Avis d'expert : "Télé travail et sécurité", par Christophe Auberger
Les collaborateurs qui travaillent depuis leur domicile sont de plus en plus nombreux. Et pourtant, les entreprises négligent trop souvent leurs besoins en termes de sécurité, constate Christophe Auberger, Directeur Technique France de Fortinet (Sophia), l'un des leaders mondiaux de la sécurité réseaux. Voici quelques-unes des meilleures pratiques qu'il préconise pour renforcer la sécurité des espaces de travail distants.
La tendance du BYOD, omniprésente et en fort développement, tend parfois à faire oublier qu’elle est bien plus récente que le télétravail. Même si certains acteurs, comme Yahoo!, naviguent à contre-courant, force est de constater que la plupart des entreprises offrent la possibilité à leurs collaborateurs de travailler de chez eux, et qu’elles s’octroient, en parallèle, des économies liées à des gains d’espace. Les télétravailleurs apprécient également la souplesse et le gain de temps que leur apporte un tel mode de travail, tandis que les employeurs valorisent les économies réalisées et les gains de productivité chez les collaborateurs.
Même les entreprises qui ne sont pas forcément adeptes de ce travail à distance comptent néanmoins dans leurs rangs des télétravailleurs : des collaborateurs en déplacement, ceux contraints de rester au chevet d'un enfant malade ou ceux qui cherchent simplement à gagner quelques heures de productivité.
L’analyste Gartner a confirmé, lors d'une étude publiée en juin 2014, que l'ordinateur de bureau n'était pas mort. Parmi les 40 % qui ont déclaré utiliser des dispositifs personnels dans le cadre du travail, l’équipement favori reste l'ordinateur de bureau, généralement installé dans un bureau à domicile. D’où un impératif pour les entreprises : elles se doivent de considérablement renforcer la sécurité des bureaux de leurs travailleurs distants.
Penchons-nous un instant, sur les composantes d'un bureau à domicile moderne. Pour certains, il s'agit d'un espace aménagé et dédié à la maison, équipé d’un ordinateur de bureau dont les enfants n'ont que faire, puisqu'ils disposent souvent du dernier bijou technologique d’Apple. D'autres préfèrent travailler à la bibliothèque municipale ou confortablement installés depuis leur café préféré. Dans le monde mobile tel que nous le connaissons, les « bureaux à domicile » se déploient n'importe où, bien au-delà des limites de l'entreprise.
Pour sécuriser un bureau à domicile, il faut privilégier une approche globale à la protection des terminaux et de l'accès distant, au lieu de se cantonner à une simple clé WEP pour l’accès au routeur sans fil. Voici quelques-unes des meilleures pratiques qui renforcent la sécurité des espaces de travail distants :
1. Utiliser un VPN
L’élément essentiel ! Peu importe la méthode d'accès aux ressources de l'entreprise, si un tunnel VPN adéquat est mis en place, les données seront protégées. Certains VPN sont même proposés sous forme de services afin de sécuriser les sessions mobiles sur un réseau WiFi public. Toutefois, l'installation d'un VPN propre à l'entreprise est très facile, rentable et beaucoup plus sure que les VPN dans le cloud.
2. Installer un antivirus à jour sur le dispositif client
La protection doit être multicouche pour être efficace, au sein des réseaux d'entreprise comme en dehors. Mais il peut s'avérer ardu de demander aux utilisateurs de se protéger eux-mêmes, ainsi que les réseaux de leur employeur. La mise à jour de l'antivirus ou l'installation de patchs sur le système d’exploitation n’est vraiment pas une priorité pour eux. D’où l’intérêt d’un système de mise à jour automatique au-delà du réseau de l'entreprise, à l’intention des télétravailleurs.
3. Éviter l'utilisation des plateformes de stockage cloud grand public
Les solutions de partage de fichiers dans le cloud, dont Dropbox et Google Drive, sont de plus en plus complètes et conviviales. Les utilisateurs ont ainsi tendance à charger leurs fichiers professionnels dans le cloud, aux côtés d’une recette de tarte aux pommes de grand-mère ou des photos des dernières vacances. Malheureusement, lorsqu'un collaborateur quitte l'entreprise, son employeur n'a aucun moyen de vérifier que les données professionnelles ont bien été supprimées de son ordinateur... ou dans son cloud. Mieux vaut, dès lors, bloquer l'accès à ce type de services lorsque le télétravailleur se trouve sur le réseau. L'entreprise profite ainsi d'un niveau de protection et de contrôle supplémentaire. Dans certains secteurs d'activité, c'est d’ailleurs une obligation légale.
4. Proposer des plateformes sécurisées de collaboration pour éviter les supports de stockage amovibles
Si les utilisateurs ne chargent plus leurs fichiers sur leur propre espace de stockage cloud, ils seront tentés de les sauvegarder sur des clés USB ou supports amovibles divers pour pouvoir y accéder chez eux. Les failles de ce type de systèmes sont connues et peuvent être lourdes de conséquences. Quelle est donc la solution ? Proposer des outils professionnels autorisant la synchronisation, le partage des fichiers et la collaboration à l'échelle de l'entreprise, en toute sécurité, afin de résister à la tentation d'utiliser les clés USB ou un cloud personnel.
5. Sécuriser l'environnement dès que possible
Il est impossible de se rendre chez tous les télétravailleurs pour installer un point d'accès et en centraliser la gestion comme on le ferait pour un réseau d'entreprise. Pour pallier ce problème, les utilisateurs peuvent être incités à utiliser un chiffrement complexe pour leur routeur à domicile. Même si vous devez assister l'utilisateur lors de la configuration ou proposer un point d'accès 4G (qui offre de série ce type de protection) à un prix préférentiel, c'est une étape nécessaire pour sécuriser les réseaux à domicile.
6. La sécurité, ça s'apprend
Les professionnels de la sécurité, comme les pirates, n'ont pas une connaissance innée des réseaux. Il est donc illusoire de penser que tous les collaborateurs sauront, comme par magie et sans formation préalable, éviter les plus récentes tentatives de phishing et les logiciels malveillants. Malheureusement, la majorité des entreprises l'oublient trop souvent et préfèrent se fier aux pare-feux, aux systèmes de prévention des intrusions et aux antivirus pour protéger leurs réseaux.
Le point faible de toute infrastructure est en fait… l’utilisateur. Même les entreprises dotées des mesures de sécurité les plus agressives peuvent être mises à mal par des utilisateurs qui, ignorant les techniques d'ingénierie sociale, sont susceptibles de divulguer un mot de passe ou d’introduire des logiciels malveillants sur le réseau.
6 ½. Établir un cadre et des règles
Il s'agit d'une demi règle en fait, car ce devrait être une évidence pour chaque entreprise. Toutefois, les dernières études suggèrent que la plupart d’entre elles ne disposent d'aucun règlement écrit régissant les dispositifs personnels, les bureaux à domicile ou l'accès distant aux réseaux et données de l'entreprise. Mais peut-être devrait-il en faire leur règle n° 1 : un règlement complet et bien pensé, pouvant être respecté à la lettre par l'équipe informatique et les collaborateurs, constitue une condition sine qua non à la sécurité. En effet, la technologie, aussi performante soit-elle, devient vulnérable sans un règlement qui l’encadre.
Christophe Auberger
- Voir les autres avis d'expert de Christophe Auberger : Tag Auberger