télétravail
Les employés sont le maillon le plus faible de tous les systèmes de sécurité d’entreprise. Toute personne dont le travail consiste à protéger les systèmes d’information peut le confirmer : peu importe le niveau d’une technologie de sécurité, un employé négligent ou ignorant peut toujours trouver un moyen de mettre l’infrastructure en danger. Si vous avez récemment demandé à vos employés de continuer à travailler depuis leur domicile (comme le fait actuellement près de la moitié de l’humanité), le risque d’erreur est désormais bien plus considérable.
Lorsque les gens travaillent dans un bureau, les systèmes de protection et le personnel informatique peuvent les décharger un peu. Ils ne constituent pas une garantie de sécurité parfaite, bien sûr, mais au moins, la solution antivirus de l’entreprise bloque les sites de phishing, et l’équipe infosec peut repérer les anomalies dans le trafic d’une machine infectée. Le département informatique installe des mises à jour pour corriger les dernières vulnérabilités.
Les employés qui sont passés au télétravail doivent maintenant s’occuper de toutes ces choses, et de plus encore. C’est là que la sensibilisation à la sécurité commence à jouer un rôle bien plus important.
Être son propre administrateur informatique
Quels sont les appareils que vos employés utilisent pour le télétravail ? Un ordinateur portable de bureau en conformité avec les politiques de l’entreprise ? C’est bien, mais ce n’est pas encore suffisant. Cet ordinateur portable est maintenant connecté à un réseau domestique inconnu. Quels autres appareils sont connectés au routeur ? De quel type de routeur s’agit-il ? Quelle est la force de son mot de passe, qui a configuré l’appareil et comment ? Si l’employé utilise un ordinateur personnel plutôt qu’un ordinateur d’entreprise, vous ne savez pas qui d’autre y a accès, quelle solution de sécurité est installée, ou si quelqu’un se charge de mettre à jour le système d’exploitation.
Nous ne disons pas que tous vos employés doivent devenir des gourous d’administration système du jour au lendemain, mais la capacité à identifier les menaces et les points faibles serait un atout majeur pour tous. Si l’entreprise a mis en place un VPN, cela empêcherait les gens de se connecter directement aux bases de données de celle-ci, d’installer de fausses « mises à jour de Flash Player » et de laisser des « experts » externes manipuler les paramètres.
Être son propre délégué à la protection des données
Quelles données vos employés utilisent-ils dans leur travail quotidien ? Savent-ils ce qu’est une information confidentielle et quelles données sont considérées comme un secret d’entreprise ? Dans un monde parfait, ils auraient appris cela dès le premier jour. Cependant, c’est une chose pour un employé de travailler avec une liste de clients de l’UE dans un sous-réseau de bureaux isolés, et une autre d’accéder à de tels fichiers depuis son domicile.
Après tout, lorsque l’on travaille à distance, la possibilité d’utiliser un outil de collaboration non officiel et non contrôlé peut être trop tentante. Tout le monde doit savoir clairement quelles données peuvent être envoyées par des canaux non officiels, et ce qui ne doit en aucun cas quitter le réseau.
Être son propre spécialiste en cybersécurité
Les employés en télétravail, tout comme les experts en informatique, doivent comprendre que la pandémie actuelle est une aubaine pour les cybercriminels. Nous avons vu des vagues de phishing lié au COVID-19, qu’il s’agisse d’envois en masse ou d’attaques ciblant des industries spécifiques. Des escrocs ont tenté de mener à bien des attaques par compromission des e-mails professionnels en espérant que leurs messages se glisseraient dans les flux de correspondance en plein essor grâce au télétravail. Nos technologies de sécurité ont détecté des infrastructures d’entreprise soumises à des scanners constants venant de l’extérieur et à la recherche de ports RDP ouverts. C’est une raison suffisante pour redoubler de vigilance.
Comment former vos employés dans cet environnement
Commencez par faire comprendre à vos employés qu’ils sont aujourd’hui plus responsables de la sécurité de l’information que jamais. Cela peut vous sembler évident, mais de nombreuses personnes n’y pensent même pas. Ensuite, augmentez leur sensibilisation à la sécurité. Bien sûr, il n’y a pas de cours de cybersécurité en personne pour le moment, mais nos programmes d’enseignement à distance permettent d’y remédier amplement. Nous les mettons à jour et les améliorons constamment.
La manière la plus simple d’organiser une formation en cybersécurité à distance est notre plate-forme Kaspersky Automated Security Awareness. Elle ne se contente pas de maintenir les employés informés des dernières menaces, mais leur apprend aussi à se défendre. De plus, le responsable contrôle tout le processus et peut mettre en place le programme de formation à distance. Les leçons ont été créées par des spécialistes dans le domaine de l’éducation et de la psychologie pour que ce matériel soit à la fois attrayant et facile à retenir.
Tout récemment, nos experts ont ajouté deux modules de formation sur les sujets sensibles que sont les données confidentielles et le RGPD. Le premier est destiné aux employés qui travaillent avec des données personnelles, des secrets commerciaux ou des documents internes. Le second s’adresse aux entreprises dont certains clients ou employés sont des citoyens de l’UE.
De plus, nos experts en formation, en association avec Area9 Lyceum, ont créé un module complémentaire contenant deux grandes parties. La première explique aux participants comment organiser un environnement de travail sécurisé depuis leur domicile. La seconde ne concerne pas du tout la sécurité de l’information, mais porte sur la manière de minimiser les risques de contracter le COVID-19. Ce module est disponible ici.
Conseils