On dit souvent que le facteur humain est le maillon le plus faible de la cybersécurité en entreprise. Cela explique certainement pourquoi le phishing fait partie des attaques les plus fréquentes. Face au recours massif au télétravail durant la crise sanitaire, l’exposition des entreprises aux risques s’est amplifiée. Au-delà de la gestion quotidienne de l’infrastructure, les équipes IT doivent également pallier certains comportements à risque des collaborateurs, ce qui s’avère parfois être un véritable casse-tête en matière de sécurité.
Il n’y a pas deux salariés identiques
Dans le contexte actuel, pour garantir la sécurité de l’entreprise, les responsables informatiques doivent savoir où se situent les risques potentiels et être en mesure de les endiguer en prenant des mesures concrètes.
Pour ce faire, il est important qu’ils prennent en compte l’attitude des collaborateurs vis-à-vis de la cyber-sécurité. Et en l’occurrence, d’une personne à l’autre, les comportements sont parfois radicalement différents. Experte indépendante britannique en cyber-psychologie, le Dr Linda K. Kaye distingue quatre grands profils de collaborateurs au sein des organisations : les stressés, les bons élèves, les naïfs et les téméraires. Les identifier et comprendre leur fonctionnement permet aux équipes IT de définir une approche spécifique et plus efficace en matière de formation et de sensibilisation.
Une bonne nouvelle toutefois : il semblerait que le fait de travailler isolé de ses collègues et responsables hiérarchiques favorise une réelle prise de conscience vis-à-vis des enjeux de sécurité. Comment cela se traduit-il ?
Les salariés ont notamment réalisé l’importance d’utiliser les plates-formes autorisées par l'entreprise pour envoyer des fichiers et sont conscients qu’utiliser une application non-professionnelle constitue un risque pour la sécurité de leur entreprise. Dans le contexte actuel, il s’agit de suivre attentivement les instructions de la direction informatique, ce que les collaborateurs semblent davantage enclins à appliquer. Certainement une manière pour eux d’admettre qu’ils ont leur part de responsabilité dans la sécurité de l’entreprise…
Toutefois, la sécurité est aussi une question de bon sens. Cliquer sur des e-mails suspects, surtout les plus attrayants, constitue une importante prise de risque et la quasi-assurance d’un mail frauduleux. Cette règle d’or s’applique à la fois dans la sphère privée et, à plus forte raison, dans le cadre professionnel.
Encore un long chemin à parcourir
Malgré cela, un grand nombre de mauvaises pratiques de sécurité demeurent ancrées dans les habitudes des collaborateurs en situation de télétravail. Répétées, elles pourraient exposer les entreprises à de graves risques : vol de données, intrusion des systèmes, piratage, arrêt de la chaîne de production, etc. Parmi ces mauvaises pratiques, citons notamment :
- Connexion WiFi et travail à distance :
En choisissant de se connecter au WiFi public, sans utiliser le VPN de l'entreprise, le collaborateur prend le risque de se faire dérober à la fois ses mots de passe et son historique de navigation. Une attitude insouciante, et d’autant plus lorsque le salarié travaille sur des documents sensibles à la vue de tout public, sans utiliser de filtre de confidentialité sur leur écran.
- Exposition des PC professionnels aux menaces en ligne :
Une grande majorité de collaborateurs admet se servir de son PC professionnel à des fins personnelles (80%). Même si ce n’est qu’en de rares cas de déplacement, une telle activité représente une porte d’entrée potentielle pour les malwares présents sur des sites torrent, des apps stores non approuvés ou des sites de contenu pour adultes.
- Appareils personnels utilisés pour accéder aux données professionnelles :
Les salariés utilisent souvent des appareils personnels potentiellement moins bien protégés pour accéder au système de l'entreprise.
- Shadow IT et applications non-professionnelles :
Nombreux sont ceux qui téléchargent des données d'entreprise sur une application non-professionnelle. Bien qu'il puisse s'agir d'applications légitimes, le fait qu'elles ne soient pas autorisées par le service informatique aggrave les défis de visibilité et de contrôle associés au shadow IT.
Heureusement, même dans un contexte du télétravail, les entreprises peuvent prendre des mesures pour atténuer les comportements à risque de leurs salariés.
Les responsables sécurité doivent à la fois définir des politiques strictes sur l'utilisation acceptable de l’IT (BYOD, gestion des accès, évaluation du risque en fonction de la sensibilité ou de la criticité des données) et renforcer la sensibilisation pour s’assurer de gérer au mieux les enjeux liés au télétravail. Cela passe par une formation aux meilleures pratiques de sécurité, y compris sur la façon de détecter les attaques de phishing, par le biais d’exercices pratiques et des simulations induisant à terme des changements de comportement.
Dans le cadre de la pandémie actuelle, le home office est appelé à devenir la norme pour un certain temps. La précipitation initiale relative à la mise en oeuvre des installations de télétravail s'étant calmée, il est désormais temps de planifier sérieusement les mesures pour atténuer les risques mis en évidence par ce nouveau contexte.
Cela signifie également que les entreprises doivent profiter de cette réorganisation forcée pour auditer le niveau de sécurité de leur infrastructure (serveurs, moyens d’accès, espaces partagés, logiciels utilisés, postes de travail des collaborateurs), tout en mettant en œuvre des campagnes de sensibilisation permettant de responsabiliser les salariés. Il n’y a qu’en menant de front c’est deux axes que l’entreprise renforcera sa protection contre toute tentative de cyber-attaque !