Télétravail – 10 conseils en matière de sécurité en ligne pour travailler à la maison pendant la pandémie de Covid-19

Il fut un temps où travailler de chez soi était un luxe. Aujourd'hui, c'est devenu une nécessité pour tous les salariés qui se protègent contre le coronavirus.

Mais pendant cette période sans précédent, votre entreprise et vous-même pouvez être exposés à de nouveaux risques de cybersécurité qui tentent de tirer profit de la situation.

C'est pourquoi il est plus important que jamais de réfléchir aux mesures de sécurité à adopter en cas de télétravail.

Le télétravail présente un certain nombre de risques de sécurité dont les salariés comme les employeurs doivent avoir conscience. La bonne nouvelle, car il y en a une, c'est que la plupart de ces menaces peuvent être atténuées relativement simplement si vous suivez les bonnes pratiques relatives au télétravail.

Voici les 10 premières choses à garder à l'esprit pour garantir le respect de la politique de sécurité en temps de télétravail.

1. Investissez dans un logiciel antivirus efficace

Le conseil le plus simple mais également le plus efficace consiste à investir dans une suite antivirus complète pour vos salariés et vous-même.

Selon différentes sources, les dommages enregistrés par les entreprises relevant du cybercrime sont estimés à 1,5 milliard de dollars par an. Il y a de fortes chances pour que ce chiffre augmente cette année, puisque les hackers cherchent à exploiter les réseaux Internet privés et les VPN des entreprises pour accéder aux dossiers sensibles.

Ces attaques peuvent exposer votre entreprise, vos salariés et vous-même à des attaques de ransomware, des attaques DDoS, des programmes malveillants et autres types de violations.

Les suites antivirus vous simplifient considérablement la tâche en offrant une protection automatique du télétravail contre une foule de menaces, parmi lesquelles :

• Attaques « zero-day » (virus exploitant les failles de sécurité avant qu'elles ne soient corrigées)
• Programmes malveillants, logiciels espions et virus
• Chevaux de Troie et vers
• Escroqueries par phishing, dont les escroqueries envoyées par email

Non seulement une suite antivirus complète repousse jusqu'à 100 % des menaces en ligne, mais elle se met également à jour automatiquement pour rester à l'affût des menaces, nouvelles et émergentes.

Par ailleurs, elle s'exécute discrètement en arrière-plan. Vous ne remarquez même pas tout ce qu'elle fait pour vous.

2. Éloignez les membres de votre famille de vos appareils professionnels

Même si vous pensez travailler de manière sécurisée en ligne et faites confiance à vos salariés pour faire de même, n'oubliez pas qu'en une telle période, les ordinateurs de l'entreprise sont plus susceptibles d'être exposés à de jeunes enfants et aux autres membres de la famille des salariés.

C'est pourquoi il est judicieux de rappeler subtilement à vos salariés de protéger leurs appareils et de ne pas autoriser d'autres membres de leur foyer à accéder à leurs ordinateurs portables, mobiles ainsi qu'à tout autre matériel professionnel. N'oubliez pas non plus de leur rappeler l'importance de protéger leurs appareils avec un mot de passe afin d'éviter qu'un tiers n'accède à leurs fichiers sensibles.

3. Investissez dans un cache coulissant pour votre webcam

Au cours des semaines et des mois à venir, vous aurez beaucoup plus de chances de prendre part à des audio et vidéoconférences, qui nécessiteront l'utilisation de votre webcam.

Concrètement, de nombreuses personnes déjà en quarantaine dans le monde entier commencent à trouver de nouveaux usages pour leurs webcams, depuis les « apéros virtuels » avec leurs collègues aux sessions linguistiques pendant leur temps libre, sans oublier les visites virtuelles aux membres de leur famille chez qui elles ne peuvent pas se rendre.

Vous devez toutefois être conscient que des hackers peuvent facilement accéder à votre webcam sans autorisation, compromettant ainsi votre vie privée. Pire encore, si vous possédez des documents sensibles à proximité de votre espace de travail physique, les hackers peuvent les voir en piratant votre webcam.

Si votre webcam n'est pas intégrée à votre appareil, nous vous recommandons de la déconnecter lorsque vous ne l'utilisez pas. Dans le cas contraire, des mesures supplémentaires de protection s'imposent. Nul ne sait quand peut survenir une attaque de webcam.

Les caches coulissants pour webcams se trouvent facilement sous différentes formes, tailles et couleurs en fonction de vos besoins. Ils sont généralement très faciles à installer et la plupart d'entre eux sont munis d'un adhésif qui se fixe autour de votre webcam.

Si vous utilisez un logiciel de vidéoconférence, vous pouvez activer les fonctions de type « Flouter l'arrière-plan », le cas échéant. Une telle fonction évite que les personnes participant à la conférence n'observent les objets qui figurent dans votre pièce, parmi lesquels se trouvent souvent des données sensibles sur vos clients comme sur vous-même.

4. Assurez-vous que le VPN de votre entreprise est le plus puissant possible

Par les temps qui courent, vous êtes susceptible de voir de plus en plus d'ordinateurs connectés au réseau privé virtuel (connexion VPN) de votre entreprise, mais une telle connexion peut à son tour engendrer de nombreuses nouvelles failles de sécurité dans lesquelles les hackers risquent de s'engouffrer.

D'abord et surtout, rappelez à vos salariés la politique de sécurité de votre entreprise liée au télétravail, puis assurez-vous qu'ils la suivent à la lettre.

Vous pouvez alors privilégier d'autres moyens pour renforcer la sécurité de votre VPN, par exemple :

1. Appliquez la méthode d'authentification la plus rigoureuse possible: de nombreux VPN utilisent simplement un nom d'utilisateur et un mot de passe, mais vous pouvez envisager de passer au stade supérieur et d'utiliser des cartes à puce.
2. Renforcez votre méthode de chiffrement pour l'accès au VPN: par exemple, si vous utilisez uniquement un protocole de tunnel point à point, vous pouvez passer au stade supérieur en passant au niveau 2 (L2TP).
3. Assurez-vous que vos salariés mettent régulièrement à jour leur mot de passe: quelle que soit la puissance de votre VPN, si le mot de passe d'un salarié est compromis, les hackers pourront facilement y accéder. Ceci peut être évité en demandant à tous les salariés de mettre à jour leur mot de passe pour une sécurité optimale.
4. Assurez-vous que vos salariés utilisent uniquement le VPN lorsqu'ils en ont besoin: si vos salariés utilisent leur ordinateur portable de travail à des fins personnelles le soir et le week-end, demandez-leur de penser à éteindre le VPN.
5. Assurez-vous que vos salariés sont connectés via des réseaux sécurisés: en télétravail, ils utiliseront leurs réseaux et connexions Internet personnels. Malheureusement, ceux-ci peuvent également être exposés. Vous devez donc apprendre à vos salariés comment configurer leurs routeurs wifi et pare-feu personnels, et comment sécuriser leurs réseaux domestiques.

Et naturellement, comme mentionné précédemment dans cet article, vous devez investir dans un logiciel antivirus et de sécurité complet couvrant votre VPN.

5. Utilisez une solution de stockage centralisé

Si votre entreprise s'appuie sur une solution de stockage des données sur le cloud ou sur un serveur, assurez-vous que l'ensemble de vos salariés l'utilisent.

Si vous pensez que vos salariés ne connaissent pas ou ne sont pas familiarisés avec votre service de stockage, ou s'ils continuent à stocker des fichiers localement, communiquez avec eux le plus rapidement possible pour vous assurer qu'ils maîtrisent le service centralisé.

De cette façon, si votre entreprise est exposée et si des fichiers locaux sont perdus, détruits ou corrompus, vous aurez plus de chances de récupérer une sauvegarde des documents sensibles.

Cette méthode renforce également la sécurité des documents sensibles, qui seront protégés par le pare-feu de votre solution de stockage centralisé.

6. Protégez votre réseau wifi domestique

L'un des moyens les plus simples pour garantir un télétravail en toute sécurité consiste à renforcer la sécurité de votre réseau wifi domestique.

Il est judicieux de transmettre cette information à l'ensemble de vos salariés, qui peuvent également avoir à protéger leurs réseaux wifi domestiques lorsqu'ils travaillent chez eux.

Voici quelques étapes simples que vous pouvez suivre dès aujourd'hui pour renforcer la sécurité de votre réseau wifi domestique et vous protéger contre tout accès inapproprié :

1. Créez un mot de passe unique et fort: pour ce faire, accédez à la page des paramètres de votre routeur (saisissez « 192.168.1.1 » dans votre navigateur) et renseignez votre nom d'utilisateur et votre mot de passe actuels, puis modifiez ce dernier. Choisissez un mot de passe difficile à retenir. Il doit idéalement inclure des majuscules et des minuscules, des chiffres et des signes de ponctuation.
2. Modifiez votre SSID, c'est-à-dire le nom de votre réseau wifi. À nouveau, celui-ci peut être modifié sur la page des paramètres de votre routeur. Essayez de définir un nom énigmatique et difficile à deviner. N'utilisez ni votre nom, ni votre adresse, ni toute autre information permettant de vous identifier.
3. Activez le chiffrement réseau: pour ce faire, accédez aux paramètres de sécurité sur la page de configuration wifi. De nombreuses méthodes de sécurité sont à votre disposition, parmi lesquelles WEP, WPA et WPA2. La méthode la plus efficace, si votre matériel est récent (postérieur à 2006) est WPA2.
4. Limitez l'accès à des adresses MAC spécifiques: tout appareil qui se connecte à votre réseau dispose d'une adresse MAC unique (pour la trouver, ouvrez l'invite de commande, le cas échéant, puis saisissez « ipconfig/all »). Si vous connaissez les adresses des appareils vérifiés, vous pouvez les ajouter aux paramètres du routeur wifi, de manière à ce que seuls ces appareils puissent se connecter à votre réseau wifi.
5. Mettez votre micrologiciel à niveau: le fournisseur de votre réseau wifi publie occasionnellement des correctifs et des mises à jour logicielles. Ceux-ci incluent parfois d'importantes mises à jour de sécurité. Assurez-vous que vous exécutez la dernière version de votre micrologiciel en visitant régulièrement la page de paramètres de votre routeur.

7. Informez-vous sur les risques de sécurité liés aux vidéoconférences

Si vos salariés doivent travailler chez eux dans les semaines à venir, vous utiliserez probablement un logiciel de vidéoconférence.

Toutefois, peut-être avez-vous entendu parler des failles de sécurité récemment détectées sur certains services de vidéoconférence.

La célèbre plateforme Zoom a admis que les failles de sécurité de son logiciel faisaient l'objet d'une rectification urgente, et le PDG de l'entreprise a réuni toutes les ressources pour améliorer la confidentialité et la sécurité. Les utilisateurs ont fait face à une recrudescence du « Zoom-bombing ». Le Zoom-bombing, c'est lorsqu'une personne non invitée rejoint la vidéoconférence d'une autre personne pour l'intimider ou la harceler (de nombreux utilisateurs en ont déjà été victimes). Si votre entreprise et vous-même utilisez Zoom comme principal outil de vidéoconférence, vous devez redoubler de vigilance.

Si vos vidéoconférences professionnelles sont envahies et surveillées, vous risquez de subir une fuite d'informations sensibles sur votre activité et/ou vos clients. Votre personnel peut également subir des attaques personnelles et potentiellement traumatisantes de la part des hackers.

En réponse aux attaques ciblant la plateforme Zoom, le FBI a prodigué des conseils pour aider les utilisateurs à se protéger lorsqu'ils utilisent un logiciel de vidéoconférence.

Voici leurs recommandations :

• Assurez-vous que vos réunions sont privées, soit en exigeant un mot de passe d'accès, soit en contrôlant l'accès des invités depuis une salle d'attente.
• Prenez en compte les exigences de sécurité lorsque vous sélectionnez les fournisseurs. Par exemple, si un chiffrement de bout en bout est nécessaire, le fournisseur le propose-t-il ?
• Assurez-vous que le logiciel VTC est à jour en installant les correctifs et mises à jour logicielles les plus récents.

De nombreux journalistes ont indiqué que Zoom n'utilisait pas de chiffrement de bout en bout. Si vous cherchez une option plus sécurisée, vous pouvez vous tourner vers Webex, Microsoft Teams ou Google Duo.

8. Assurez-vous que vos mots de passe sont forts et sécurisés

L'une des protections les plus simples, mais souvent négligée, en cas de télétravail consiste à renforcer vos mots de passe et à vous assurer que vous bénéficiez d'une protection par mot de passe optimisée sur vos appareils.

La FTC (Federal Trade Commission) prodigue le conseil suivant :

« Utilisez des mots de passe sur l'ensemble de vos appareils et de vos applications. Assurez-vous que les mots de passe sont longs, forts et uniques : au moins 12 caractères constitués d'un ensemble de chiffres, symboles et lettres majuscules et minuscules. »

La FTC recommande également de mettre en place un mot de passe à chaque fois que vous accédez à votre ordinateur portable ou à tout autre appareil. De cette manière, si votre appareil est corrompu ou tombe entre de mauvaises mains, il sera plus difficile pour un tiers d'accéder à vos fichiers sensibles.

9. Optimisez la sécurité de vos activités bancaires en ligne

Si vous êtes responsable des comptes de l'entreprise, vous devez faire le maximum pour garantir un stockage et des transferts d'argent les plus sécurisés possible. Affronter une faille de sécurité sur l'une de vos plateformes bancaires en ligne est la dernière chose que vous voulez pendant cette période.

D'abord et surtout, il est important d'utiliser uniquement un logiciel et des services reconnus pour gérer vos fonds. Utilisez uniquement les services que vous connaissez et maîtrisez. En cas de doute sur la fiabilité d'une plateforme, effectuez des recherches en ligne pour obtenir des avis et davantage d'informations avant de l'utiliser. Les institutions fiables doivent inclure des coordonnées sur leur site Web afin que vous puissiez les contacter en cas de problème.

Lorsque vous accédez au site Web d'une banque, assurez-vous que vous êtes connecté via un protocole de transfert hypertexte sécurisé. Cela signifie que l'URL doit commencer par https:// et non par http://. Vous devez également voir s'afficher un verrou à gauche de la barre d'URL de la plupart des navigateurs Internet. Ce verrou signifie que le site Web dispose d'un certificat de sécurité authentifié.

Vous pouvez également profiter de cette situation pour renforcer la sécurité de vos comptes bancaires personnels et professionnels. Renforcez vos mots de passe, ajoutez des informations faciles à mémoriser et, dans la mesure du possible, demandez à votre banque un lecteur de carte afin de garantir la nécessité d'une carte de paiement physique pour tous les paiements en ligne. Si vous avez la possibilité de basculer vers une application bancaire mobile, de nombreuses plateformes exigent désormais une empreinte digitale vérifiée pour une connexion ultra-sécurisée.

Cette période de crise a malheureusement ouvert la porte à une multitude de nouveaux types de hackers, escrocs et spécialistes du phishing. Ces arnaqueurs tentent de vous cibler par email, via les publicités des réseaux sociaux ou par téléphone. Ils peuvent vous demander vos coordonnées bancaires pour vous inciter à effectuer des achats ou des dons importants. Ne communiquez à personne vos coordonnées bancaires et ne transférez jamais de fonds à des fournisseurs indésirables, sauf si vous êtes absolument certain de leur identité.

N'oubliez pas que les escrocs tentent d'imiter vos collègues, vos clients et les entreprises, y compris votre banque, pour vous inciter à fournir des informations sensibles ou à transférer des fonds. Redoublez de vigilance et demandez toujours un justificatif d'identité.

10. Veillez à la sécurité de vos emails

Il y a fort à parier que les emails deviendront le principal moyen de communication pour vos collègues et vous-même en cette période de crise sanitaire. Néanmoins, les emails sont également l'un des moyens de communication les plus simples pour exploiter des informations et mettre en péril vos données.

Le NCSC (National Cybersecurity Centre) du Royaume-Uni a soumis de

• Assurez-vous que l'accès aux emails est sécurisé et ne peut s'opérer que via le VPN de l'entreprise, qui établit une connexion réseau chiffrée authentifiant l'utilisateur et/ou l'appareil, et chiffre les données en transit entre l'utilisateur et vos services. Si vous utilisez déjà un VPN, vérifiez son intégrité.
• Les salariés sont plus susceptibles de se faire voler leurs appareils (ou de les perdre) lorsqu'ils ne se trouvent pas au bureau ni à domicile. Assurez-vous que leurs appareils chiffrent les données lorsqu'ils sont inutilisés, afin de protéger les données des emails en cas de perte ou de vol. La plupart des appareils modernes intègrent une fonction de chiffrement, mais ce dernier peut toujours avoir besoin d'être activé et configuré. Le NCSC a publié des directives individuelles de protection des appareils personnels des salariés, qu'ils utilisent pour accéder à leurs emails et à d'autres fichiers sensibles.

Méfiez-vous des attaques par phishing qui semblent prendre de plus en plus de formes différentes. Le NCSC a publié des directives expliquant comment les identifier et y mettre fin. Il est judicieux de communiquer ce conseil à vos salariés.

Articles connexes :

Qu'est-ce qu'une violation de données ?

Qu'est-ce qu'un programme malveillant et comment vous protéger ?

Détection des virus et des programmes malveillants

Conseils de cybersécurité destinés aux petites entreprises : comprendre les fondements