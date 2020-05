Comment adapter la sécurité à nos nouvelles méthodes de travail

mai 2020 par Emmanuel Schalit, co-fondateur et PDG de Dashlane

On peut dire qu’il n’est pas facile de se sentir à l’aise en ce moment. Notre référentiel change incroyablement vite, et chaque jour apporte son lot de nouveautés. D’un seul coup, nous devons rester chez nous autant que possible, et si nous avons de la chance, nous travaillons à distance.

Le travail à distance représente un défi unique, car les entreprises doivent être sûres que les employés feront preuve d’une grande prudence pour assurer la sécurité des données de l’entreprise, malgré les difficultés évidentes que cela pose, par exemple lorsque des personnes utilisent à la fois des appareils fournis par l’entreprise et des appareils personnels, et que des informations sur l’entreprise sont partagées par le biais de connexions Wi-Fi potentiellement non sécurisées. De plus, les pirates informatiques lancent des arnaques ciblées par mails (phishing), avec des liens présentés comme des informations COVID-19 importantes, qui en réalité leur permettent de récupérer les mots de passe et d’autres informations personnelles importantes des utilisateurs.

À mesure que le lieu de travail devient virtuel et que ces nouveaux risques apparaissent, des politiques de sécurité supplémentaires sont essentielles. Voici quelques conseils simples pour assurer la sécurité des employés travaillant à distance pendant cette troublante période.

• Bien informer vos employés

Les escrocs sur Internet ont tendance à profiter des drames et la pandémie actuelle ne fait pas exception à la règle. Les emails de phishing (hameçonnage) liés au coronavirus ont commencés à circuler dès janvier, profitant de la peur et de la confusion généralisées autour du virus, et elles n’ont fait que s’intensifier depuis. Avec moins de moyens de protection sur les réseaux domestiques qu’au bureau, ces attaques s’avèrent malheureusement fructueuses.

La meilleure défense consiste à sensibiliser les employés aux deux types d’attaques - l’hameçonnage et le harponnage. Les deux menaces sont similaires mais suffisamment différentes pour représenter deux modes d’attaque distincts, et les employés doivent être capables de les repérer.

L’hameçonnage est une technique de piratage qui consiste à envoyer des emails à des milliers de destinataires. Ces courriels sont conçus pour inciter un utilisateur à cliquer sur une URL qui mène à une page d’accueil ressemblant à une marque connue, ce qui permet de récolter des informations personnelles comme les identifiants de connexion. Il s’agit d’un spam malveillant. Pour les cybercriminels, les identifiants et mots de passe saisis sont précieux car ils peuvent être utilisés pour commettre des fraudes financières ou se faire passer pour un utilisateur et accéder aux réseaux informatiques des entreprises.

En revanche, le harponnage est très ciblé, et vise souvent un seul individu. Les pirates envoient des courriers électroniques à des cibles spécifiques et après s’être bien documenté, en se faisant passer pour un expéditeur de confiance. L’objectif est soit d’infecter des appareils avec des logiciels malveillants, soit de convaincre les victimes de remettre des informations importantes ou de l’argent.

• L’indispensable VPN

Si votre entreprise n’a pas encore investi dans un VPN, c’est le moment de le faire. Sur une connexion internet non sécurisée, votre navigation peut être interceptée et exploitée tant par des pirates informatiques que par toute personne se trouvant sur votre réseau partagé. Y compris, par exemple, le dispositif compromis d’un membre de votre famille. Un VPN sert de bouclier contre toute personne essayant de voir ou de suivre votre activité en ligne et vos données personnelles en créant une connexion chiffrée entre votre réseau domestique et un réseau sécurisé connu. Vous pouvez même changer l’emplacement de votre serveur pour un anonymat complet.

Les VPN sont l’une des solutions les plus fiables pour l’accès à distance sécurisé. Cependant, s’il n’est pas correctement maintenu et installé, les pirates peuvent l’utiliser pour accéder à des données importantes de l’entreprise. Il est essentiel de s’assurer que la batterie de VPN est correctement mise à jour, en utilisant le bon chiffrement, et en surveillant en permanence les schémas de trafic et d’utilisation, afin de correctement sécuriser les liaisons avec les employés à distance.

Il est compliqué de jongler entre le stress des périodes d’incertitude et les nouvelles méthodes de travail imposées. Tenir le télétravailleur informé, utiliser un gestionnaire de mots de passe et mettre en place une sécurité VPN ne fera que faciliter ce processus difficile.

L’essentiel est de veiller à ce que les employés sachent qu’ils doivent être à l’affût des attaques d’hameçonnage, qu’il s’agisse de cybercriminels proposant des informations de santé COVID-19 ou de faux traitements, ou encore de personnes qui ne sont pas autorisées à se connecter à des comptes bancaires, et de les signaler aux équipes de sécurité qui peuvent intervenir pour protéger l’ensemble du réseau. Les équipes de sécurité peuvent même alerter l’ensemble du personnel sur des attaques spécifiques lorsqu’elles sont découvertes. Rappelez à votre personnel de ne jamais cliquer sur un lien qu’il ne s’attendait pas à recevoir et d’être particulièrement vigilant le soir - il est difficile de "se déconnecter" lorsqu’on travaille à la maison, et recevoir un courriel de travail aléatoire le soir alors qu’on peut être distrait par autre chose est susceptible de provoquer une erreur non intentionnelle.

• Exiger un gestionnaire de mots de passe

Les entreprises mettant en place de nouveaux services comme la vidéoconférence et les logiciels de collaboration numérique, les employés doivent se souvenir d’un nombre encore plus important de mots de passe. Le plus grand risque est la réutilisation des mots de passe. La création de mots de passe uniques et sécurisés est un excellent moyen de s’assurer que les pirates informatiques ne peuvent pas accéder à vos comptes, mais c’est souvent plus facile à dire qu’à faire. Un gestionnaire de mots de passe, cependant, automatise la gestion des mots de passe pour vous, en regroupant tous vos mots de passe, ainsi que d’autres informations, en un seul endroit bien sécurisé.

Cela signifie qu’il fera tout le travail de création des mots de passe complexes nécessaires pour protéger les comptes en ligne contre les pirates informatiques. En guise de protection supplémentaire, ils peuvent également offrir une authentification à deux facteurs, par laquelle un code de vérification unique et ponctuel est envoyé sur votre téléphone ou à votre dispositif de sécurité lorsque vous vous connectez.

Les gestionnaires de mots de passe avec des outils de partage devraient être prioritaires pour les télétravailleurs. Avec un outil de partage, vous pouvez facilement et en toute sécurité partager des mots de passe cryptés avec des individus ou des groupes, et dire adieu aux mots de passe envoyés de manière non sécurisée par e-mail, SMS ou Slack.