoir recours à un administrateur qui se consacre à l’attribution et au retrait des droits, selon la situation.
> Avant d’autoriser les employés à travailler depuis chez eux, il est d’autant plus important d’organiser un cours de sensibilisation et d’insister sur le fait qu’ils ne peuvent utiliser que le système de collaboration que l’entreprise a mis en place (ou qui a été approuvé par la direction). Cela permet de souligner à nouveau que la protection de secrets industriels relève de leur responsabilité.
● Matériel
Les entreprises ne fournissent pas un ordinateur portable à tous ses employés et les téléphones portables ne sont pas recommandés pour certaines tâches. Par conséquent, les employés vont certainement utiliser leur ordinateur ou téléphone personnel. Cela pourrait être une menace de taille pour les entreprises qui n’ont pas de politique BYOD.
Les conseils Kaspersky :
> Fournir, dans la mesure du possible, un ordinateur et un téléphone portable professionnels. Il est évident que ces dispositifs doivent être bien protégés par des solutions de sécurité appropriées. De plus, ces solutions devraient permettre d’effacer à distance les données relatives à l’entreprise, de ne pas mélanger les informations personnelles et professionnelles, et de limiter l’installation d’applications.
> Configurer les dispositifs pour qu’ils recherchent automatiquement les dernières mises à jour des logiciels importants et du système d’exploitation.
#Cybermois : Une deuxième thématique essentielle : La cybersécurité au travail, enjeu majeur des entreprises étroitement lié à la responsabilité des salariés
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >