Cybersécurité et travail à distance : comment gérer la situation à mon échelle ?

28/04/2020 Richard REY

Le confort et le temps gagné sur les trajets maison-bureau auraient vite fait de nous faire oublier que le télétravail n’a toutefois pas que du bon. Travailler à la maison chamboule l’hygiène de vie et le rythme de travail. Surtout, il fait augmenter le poids de la menace sur la sécurité des entreprises et met en péril l’intégrité de leurs systèmes d’information. Bien que nous n’ayons pas tous et toutes vocation à devenir experts de la cybersécurité, il est toujours utile d’avoir conscience de ces enjeux et d’ajuster nos comportements pour limiter les risques !

En télétravail, les salarié.es ne bénéficient plus des mêmes garanties de sécurité qu’au bureau. Si la question se pose déjà dans le cadre d’un télétravail ponctuel, le problème est particulièrement vivace aujourd’hui, en période de home office généralisé. Dès le début de la crise sanitaire en Europe, l’Organisation Mondiale pour la Santé (OMS) faisait savoir que le nombre de cyberattaques avait déjà doublé, aidé par la crise du coronavirus.



Les pirates sont prêts à profiter de l’occasion et déclenchent actuellement des vagues d’attaques et de vols de données chez les entreprises les plus vulnérables.



De nombreux faux sites internet se faisant passer pour des institutions reconnues (La Poste, institutions bancaires, etc.) sont apparus depuis le début de confinement. Même si ces menaces s’apparentent plus à des arnaques et visent en premier lieu les individus plutôt que les entreprises, il est important de rappeler leur existence et d’appeler chaque personne à s’en méfier, y compris en situation de travail, puisqu’elles peuvent souvent prendre la forme d’un email envoyé sur votre boite mail professionnelle.

Face à la menace, quels comportements faut-il adopter ?

Dans chaque entreprise encore en activité pendant le confinement, les personnels en charge des SI (Systèmes Informatiques) sont sur le pied de guerre et se tiennent prêts à répondre à toutes les attaques qui pourraient subvenir.



Toutefois, l’éloignement et le grand fractionnement des réseaux (chacun et chacune utilisant un réseau distant et personnel) rendent ce travail encore plus complexe.



Dans chaque entreprise et chaque secteur d’activité, nous pouvons tous et toutes participer à réduire la menace avec quelques gestes simples.



Ne rien lâcher et redoubler d’attention

Les menaces sont grandes et les opportunités d’attaques sont nombreuses. Pour éviter tout risque, ne prenez pas de décision par vous-même. Aucun nouvel outil ne doit être utilisé, et aucune mise à jour ne doit être installée sans l’aval des experts et expertes SI de votre entreprise.



Les recommandations de base demeurent d’actualité : restez vigilants quant aux mails et aux pièces-jointes reçus de destinataires inconnus, ne partagez pas vos mots de passe, n’utilisez pas votre adresse mail professionnelle pour créer des comptes liés à des activités personnelles (sites marchands, association, voyagistes, etc.), pensez à toujours vous déconnecter de chaque session lorsque vous quittez votre poste de travail, etc. Pour ceux qui se connectent à leur entreprise à travers un lien sécurisé comme un «VPN», vérifiez régulièrement l’historique de vos connexions et signalez tout élément suspect. Si cet historique n’est pas disponible, demandez à votre service SI qu’elle vous le produise une fois par semaine, par exemple.

Renoncer à utiliser ses appareils personnels

Pour travailler à la maison, il est peut-être tentant d’utiliser son propre ordinateur, plus confortable, plus familier, parfois plus ergonomique. Pour ne rien manquer, il peut aussi sembler pratique de synchroniser sa boite mail sur son téléphone personnel.



Toutefois, ces comportements (qu’on appelle “Bring Your Own Device” ou “BYOD”) sont à proscrire. Les appareils personnels de chaque collaborateur et collaboratrice ne sont pas équipées des différentes barrières et protection mises en place par les professionnels des systèmes informatiques de l’entreprise. Il n’existe aucun moyen pour l’entreprise de s’assurer que ces appareils sont vierges de logiciels malveillants. Attention : Si l’un de vos équipements personnels utilisés pour vous connecter à votre entreprise venait à disparaître (perte ou vol), prévenez immédiatement votre service DSI.

Bien sélectionner et bien entretenir les nouveaux outils nécessaires au télétravail





Toutes ne sont pas habituées au télétravail et nombreuses sont celles qui n’avaient pas encore adopté de tels outils avant le confinement. Il a donc fallu en sélectionner rapidement et lancer de grandes campagnes d’installation afin d’équiper tous les postes. Dans l’urgence, il se peut que la sélection et l’installation d’un outil résulte de l’initiative personnelle d’un collaborateur ou d’une collaboratrice.



Attention, ces démarches peuvent présenter un danger. Tous les outils ne se valent pas et l’installation d’un logiciel ainsi que la création d’un compte qui l’accompagne ne sont pas des gestes anodins.



Certains outils, notamment ceux dédiés à la communication au sein de l’entreprise, peuvent permettre aux hackers d’exploiter le micro, la caméra ou le registre de votre ordinateur comme des portes dérobées.



Pour minimiser les risques, il est préférable de favoriser des outils recommandés, éprouvés et largement reconnus comme sans danger.



Une fois ces logiciels installés, il est primordial de penser à les mettre à jour régulièrement. Un outil non mis à jour est fragilisé et peut potentiellement présenter des failles. Une aubaine pour les hackers.



Le confinement que nous vivons actuellement exacerbe la menace que fait peser le télétravail sur la sécurité des entreprises. Ces bonnes pratiques sont très utiles en ce moment mais ne devront pas être oubliées lorsque nous aurons tous et toutes réintégrer nos espaces de travail habituels. Cependant, le confinement a d’intéressant qu’il permet à la communauté scientifique et experte de la cybersécurité d’aborder une bonne fois pour toute la question du home office, de ses enjeux et des solutions qu’il est encore nécessaire d’apporter.



Tribune rédigée par Richard REY, Enseignant et ingénieur de recherche en cybersécurité

Laboratoire Confiance Numérique et Sécurité de l

Les outils recommandés :

Slack : une alternative sécurisée au dialogue quotidien. Slack permet à tous les membres d’une équipe ou d’une entreprise de dialoguer et d’échanger des fichiers sur des canaux thématiques ou dans des conversations privées.



Slack permet également de passer des appels audio et vidéo et peut se connecter à d’autres outils complémentaires (Google Drive pour le partage de documents, Trello pour l’organisation des missions…)



Telegram : l’application pour les calls et visioconférences 100% sécurisés Certains outils de visioconférences constituent de vraies menaces pour les données de l’entreprise et les données personnelles de celles et ceux qui les utilisent. D’autres, comme Telegram, chiffrent l’intégralité des conversations et préservent donc la confidentialité des utilisateurs et utilisatrices.



LastPass : un gestionnaire de mots de passe sécurisés

La question des mots de passe n’est pas seulement critique en période de télétravail. LastPass permet à chaque collaborateur et collaboratrice d’utiliser un mot de passe sécurisé et surtout différent pour chaque outil utilisé. Le plus : les mots de passe générés sont conservés en sécurité, ce qui permet de ne pas avoir à les retenir.



Petite astuce : une autre solution très simple et gratuite consiste à stocker vos mots de passe dans un document «LibreOffice» sauvegardé avec un unique mot de passe robuste. Des lecteurs LibreOffice existent pour tous les systèmes d’exploitation (Android, Linux, Windows et Mac).