Télétravail : les bases de la cybersécurité pour les entreprises qui comptent des salariés à distance
Aujourd’hui, près d’une entreprise française sur deux (47 %) a recours au télétravail, et un tiers des salariés français travaillent au moins une fois par semaine depuis leur domicile[i].
Si l’intérêt pour les salariés (bien-être, économies sur les frais de transport), l’entreprise (baisse des coûts, amélioration de la productivité) et la planète (moins de déplacements) est évident, le télétravail augmente forcément le risque « cyber »[ii] :
- 82 % des professionnels de l’IT estiment que l’exposition de leur entreprise aux cyberattaques a augmenté avec le télétravail ;
- 67 % des entreprises qui comptent massivement sur le travail à distance ont déjà subi une cyberattaque ;
- Les télétravailleurs sont plus susceptibles de tomber dans le piège du phishing que les salariés en présentiel, car ces derniers peuvent demander l’avis d’un collègue ou du responsable informatique au moindre doute.
Votre PME compte sur le télétravail ? Voici nos conseils pour neutraliser le risque « cyber » qui accompagne généralement cette transition.
#1 Mettre en place une politique de mots de passe robuste pour les accès à distance
Établissez une politique de mots de passe stricte pour tous les accès à distance aux systèmes de l’entreprise. Exigez des mots de passe d’au moins 12 caractères, qui combinent des lettres majuscules et minuscules, des chiffres et des symboles.
Imposez des mots de passe uniques pour chaque compte et leur changement régulier, idéalement tous les 3 mois. Encouragez l’utilisation de gestionnaires de mots de passe sécurisés pour faciliter la gestion de multiples mots de passe complexes.
Assurez-vous que cette politique s’applique à tous les outils et plateformes utilisés en télétravail : VPN, les systèmes de messagerie, le Cloud (Google Drive par exemple), les accès à la plateforme bancaire, etc.
Ce que vous risquez sans cette action
Sans une politique de mots de passe robuste, les accès à distance deviennent vulnérables aux attaques. Des mots de passe faibles ou réutilisés peuvent être facilement compromis par des techniques comme la Brute Force ou le phishing, qui a touché 30 % des entreprises françaises en 2023 selon le 9e baromètre de la cybersécurité des entreprises réalisé par le CESIN et OpinionWay.
Vous exposez vos données clients, vos documents internes et le compte bancaire de l’entreprise aux pirates informatiques qui sont de plus en plus nombreux à cibler les TPE/PME pour atteindre des entreprises plus imposantes par rebond.
Dans le contexte du télétravail, où les employés se connectent souvent depuis des réseaux peu sécurisés, le risque est amplifié.
#2 Utiliser un VPN (réseau privé virtuel) pour toutes les connexions à distance
Déployez un VPN d’entreprise et exigez son utilisation systématique pour tous les employés en télétravail. Configurez le VPN pour qu’il se lance automatiquement dès que le collaborateur allume son ordinateur ou son smartphone professionnel.
Choisissez un VPN qui supporte des protocoles de chiffrement forts comme OpenVPN ou IKEv2/IPsec. Assurez-vous que le VPN propose une fonctionnalité de « Kill Switch » qui coupe l’accès internet si la connexion VPN est interrompue pour une raison quelconque (instabilité du réseau, perte du signal Wifi, etc.).
Sensibilisez vos collaborateurs à l’importance de vérifier régulièrement que le VPN est actif avant d’accéder aux ressources de l’entreprise.
Ce que vous risquez sans cette action
Sans VPN, vos données circulent « à découvert » sur le web, surtout depuis un réseau Wifi peu sécurisé.
Dans les cafés, les espaces de coworking ou même certains réseaux Wi-Fi d’hôtels, des pirates installent des points d’accès factices ou compromettent les réseaux existants. Ils peuvent ainsi intercepter les emails, documents et données que vos collaborateurs envoient ou reçoivent pour ensuite les utiliser à des fins de phishing ou d’usurpation d’identité.
D’un autre côté, les box internet résidentielles sont souvent mal sécurisées. Un pirate qui « opère » dans le voisinage pourrait plus ou moins facilement exploiter ces failles pour espionner le trafic de vos collaborateurs en télétravail. Au-delà du risque sur votre réputation, vous vous mettez en violation du RGPD, avec des sanctions financières élevées (jusqu’à 4 % de votre chiffre d’affaires).
Ces interceptions permettent aux pirates de récupérer les identifiants de connexion à vos outils professionnels (messagerie, CRM, et surtout accès bancaires). Sur ces réseaux non sécurisés, les pirates peuvent plus facilement injecter des malwares dans les appareils de vos collaborateurs, par exemple de type « ransomware ». Ces logiciels malveillants vont ensuite se propager à l’ensemble de votre réseau d’entreprise lors de la prochaine connexion au bureau.
Vos fichiers (factures, devis, documents comptables) deviennent alors verrouillés par un mot de passe mis en place par le pirate informatique qui demandera une rançon pour débloquer l’accès.
#3 Mettre à jour régulièrement tous les logiciels et systèmes
Instaurez une routine de mises à jour pour tous les appareils utilisés en télétravail (et les autres). On parle ici à la fois des systèmes d’exploitation (Windows, MacOS, iOS, Android) et des logiciels du quotidien. N’oubliez pas vos outils métiers : logiciels de gestion, CRM, applications comptables, etc.
Activez les mises à jour automatiques partout où cela est possible, surtout pour les systèmes d’exploitation et les navigateurs. Pour les autres logiciels, chargez un collaborateur de vérifier régulièrement les mises à jour (si vous n’avez pas de responsable informatique).
Ce que vous risquez sans cette action
En négligeant les mises à jour sur les appareils à distance, vous laissez la porte grande ouverte aux pirates informatiques qui peuvent facilement exploiter les failles connues sur les versions obsolètes des logiciels.
Par exemple, une faille dans votre logiciel de comptabilité pourrait permettre à un hacker de fouiller dans vos données financières. Il pourra par exemple modifier discrètement vos coordonnées bancaires sur vos factures pour détourner les paiements de vos clients vers son propre compte.
#4 Sécuriser les appareils personnels utilisés pour le travail à distance
Ce n’est pas forcément recommandé, mais force est de constater que certaines entreprises qui emploient des collaborateurs à distance leur imposent d’utiliser leurs propres appareils pour travailler. Cette pratique, appelée BYOD (Bring Your Own Device), est certes plus économique, mais le risque « cyber » est décuplé.
Si vous êtes dans ce cas, établissez une politique claire pour l’utilisation des appareils personnels. Exigez l’installation d’un antivirus professionnel sur tous les appareils. Fournissez des licences si nécessaire.
Faites en sorte d’imposer la séparation des données personnelles et professionnelles. Utilisez des solutions de conteneurisation qui isolent les applications et données de l’entreprise sur l’appareil personnel. On vous recommande d’utiliser le partage d’écran avec le salarié à distance pour lui expliquer la démarche et vérifier sa mise en œuvre.
Mettez en place un court guide des bonnes pratiques pour ces salariés : ne pas installer d’applications tierces douteuses, ne pas prêter leur appareil à des tiers, signaler immédiatement la perte ou le vol d’un appareil utilisé pour le travail, etc.
Vous pouvez enfin mettre en place une solution de gestion des appareils mobiles (MDM) qui vous permettra d’effacer à distance les données de l’entreprise en cas de perte ou de vol.
Ce que vous risquez sans cette action
Sans ces mesures, les appareils personnels deviennent le maillon faible dans votre politique de cybersécurité. Un collaborateur à distance qui télécharge une application malveillante sur son smartphone personnel pourrait involontairement exposer les données de votre entreprise.
Les membres de sa famille qui utilisent son ordinateur personnel pourraient accidentellement supprimer ou compromettre des fichiers importants de l’entreprise, ou cliquer sur un mail de phishing.
En cas de vol d’un appareil non sécurisé, un pirate pourrait facilement accéder à vos emails professionnels, vos documents confidentiels ou même les accès bancaires de l’entreprise si les mots de passe sont enregistrés.
#5 Session de sensibilisation/formation systématique pour les nouveaux télétravailleurs
Mettez en place une session de sensibilisation et de formation d’une heure pour toutes les nouvelles recrues à distance, mais aussi pour les salariés qui passent en télétravail pour la première fois. Voici les points à aborder par visioconférence avec partage d’écran :
- Introduction et contexte (10 min) : présentation des risques spécifiques au télétravail et leur impact potentiel sur l’entreprise. Quelques chiffres sur l’impact des incidents de cybersécurité sur les TPE/PME. Vous pouvez vous appuyer sur notre article ;
- Sécurité du poste de travail (10 min) : configuration du pare-feu personnel et importance des mises à jour régulières. Installation et utilisation de l’antivirus fourni par l’entreprise ;
- Gestion des mots de passe (10 min) : démonstration du gestionnaire de mots de passe recommandé par l’entreprise. Exercice pratique de création d’un mot de passe fort selon les normes de l’entreprise. ;
- Utilisation du VPN (10 min) : installation guidée du VPN de l’entreprise et démonstration de connexion/déconnexion ;
- Sensibilisation sur le phishing (10 min) : présentation d’exemples concrets de mails de phishing ciblant les télétravailleurs. Exercice d’identification des signes suspects dans un email ;
- Bonnes pratiques au quotidien (5 min) : importance du verrouillage de l’écran lors des pauses et du stockage sécurisé des documents. Précautions à prendre lors de l’utilisation du Wi-Fi public ou d’appareils personnels ;
- Procédure en cas d’incident (5 min) : contacts à joindre en cas de problème de sécurité. Étapes immédiates à suivre en cas de suspicion de compromission d’un appareil ou d’un compte.
DFM, le partenaire informatique de votre entreprise
Le télétravail est à la fois un outil d’efficacité opérationnelle (productivité et baisse des coûts), de marque employeur (pour attirer et fidéliser les meilleurs talents) et de RSE (baisse de l’empreinte écologique et amélioration du bien-être des équipes).
Pour actionner ce levier en toute sérénité, DFM vous accompagne avec une offre cybersécurité à 360° :
- Un audit de cybersécurité avec des recommandations sur mesure pour vous protéger à la hauteur des risques encourus ;
- Mise en place d’une défense en profondeur de vos systèmes ;
- Protection des données à la source via un chiffrement performant ;
- Politique robuste d’accès aux données de l’entreprise ;
- Utilisation d’un bureau d’accès distant ;
- Procédure de sauvegarde et de récupération des données ;
- Limitation des transferts d’information.
[i] https://www.sfrbusiness.fr/room/communications-unifiees/teletravail-bilan-et-perspectives.html#:~:text=Les%20chiffres%202023%20du%20t%C3%A9l%C3%A9travail,de%20la%20taille%20des%20organisations.
[ii] https://www.nucamp.co/blog/coding-bootcamp-cybersecurity-how-has-remote-work-impacted-cybersecurity-threats