Le télétravail est arrivé dans nos vies de façon soudaine, il y a environ deux ans. C’est un mode de vie qui est là pour de bon. Bien entendu pour toutes les raisons que vous connaissez déjà (les articles pleuvent sur le sujet !). Par contre, le télétravail, c’est une cible de choix pour les pirates informatiques en raison des lacunes de sécurité. Maintenant, il est devenu important de sécuriser l’environnement de télétravail des employés.
Au début de la pandémie, on peut comprendre que les entreprises n’étaient pas outillées pour faire face à la menace. Mais aujourd’hui, il faut qu’elles redoublent de prudence et qu’elles sécurisent les environnements de télétravail de leurs employés. Voici donc quelques trucs que notre équipe, chez Lambda, utilise pour accompagner nos clients dans le processus.
1. L’évolution de la sécurité des environnements informatiques
Protéger un environnement informatique, c’est assez flou pour le commun des mortels ! Pour simplifier la chose au maximum, imaginez un local dans lequel siègent tous les employés d’une entreprise. Ce local possède une porte, des fenêtres, des murs, etc.
Sa gestion est beaucoup plus simple : tout le monde passe par la même porte, toutes les fenêtres se barrent de la même façon et tous les murs sont faits de béton. D’un point de vue de la cybersécurité, c’est plus facile de protéger une entreprise qui réunit ses employés au même endroit et qui utilisent donc le même réseau.
À l’inverse, le télétravail disperse les employés, parfois même dans des pays différents, où les normes de sécurité informatique ne sont pas les mêmes qu’au Canada. C’est plus difficile de protéger de multiples réseaux et de sécuriser l’environnement dans cette situation.
La base, dans ce cas-ci, est de sécuriser les outils de travail (comme les téléphones cellulaires) avec des mots de passe robustes. Imaginez seulement si vous perdiez votre téléphone et que celui-ci se retrouvait dans les mains d’une personne mal intentionnée. Sans code ni mot de passe, la personne pourrait accéder à votre application Teams, discuter avec vos collègues, accéder à vos courriels et aux fichiers de l’entreprise.
Le défi est donc assez grand pour les PME, surtout avec la modification à la loi 64, qui entrera graduellement en vigueur dès 2022. Cette loi obligera les organisations à se doter d’une politique et d’un plan stratégique pour protéger leurs données.
2. Comment sécuriser l’environnement de télétravail aux niveaux des données d’une entreprise ?
Le secret, c’est un mariage heureux entre l’humain et la technologie, dans lequel l’un prévient et l’autre réagit !
Lorsqu’on analyse les cyberattaques, on se rend compte de ceci : la grande majorité a comme point de départ… une erreur humaine. Le secret, c’est de sensibiliser les employés à adopter un bon comportement numérique. Ils doivent suivre des formations pour comprendre le mécanisme des attaques et les dirigeants doivent communiquer avec eux régulièrement. Des employés alertes et conscients de leurs gestes en ligne, c’est la meilleure prévention pour économiser de nombreux dollars !
Malgré tout ce travail d’une importance capitale, des erreurs peuvent survenir. C’est ici que la technologie entre en jeu pour réagir et protéger avec l’utilisation d’un réseau privé virtuel (VPN), le blocage de certains sites à risque (comme Facebook) et la mise en place de politiques de gouvernance. On suggère aussi de partager vos documents sur une plateforme sécurisée plutôt que par courriel. Un transit non sécurisé (le trajet de votre courriel) pourrait mettre à risque la confidentialité de vos documents.
Dans tous les cas, il faut réussir à instaurer une culture de discussion. Dans le doute, invitez vos employés à poser des questions, à être vigilants.
3. Quelles sont les conséquences d’un environnement de télétravail non sécurisé ?
Le plus grand danger d’une cyberattaque, c’est l’impossibilité d’accéder aux données et aux documents de votre entreprise. Si vous n’y avez pas accès, dites-vous que le pirate informatique y a accès, lui ! Et qu’il peut vous faire chanter et publier vos données !
Imaginez que la recette de vos petits gâteaux au chocolat et à la vanille se trouvait sur votre environnement infonuagique. Cette recette vous permet de vendre des millions de gâteaux partout au pays. Un matin, avant d’entamer votre production quotidienne, vos employés tentent d’ouvrir le document. Il est soit introuvable, soit corrompu, soit doté d’un message du pirate qui demande une rançon en échange de vos données.
Vous avez deux choix : payer la rançon et retrouver l’accès à vos fichiers ou ne pas payer et mettre en branle votre plan de protection. Quoi faire ?
Évidemment, on ne conseille pas de payer pour retrouver vos données. Le pirate saura que vous êtes prêt à payer pour récupérer vos informations. Aussi, aucune garantie ne prouve qu’il quittera vos systèmes informatiques. Vous êtes ainsi à risque de revivre la même histoire, avec des demandes financières de plus en plus importantes.
D’un autre côté, si vous ne payez pas, vous devez détenir une sauvegarde de vos données à jour. Le tout pour que votre entreprise puisse continuer d’opérer.
4. Prenez l’habitude de créer des sauvegardes.
Vous n’avez pas de sauvegarde ? Ouf… vous devrez faire aller votre mémoire très fort, payer la rançon ou faire appel à des experts. Dans le but de vous aider à trouver et sortir l’élément malicieux qui se trouve dans votre réseau.
Bon, évidemment, l’exemple se veut simpliste et n’est pas lié directement au télétravail. Mais il permet d’imager et de mieux comprendre l’importance de sécuriser l’environnement de télétravail.
Dans tous les cas, il faut connaître la valeur de vos données pour savoir quoi protéger (et à quel niveau le faire). On a d’ailleurs abordé ce sujet dans notre article sur la catégorisation des actifs.
Les conséquences d’un environnement non sécurisé peuvent aller jusqu’à une perte d’emploi si l’entreprise devait fermer à la suite d’une attaque.
Un bon comportement numérique de la part de chaque membre de l’équipe est donc primordial pour minimiser les risques d’une attaque. La sensibilisation et la formation sont des éléments clés pour y arriver. Assurez-vous aussi d’être bien outillé pour faire face aux cyberattaques et validez vos protections actuelles, vous en détenez peut-être sans même le savoir.