Les stagiaires : une menace cachée en termes de cybersécurité

Comment un stagiaire peut menacer la cybersécurité de votre entreprise et les mesures que vous pouvez prendre.

Les stagiaires : une menace cachée en termes de cybersécurité

L’été approche et de nombreuses entreprises prennent des étudiants en stage. Cela signifie que de jeunes employés sans expérience et avec certainement peu de connaissances en cybersécurité vont être impliqués dans les processus de l’entreprise.

Souvent, les entreprises ne pensent pas aux risques qui pourraient en découler et ne prennent pas de mesures de précaution. Elles pensent que les stagiaires ne sont là que pour une courte période et qu’il est peu probable qu’ils aient accès à des données confidentielles. C’est vrai, mais cela ne signifie pas pour autant qu’elles doivent ignorer le fait que ces stagiaires qui débutent peuvent gravement compromettre l’entreprise s’ils n’ont pas les connaissances nécessaires, ne serait-ce qu’en cliquant sur un lien d’hameçonnage, en choisissant un mot de passe faible pour leur compte professionnel ou en étant victimes d’ingénierie sociale. Pour éviter ces incidents, nous vous indiquons ce à quoi vous devez faire attention.

Une séance d’orientation

Avant que vos stagiaires n’aient accès à l’infrastructure et au matériel de votre entreprise, vous devez les familiariser avec les principes de base. Tout d’abord, vous devez leur expliquer les normes reconnues de l’entreprise en matière de politiques de sécurité, d’authentification à deux facteurs et de mots de passe.

Vos stagiaires doivent choisir un mot de passe lorsque vous les impliquez dans vos opérations. Même si la sécurité des mots de passe est un sujet assez courant, le nouvel arrivé pourrait croire qu’il peut utiliser le même mot de passe pour plusieurs services, et il pourrait ne pas savoir ce qu’est un mot de passe complexe.

Le principe de moindre privilège

Lorsque vous autorisez vos stagiaires à avoir accès aux ressources de votre entreprise, vous devriez appliquer le principe de moindre privilège ; chaque personne ne doit bénéficier que des accès strictement nécessaires à l’exécution de ses fonctions. Ce principe est recommandé de façon générale, mais il est d’autant plus important lorsque vous travaillez avec des stagiaires.

Un accord de confidentialité

Beaucoup d’entreprises ne demandent pas à leurs stagiaires de signer un accord de confidentialité, là encore parce qu’elles considèrent qu’ils ont un rôle mineur et temporaire. Pourtant, il convient de le faire. Même si les stagiaires n’auront pas accès aux secrets de votre entreprise, la signature d’un tel accord est une excellente manière de convaincre les nouveaux employés de ne pas parler des processus de l’entreprise en dehors du travail.

Des informations de sécurité sur leurs comptes personnels sur les réseaux sociaux

Les stagiaires sont souvent jeunes et, de nos jours, ils ont tendance à rapporter leur vie en détail sur les réseaux sociaux. On peut facilement imaginer qu’ils auront envie de partager une nouvelle aussi excitante que celle de leur premier travail.

D’une part, l’entreprise peut sans aucun doute en tirer profit si les stagiaires ne disent que du bien de l’entreprise sur les réseaux sociaux et expliquent à quel point leur travail est intéressant. D’autre part, les stagiaires pourraient divulguer sans le vouloir des informations confidentielles. Par exemple, s’ils se prennent en photo et qu’il y a des documents internes en arrière-plan.

C’est pourquoi nous vous conseillons de leur expliquer clairement la politique de votre entreprise quant à l’utilisation des réseaux sociaux. Évitez d’envoyer les instructions dans un long message, sinon les probabilités qu’ils le lisent de A à Z seront très faibles. Adoptez une approche plus efficace : une conversation de quelques minutes.

L’accès aux ressources de travail à la fin du stage

Toutes les bonnes choses ont une fin, même les stages. Certains étudiants pourraient rester dans l’entreprise à la fin de leur stage, mais d’autres partiront. Faites particulièrement attention à ceux qui ne restent pas. Vérifiez que vous avez supprimé tous les accès aux ressources internes de l’entreprise une fois que le stagiaire est parti. Juste le fait d’avoir un compte supplémentaire représente une vulnérabilité potentielle.

La formation des stagiaires sur les principes de base en cybersécurité

En règle générale, nous vous conseillons de former tout le personnel sur les principes de base en cybersécurité. Pourtant, les stagiaires sont rarement inclus dans ces formations. C’est une erreur. La formation des stagiaires permet de réduire les risques et d’améliorer la cybersécurité de votre entreprise, et c’est aussi une leçon importante dont ils se souviendront même après leur stage.

Inutile d’investir beaucoup dans cette formation. Plusieurs contenus en ligne open-source abordent les principes de base en cybersécurité et vous pouvez les partager avec vos stagiaires. Par exemple, afin d’aider les entreprises pour que leurs employés résistent mieux aux attaques informatiques, nous avons récemment mis en ligne une formation gratuite, dans le cadre de notre plateforme Kaspersky Automated Security Awareness Platform (ASAP), qui explique comment utiliser les réseaux sociaux et comment ne pas être victime de l’ingénierie sociale.

 

Conseils