LE DOSSIER : Télétravail : Conseils pour sécuriser cette pratique devenue courante

Le travail à distance a longtemps été une option réservée à certaines fonctions nomades, dont les commerciaux et certains prestataires techniques. Elle est devenue une pratique informatique courante : un usage majeur de son système d’information pour s’adapter aux contraintes imposées par la crise sanitaire et économique ambiante. A noter également que ce mode de travail est plébiscité par bon nombre de salariés, et qu’il ne disparaitra donc pas avec la reprise économique.
Pour un dirigeant d’entreprise, quand on passe de 7% à la quasi-totalité des salariés qui accèdent à distance en même temps à l’informatique, le premier réflexe est bien entendu de permettre une continuité de service en adaptant « la taille des tuyaux » d’accès au système d’information. Ce qui fut fait avec plus ou moins de rapidité en mars 2020 selon le contexte de maîtrise de son système d’information.
Faisons le point simplement, pour montrer au dirigeant d’entreprise qu’un tel changement vers le télétravail généralisé, au-delà de l’organisation et de la « taille des tuyaux » qu’il suppose, entraine un besoin de gouvernance informatique significatif et notamment un management adapté de la sécurité informatique, en PME comme en ETI ou Grande Entreprise.
Effective Yellow vous propose un questionnement concret :

Qui télétravaille effectivement au quotidien en 2020 ? L’ensemble ou une majorité des employés des entreprises, simultanément ou par groupes, les sous-traitants, les prestataires de services.

Avec quoi travaillent-ils à distance ? Les télétravailleurs utilisent des appareils divers : des ordinateurs de bureau, des ordinateurs portables, des smartphones et des tablettes. Ces éléments peuvent être fournis par l‘entreprise (on parle de « postes clients du système d’information »), par le prestataire ou bien par la personne elle-même, employé ou tiers, qui utilise son ordinateur, sa box internet et autre smartphone personnel.

Quelles activités informatiques sont réalisées à distance ? Les télétravailleurs sont des utilisateurs qui lisent les emails, échangent et travaillent sur les bases de données et les applications logicielles professionnelles. Ils surfent également sur le web puis accèdent à des ressources non publiques depuis des emplacement externes à l’organisation . Il peut s’agir de travail à la maison pendant le confinement et ensuite, de travail à l’hôtel, à l’aéroport, au café, dans un salon professionnel, etc.

Quels sont les objectifs de sécurité courants pour les technologies de télétravail et d’accès à distance ?
1 – La disponibilité : les utilisateurs peuvent accéder aux ressources via un accès à distance en cas de besoin.
2- La confidentialité: les communications d’accès à distance et les données utilisateurs stockées ne peuvent pas être lues par personnes non autorisées.
3 – L’intégrité: il ne doit pas y avoir de modification intentionnelle ou non intentionnelle des informations qui transitent sur les réseaux durant les accès à distance.

Quelles sont les quatre menaces majeures sur l’informatique de votre entreprise que le télétravail accroit?

1 – La sécurité physique des outils informatiques est peu contrôlée :
Les télétravailleurs utilisent leurs appareils informatiques hors du champ de contrôle de l’entreprise : leur domicile, les cafés, hôtels, restaurants, lieux de conférence ou de transit (gares, aéroports). Or un appareil mobile peut-être perdu ou volé à ces endroits et ainsi permettre à des hackers de récupérer des données ou d’entrer plus facilement dans le réseau de l’entreprise. Il se peut aussi qu’une personne regarde par-dessus l’épaule l’utilisateur au café ou dans le train.
Notre conseil : limiter au maximum les données sensibles stockées sur les appareils mobiles, chiffrer les données sensibles, mettre en place des systèmes de double authentification pour accéder aux ressources informatiques de l’entreprise.

2 – La sécurité des réseaux de communication est peu sécurisée :
Les accès des télétravailleurs se font la plupart du temps via Internet, porté par des réseaux non maîtrisés par l’entreprise. Il peut s’agir de réseaux par câbles, par Wifi, par réseau cellulaire 3G/4G, etc. Or Ces systèmes de communication sont susceptibles d’être écoutés, ce qui expose les informations sensibles transmises pendant l’accès à distance à un risque de compromission. Par exemple un attaquant (un hacker non éthique) peut parvenir à intercepter et modifier les communications en se plaçant entre le télétravailleur et l’application de l’entreprise (attaque de type «Man-in-the-middle» (MITM).
Notre conseil : vous ne pouvez pas maîtriser les réseaux situés entre l’outil informatique du télétravailleur et votre réseau interne d’entreprise. Pour diminuer les risques sur ce segment de transport de vos informations, vous pouvez mettre en place des technologies de chiffrement (chiffrement des données, établissement d’un tunnel chiffré virtuel (Virtual Private Network ou VPN)…) et des technologies d’authentification mutuelle (pour vérifier que les deux points d’extrémité de la communication sont les bons, qu’il n’y a personne qui espionne au milieu).

3 – On peut se retrouver avec des appareils infectés sur le réseau interne de l’entreprise :
Les appareils personnels ou ceux de prestataires, sont souvent sur des réseaux externes, sur internet. Ils sont susceptibles d’être infectés par des virus informatiques. Or ces matériels se connecte au réseau interne de l’entreprise et ainsi deviennent un vecteur potentiel d’infection. Il est tout à fait possible qu’un attaquant profite de son accès à l’ordinateur ou au smartphone d’un télétravailleur pour y placer un logiciel malveillant, lequel fera ensuite son chemin dans l’entreprise.
Notre conseil : Il est important de placer par défaut les matériels de télétravail comme supposément infectés, et les soumettre à des contrôles de sécurité efficaces et réguliers. C’est à ce niveau que se place les logiciels antivirus sur les matériels de télétravail et sur les serveurs d’entreprise. C’est aussi à ce niveau que l’on va chercher à gérer par logiciel les accès au réseau interne, que l’on va utiliser un réseau distinct pour les matériels nomades (périphériques clients externes, matériels appartenant à des tiers…). Le travail sur la sécurisation des appareils clients est un sujet de management intéressant (souvent nommé EndPoint Security)  

4 – Donner un accès externe à des ressources internes à l’entreprise expose vraiment vos actifs:
Télétravailler suppose que l’on a ouvert vers l’extérieur des ressources internes : serveurs de messagerie de l’entreprise, applications métiers, bases de données commerciales, données de production, serveur de fichiers, données personnelles des salariés ou des clients… Ceci augmente considérablement la surface de vulnérabilité de votre système d’information. Un hacker pourra imaginer différentes attaques à partir du matériel du télétravailleur pour profiter de telle ou telle vulnérabilité technique interne et ainsi poursuivre sont chemin jusqu’à exploiter ses informations : ce peut être du chiffrement malveillant avec demande de rançon (installation d’un rançongiciel), ce peut être de l’extraction de données clés pour la revendre sur le dark web (et vous faire chanter pour éviter cette diffusion), ou bien tout simplement rester tapi dans votre système d’information en attendant le jour J d’une attaque ciblée, en extrayant quelques données régulièrement, etc. Les attaques sont aujourd’hui malheureusement vendues comme un service par les cybercriminels (Attack-as-a-Service, Fraud-as-a-Service, Malware-as-a-Service). En effet les cybercriminels se professionnalisent et mettent à la disposition de vos concurrents malveillants des armes de destruction des systèmes d’information.
Notre conseil : Il est primordial de mettre en place des outils de pare-feu et de contrôle d’accès, de renforcer les ressources de manière appropriée, pour résister au mieux à ces attaques. Ceci est en quelque sorte une gymnastique technique qui sera par ailleurs challengée par ce qu’on appelle des pentests, c’est-à-dire des tests de pénétration du système d’information. Lors de ces tests nous simulons des attaques, avec votre autorisation et selon des protocoles bien précis, afin d’identifier progressivement quels sont les correctifs techniques qu’il faut apporter à votre informatique. Cette approche fait partie des actions de contrôle interne du système d’information, des bonnes pratiques de gouvernance.  

Le cadre de cette newsletter nous permet de vous aider à mieux comprendre en quoi la sécurité informatique suppose de la part du dirigeant d’entreprise, du soin, du regard, de l’intention de contrôle. Ainsi, en donnant le ton au plus haut de l’entreprise, le dirigeant pourra solliciter un accompagnement spécialiser pour auditer la situation, réaliser des techniques (pentes), proposer une démarche de renforcement des sécurités en présence, etc.
C’est l’ADN d’Effective Yellow d’être le relais d’analyse et un levier d’action managériale en système d’information, en cybersécurité. Nous facilitons le jeu entre le dirigeant, son équipe informatique, ses prestataires, les règlementations (RGPD…) et les normes (ISO 27001, HDS…).  L’objectif étant de faire progresser le niveau de contrôle interne du système d’information, sa résistance et sa résilience en cas de sinistre. Nos solutions logicielles de gouvernance et nos conseil d’accompagnement sont prêts à vous servir.
C’est aussi une belle manière de prouver à vos propres clients, ceux de votre entreprise, que leurs informations et les processus de production / prestation sont sous contrôle informatique sécurisé et gouverné au sens des bonnes pratiques professionnelles. Dans certains secteurs d’activité, cela devient un prérequis pour gagner des affaires, des appels d’offres. Travaillons en 2020 et préparons déjà 2021 ensemble !

YOUDO375LE DOSSIER : Télétravail : Conseils pour sécuriser cette pratique devenue courante