Identifier les menaces
Le COVID-19 s’est largement conjugué avec le télétravail et le travail hybride afin de minimiser les risques de transmission de ce virus, tout en maintenant l’activité. Mais, cette rupture dans l’organisation des entreprises est devenue une aubaine pour les cybercriminels.
Ces derniers rivalisent d’ingéniosité pour subtiliser mots de passe, données et informations névralgiques pour votre entreprise.
Avant même de parer à ces menaces, il convient d’identifier les principales d’entre elles.
Le rançongiciel (ransomware en anglais), est l’une des plus prisées.
Après avoir bloqué l’accès à vos données, le cybercriminel va passer au chantage : une somme d’argent contre la « libération » des données. C’est en s'immisçant dans le réseau de l’entreprise que le hacker va parvenir à ses fins, grâce à des malwares, ou des usurpations d’identité.
Dans une même logique d’accès aux données de l’entreprise, le phishing exploite les messageries professionnelles. Des liens douteux sont adressés aux victimes ciblées dans des courriels.
Les données exposées pourront être revendues, d’où le caractère extrêmement nuisible de ce type de menace pour l’activité de nombreuses entreprises.
S’ils s’attaquent souvent aux données, les cybercriminels n’hésitent également pas à s’en prendre au porte-monnaie de leurs victimes. On parle alors de faux ordres de virement avec usurpation d’identité pour effectuer un changement des coordonnées bancaires. De quoi mettre en péril l’activité d’une entreprise si ces agissements ne sont pas détectés à temps.
Le sacro-saint VPN
S’il n’existe aucun remède miraculeux pour se protéger des cybercriminels, le VPN (Réseau Privé Virtuel) fait figure d’allié de taille. Autrefois complexes à mettre en œuvre, ils sont désormais très répandus et extrêmement simples d’usage.
Il consiste à mettre en place un véritable tunnel entre deux espaces : le terminal utilisé pour travailler à distance et le réseau de l’entreprise. Les données sont de surcroît chiffrées pour naviguer dans ce tunnel dit alors SSL (Secure Sockets Layer). L’accès aux serveurs (données et applications) de l’entreprise est ainsi mécaniquement protégé.
Des éditeurs proposent des abonnements pour utiliser leurs solutions, tandis que d’autres le fournissent avec leur antivirus.
Cette couche de sécurité supplémentaire ne peut plus être négligée sur l’autel de tarifs trop élevés, puisqu’elles sont maintenant bon marché.
Sécuriser l’accès au réseau
Comme on verrouille sa voiture après s’être garé sur un parking, il faut également « verrouiller » l’accès à son réseau privé avec un antivirus et un pare feu.
La logique est implacable face à un éparpillement des ordinateurs du parc informatique avec des accès à autant de réseaux privés. Sur ces derniers, rappelons que de nombreux appareils dits de l’internet des objets sont connectés. Ces objets ne bénéficient souvent pas des dernières mises à jour de sécurité et ne sont même parfois pas du tout protégés face au piratage. Ils permettent ainsi souvent aisément à un hacker de se connecter à votre réseau privé.
Le travailleur à distance ne devra pas mégoter sur la fiabilité du mot de passe permettant d’accéder à son WI-Fi, pratique la plus répandue pour accéder aux box internet.
Il ne faudra également pas hésiter à mettre en place un filtrage dit par adresse MAC (Media Access Control). Chaque machine dispose d’une telle adresse physique codée sur 6 octets qui lui est propre. Ce filtrage configuré sur le système d’administration de votre box consiste donc à ne permettre qu’aux machines désirées d’accéder au réseau via le Wi-Fi.
Exit également le WPA avec usage obligatoire du WPA2 ayant recours au chiffrage fort AES (Advanced Encryption Standard ), voire du WPA3 s’il est disponible, pour sécuriser votre réseau sans-fil.
Mots de passe : clés de la sécurité
Fermer la porte n’est pas suffisant. Faut-il encore veiller à ce que votre clé soit assez
« complexe » pour ne pas être remplacée par un vulgaire passe-partout. Il en va de même pour les mots de passe. S’ils permettent de sécuriser l’accès à un terminal, au VPN ou au réseau Wi-Fi, ils peuvent également devenir des failles de sécurité lorsqu’ils sont dits faibles.
Ils devront ainsi être suffisamment longs (12 caractères a minima) et composés de lettres en différentes casses, de chiffres et de caractères spéciaux. Mais, ce n’est pas suffisant : il faudra régulièrement les changer.
Des offres logiciels, telles que Dashlane ou encore LastPass, permettent de composer à votre place des mots de passe forts et de jouer le rôle de véritable trousseau de clés. Cela s’avère particulièrement efficace dans une logique de mots de passe complexes qu’il ne faudra pas écrire sur un post-it laissé sur votre bureau et l’usage de mots de passe distincts pour chaque service.
Sensibilisation et charte
Les bonnes pratiques ne demandent qu’à ne plus être appliquées et les cyber criminels veillent au grain dès que la sécurité se relâche.
C’est la raison pour laquelle l’entreprise a tout intérêt à sensibiliser les travailleurs sur les bonnes pratiques à adopter. Une bonne piqûre de rappel régulière avec des bulletins d’information ou des formations s’avère aussi essentielle dans une lutte sur la durée et la prévention permanente des risques.
Responsabiliser le télétravailleur avec une charte de bonne conduite est également une bonne manière d'assurer l’engagement requis de tous les collaborateurs.
Elle pourra rappeler les règles de base qu’il convient d’adopter, telles que le recours au chiffrage HTTPS (Hypertext Transfer Protocol Secure), la suspicion face à des courriels douteux ou des pièces jointes, la vérification systématique de l’adresse des expéditeurs de courriels, le réflexe de ne jamais donner ses identifiants, l’installation des dernières mises à jour (du système d’exploitation et des autres logiciels).
Pour terminer, mieux vaut prévenir que guérir. D’autant plus que le risque pèse encore plus à l’heure du travail hybride. Il ne faudra pas appliquer une mesure de sécurité en particulier mais tout l’arsenal qui existe actuellement. Le cybercriminel aura alors tendance à passer son chemin en quête d’une cible plus « facile ». La pérennité de votre entreprise en dépend et le RGPD (Règlement Général sur la Protection des Données) oblige également à sécuriser les données de vos clients.