Name: Tremplin Numérique
Price range: $$$

La nouvelle norme implique moins de personnes dans les bureaux et plus de personnes travaillant à domicile. À temps plein ou à temps partiel, une grande partie de la main-d’œuvre travaille désormais à distance. Cela introduit un nouvel ensemble de défis de sécurité.

Sommaire

La nouvelle norme

Il y a une raison pour laquelle les professionnels de la sécurité détestent les changements soudains, en particulier ceux de nature drastique. Le risque d’introduction d’une vulnérabilité parce que quelque chose a été négligé ou que quelqu’un a agi à la hâte – quoique avec l’intérêt supérieur à cœur – n’est que trop réel.

La pandémie COVID-19 a apporté un tel changement à la plupart des organisations. Les travailleurs ont été contraints de rester à la maison et de travailler à distance. Les entreprises qui disposaient de certaines capacités de travail à distance devaient essayer de développer rapidement cela. D’autres organisations ont dû essayer de mettre en place quelque chose le plus rapidement possible. La sécurité vient rarement en premier dans ces scénarios.

Inutile de dire que les entreprises qui n’avaient aucune capacité de travail à distance étaient les moins préparées à faire face au changement. N’ayant pas de capacité de travail à distance, il n’y avait pas ou très peu d’ordinateurs portables dans l’entreprise. Beaucoup d’entre eux ont dû laisser les travailleurs à domicile utiliser leurs propres ordinateurs domestiques pour travailler.

Le service informatique – qui s’est soudainement retrouvé distribué et fonctionnant à domicile – devait désormais prendre en charge un parc informatique qui avait muté du jour au lendemain pour inclure des systèmes d’exploitation, des routeurs domestiques et du matériel obsolètes et non pris en charge de nombreux fabricants.

Si tout cela vous semble familier, voici quelques mesures efficaces pour ramener une certaine sécurité dans la situation.

Utiliser le cryptage

Une organisation soucieuse de la sécurité chiffrera déjà les appareils portables et mobiles tels que les ordinateurs portables, les tablettes et les smartphones. Sur les PC d’entreprise, c’est facile à faire et gratuit, tant que vous utilisez la bonne version de Microsoft Windows. Microsoft Windows 10 Professionnel, Entreprise et Éducation prend en charge le chiffrement des appareils BitLocker. Windows 10 Famille ne le fait pas. En revanche, si vous utilisez un ordinateur Apple, macOS prend en charge le cryptage des appareils par défaut, et ce, dans tous les domaines.

Le cryptage de votre ordinateur protège vos données contre l’accès si l’appareil tombe entre de mauvaises mains. Même si les acteurs de la menace retirent le disque dur et essaient de le lire sur un autre appareil, ils seront contrecarrés.

Cependant, un autre type d’exposition au risque se produit lorsque les fichiers sont transmis par voie électronique. S’ils sont interceptés par des acteurs menaçants, ils pourront les lire à moins qu’ils ne soient cryptés avant leur transmission. Cela est facile à faire. Tous les produits Microsoft Office vous permettent d’enregistrer vos fichiers avec un mot de passe. Cela les crypte, les protégeant des regards indiscrets.

D’autres applications peuvent ne pas offrir cette fonctionnalité. Si vous utilisez un progiciel qui n’offre pas de cryptage à partir de l’application, vous pouvez toujours crypter les fichiers avant de les envoyer. Utilisez un utilitaire gratuit tel que 7Zip ou l’une des autres applications d’archivage pour compresser vos fichiers et les crypter avec un mot de passe. Il réduit également la taille des fichiers, réduisant le temps de transmission et les exigences de stockage.

La compression de fichiers est un excellent moyen d’encapsuler des collections de fichiers disparates qui ont été créés avec différents progiciels qui doivent être distribués sous forme de colis de documents associés. Les compresser en un seul fichier signifie que vous n’avez qu’à envoyer à quelqu’un ce fichier et vous savez qu’il a l’ensemble des fichiers.

Communiquez le mot de passe au destinataire en utilisant un support différent – ou au moins, un message différent – que celui contenant les fichiers. Et ne réutilisez pas les mots de passe et ne les rendez pas prévisibles ou formulés. N’utilisez pas le nom et la date d’un client, par exemple.

Pour les utilisateurs disposant d’anciennes versions de Windows, vous pouvez tout aussi bien les laisser emporter leur ordinateur de bureau chez eux. Si vous ne le faites pas, il restera inutilisé dans un bureau vide et se dépréciera. Pourquoi ne pas les laisser utiliser un appareil actuel et sécurisé qui est connu de votre équipe informatique, qui se trouve sur votre registre d’actifs matériels et sur lequel vous pouvez exercer un contrôle total?

Durcir le Wi-Fi domestique

Le Wi-Fi domestique peut être sécurisé, mais il n’est souvent pas configuré de cette façon. Démarrez un projet maintenant pour que votre équipe informatique se fraye un chemin à travers les travailleurs à domicile, en vous assurant que les informations d’identification d’administration du routeur par défaut ont été modifiées, que des mots de passe sécurisés et robustes sont utilisés et en mettant à jour le micrologiciel.

Assurez-vous que le protocole le plus sécurisé proposé par l’appareil est utilisé et remplacez le mot de passe par un mot de passe unique et sécurisé. Cela signifie que les amis et les visiteurs ne pourront pas accéder au Wi-Fi lors de leur visite, ce qui est le but. Si l’appareil le prend en charge, créez un Wi-Fi invité afin que la famille et les amis puissent accéder à Internet. Ils auront l’accès dont ils ont besoin, seront séparés du Wi-Fi principal et n’auront pas besoin d’obtenir le mot de passe Wi-Fi privé.

Vous pouvez envisager de masquer complètement le réseau Wi-Fi principal, mais la plupart des utilisateurs à domicile trouveront un système problématique à vivre. Il en va de même pour le filtrage des adresses MAC, malheureusement.

Allumez le pare-feu et vérifiez les règles du pare-feu. Si le routeur est archaïque, remplacez-le.

VPN, RDP et 2FA

Utilisez des méthodes de communication sécurisées cryptées, telles que les réseaux privés virtuels (VPN) ou le protocole RDP (Remote Desktop Protocol) de Microsoft. Ou, plus strictement parlant, ils sont sécurisés lorsqu’ils sont mis à jour et que tout le monde utilise des mots de passe uniques et robustes. Assurez-vous de limiter le nombre de tentatives avant qu’un compte ne soit verrouillé.

Partout où elle est prise en charge, implémentez l’authentification à deux facteurs (2FA) ou l’authentification multifacteur (MFA). Utilisez des systèmes qui ont des applications d’authentification ou des périphériques qui génèrent des codes. Les systèmes qui utilisent les messages texte SMS (Small Messaging System) sont moins sécurisés.

Si votre personnel utilise des services basés sur le cloud, n’oubliez pas que beaucoup d’entre eux pourront fournir une authentification à deux facteurs sans frais supplémentaires. Allumez-le et tirez parti de ces fonctionnalités gratuites à votre avantage.

Tests de pénétration

Les acteurs de la menace sont beaucoup de choses, mais ils ne sont pas stupides. Ils savent qu’il y a eu un changement radical dans les habitudes de travail et que la main-d’œuvre est désormais distante et accède à distance aux ressources informatiques du bureau principal.

Ils savent également que de nombreuses organisations ont dû mettre en place leurs solutions de travail à distance aussi rapidement que physiquement possible. Et ils sauront que très peu d’entre eux auront été revisités. Ainsi, les non-non et les ratés de sécurité qui ont été ignorés lorsque la C-suite criait «juste pour que ça marche» seront toujours présents.

Etre pro-actif. Faites effectuer des tests d’intrusion sur votre organisation avant les cybercriminels. Faites effectuer les tests, examinez les résultats et traitez immédiatement les pires vulnérabilités.

Donnez la priorité aux autres et travaillez-les par ordre de gravité.

Conformité et normes

Le changement d’environnement de travail et de pratiques signifie que beaucoup de vos processus et procédures devront être modifiés. Votre gouvernance devra être revue pour s’assurer que les conseils et les contrôles placés sur le personnel ont toujours un sens et s’appliquent toujours dans la nouvelle situation. S’ils ont besoin d’être modifiés ou mis à jour, faites-le le plus tôt possible.

Vérifiez en particulier votre politique de mot de passe, votre politique d’utilisation acceptable et vos règles concernant le stockage et la transmission des données. La modification du travail à domicile a peut-être enfreint les règles existantes concernant le transport de l’équipement informatique à la maison, la non-connexion aux réseaux nationaux, l’accès aux ressources de l’entreprise uniquement à partir des ordinateurs de l’entreprise, etc. Il est essentiel que le personnel comprenne quelles règles s’appliquent encore, lesquelles ont été remplacées et par quoi.

N’oubliez pas de passer en revue vos certifications et accréditations de normes. Si votre organisation s’est conformée à des normes telles que ISO 27001, Cyber Essentials ou le cadre de cybersécurité, le parc informatique pour lequel vous avez décrit, documenté et créé des processus n’existe plus. Vous devez adapter l’ensemble de votre gouvernance à la nouvelle situation.

La législation sur la protection des données devra être revue pour voir comment elle correspond à vos activités actuelles de traitement des données. Si vous modifiez vos politiques et procédures de protection des données, assurez-vous de mettre à jour votre politique de confidentialité afin que les personnes concernées soient informées des changements.

Lavez-vous les mains pendant 40 secondes

À l’instar des autres régimes d’hygiène qui sont essentiels à l’heure actuelle, n’oubliez pas votre hygiène de base en matière de cybersécurité. Obtenir les bonnes bases contribuera grandement à gagner la bataille.