L’hybridation en voie de pérennisation conduit à un exercice des missions à domicile, en mode nomade (train, avion, bibliothèque, restaurant, salle d’attente…) ou dans des tiers lieux (co-working). La distanciation physique avec le lieu habituel de travail et l’utilisation accrue d’outils en réseau, confronte les organisations à des risques émergents : cyberattaques, vol de données, fraude interne.
La cybersécurité est ainsi devenue un enjeu stratégique et managérial (cyber-attaques, fuite de données, demandes de rançons, stress numérique) : celle-ci repose avant tout sur la prise en compte du facteur humain comme le reconnaissent les groupes de travail de place (CESIN, CLUSIF) ou même les autorités (ANSSI).
La généralisation des technologies de l’information questionne leur utilisation par les salariés que ceux-ci aient à faire face à des malveillances externes ou encore à des situations de négligence pour lesquelles ils doivent rester vigilants. Ces derniers peuvent en effet les utiliser à des fins personnelles et ainsi s’exposer à des utilisations malveillantes en négligeant les consignes élémentaires de protection des données (non-utilisation d’un VPN, travail à la vue de tous en dehors de l’entreprise…).
L’utilisation de matériel personnel accroit la vulnérabilité des systèmes d’information et multiplie les risques de fuite de données et de fraudes. Pour ces raisons les organisations doivent autant que possible prendre en compte des pratiques telles que le BYOD (Bring your own device) ou encore le shadow IT (capacité des acteurs d’une organisation à intégrer des systèmes d’information dans l’organisation à des fins personnelles ou professionnelles sans connaissance de ces situations par les équipes en charge des systèmes d’information). Ces pratiques doivent être encadrées et il n’est pas question de tout interdire, il est essentiel de poser un cadre d’acceptation ou de refus de situations à risque.
Au-delà des conséquences en termes de contentieux tant au civil qu’au pénal, ces cyber risques peuvent mettre en péril la pérennité de l’activité de l’entreprise en danger.
Le risque de cybermalveillance
Certains outils disponibles gratuitement sur Internet présentent des failles de sécurité (Février et Lasmoles 2021). On distingue alors des risques à domicile liés à la sinistralité numérique (pannes, accidents, incendies, inondations, coupures électriques…) accidentelle ; et des atteintes volontaires (cyberattaques). Exemple : un collaborateur en distanciel a bien plus de chance de se laisser distraire par un sms malveillant (smshing) ou un phishing (hameçonnage par mail). De même, le risque d’erreur de destinataire a plus de chance de survenir en l’absence de garde-fous : présence managériale, collègue à qui faire part d’un doute. Cela peut provoquer une atteinte aux libertés fondamentales (usurpation d’identité, vol de données, utilisation des réseaux sociaux, absence de droit à l’oubli, cybercriminalité, …). Ces risques résultent de comportements humains intentionnels ou non, ou de problèmes matériels.
Le risque de fraude interne
La fraude interne est un risque identifié par les organisations. L’ACFE (Association of Certified Fraud Examiners) définit la fraude comme « l’utilisation de sa profession à des fins d’enrichissement personnel par l’utilisation abusive délibérée ou le détournement des ressources ou des actifs de l’organisation qui l’emploie ». La mise en œuvre du télétravail généralisé a particulièrement favorisé la fraude interne.
Les fraudeurs encourent des sanctions pouvant aller de l’avertissement jusqu’au licenciement, un dépôt de plainte, une notification aux autorités de régulation. Dans le domaine de la sécurité des informations, ces fraudes peuvent concerner différents cas : un collaborateur exfiltre des données en masse depuis un espace partagé en cloud, un collaborateur supprime des données en masse des serveurs internes pour se venger de son management, un collaborateur exfiltre des données confidentielles en les intégrant dans le format image de sa signature mail de sorte de ne pas alerter contrairement au cas de l’exfiltration soudaine et massive (exfiltration à bas bruit dans ce cas).
Il peut aussi s’agir de situations dans lesquelles le patrimoine informationnel de l’entreprise est aussi la cause de la fraude : un alternant d’une société de sécurité de l’information s’est ainsi servi de ses accès[1] à des informations clés pour fournir à des tiers malveillants des informations sensibles utilisées dans le contournement de logiciels antivirus et ayant permis des attaques cyber sur des entreprises. Ainsi, les risques engendrés par l’utilisation des nouvelles technologies en télétravail sont nombreux : risques de perte de données stratégiques, économiques et commerciales, pertes et diffusion de données personnelles (collaborateurs, clients), crises de continuité d’activité (perte d’exploitation) et de réputation consécutive à un acte de négligence interne ou de malveillance interne/externe donnant lieu à une violation de données (Ben Jabeur, Serret, 2019).
Quelles sont les solutions ?
- Sensibilisation des collaborateurs : formations, rappels réguliers, tests de hameçonnage. (La connaissance de la réglementation en vigueur et des sanctions encourues, peut permettre un premier niveau de sensibilisation).
- Mise en place d’outils de protection ( pare-feu ou « firewall » ; le « check-point Charly » et les proxys).
- Mise en place de la méthode EBIOS Risk Manager peut faire émerger des solutions face à des menaces et vulnérabilités.
- Renforcement du contrôle interne.
- Rappels réguliers des règles internes et bonnes pratiques (PSSI, charte des comportements TIC, sensibilisation phishing, serious game, limitation des heures de connexion avec blocage soir et weekend).
- Rédaction de chartes, guides de bonnes pratiques.
- Communication en amont de l’arrivée du salarié avec une annexe informative au contrat de travail (de type charte d’utilisation/charte informatique) ; un point à la fin de la période d’essai ; un rappel à chaque entretien annuel.
- Mise en place de comités d’audit.
Au-delà de la responsabilité des managers et de la mise en œuvre d’outils et de sensibilisation, on veillera à impliquer les collaborateurs davantage dans la prévention. On s’attachera à développer une culture autour de la cybersécurité, les collaborateurs gagnant à s’emparer du sujet au même titre que les managers. Parce qu’il est prévisible, le risque cyber peut devenir maîtrisable. Les organisations ont tout intérêt à s’emparer du sujet dans le cadre de comités de suivi de télétravail par exemple.
[1] https://www.it-connect.fr/auteur-dun-shellcode-redoutable-cet-alternant-de-chez-orange-cyberdefense-file-en-prison/
Pour aller plus loin
Surcharge mentale, fatigue chronique, burn-out… Les ravages de l’hyperconnexion décryptés
L'hyperconnexion entraîne des effets pervers qui touchent autant les salariés que les entreprises. Multitâche, interruptions constantes, mails nocturnes… Ces pratiques, désormais banalisées, nuisent à l’efficacité au travail et à la santé des collaborateurs. Elles menacent aussi l’équilibre entre vie professionnelle et vie personnelle. Découvrez les conseils de Paul Brazzolotto, docteur en psychologie cognitive chez Cog'X, pour préserver votre bien-être et mieux travailler. Il explique aussi le rôle crucial des managers dans la mise en place de pratiques qui favorisent une utilisation plus saine des outils numériques.
29 novembre 2024
Web Summit 2024 : Lisbonne au cœur de l’innovation mondiale
Le 11 novembre prochain, Lisbonne se transformera une nouvelle fois en capitale mondiale de la technologie avec l'ouverture du très attendu Web Summit 2024. Ce rassemblement, qui attire chaque année des milliers de professionnels du numérique, d’investisseurs et de journalistes, marque une étape clé dans l'agenda de l'innovation mondiale. Cette édition, riche en nouveautés et en questionnements, reflète les profondes transformations et les défis contemporains de la tech.
23 octobre 2024
