Le télétravail généralisé pose de nouveaux enjeux en matière de sécurité informatique. À défaut d’avoir formé tous les salariés contre les cyber-menaces, il est possible de leur proposer une série de bonnes pratiques à mettre en place rapidement et facilement.
Avec la généralisation du télétravail, de nouvelles questions se posent en matière de cybersécurité. Pour l’employeur, il s’agit d’assurer un accès à distance à son réseau le plus sécurisé possible. Mais aussi de faire en sorte que les salariés eux-mêmes adoptent de bonnes pratiques ; sachant que 60 à 80 % d’entre eux utilisent actuellement leurs propres appareils.
Car les menaces informatiques se sont multipliées avec la pandémie. “Depuis le premier confinement, de nombreuses entreprises sont la cible de hackers. Cela vient notamment d’un mélange vie pro – vie perso problématique, et des négligences des salariés”, observait Eric Freyssinet, chef du Pôle de lutte contre les cybermenaces de la Gendarmerie nationale, lors d’une table ronde organisée récemment par le département de la Gironde.
En 2020, le nombre de cyber-attaques a augmenté de 20 %. En premier lieu, les “ransomwares”, qui consistent à empêcher l’accès aux données de l’entreprise en les chiffrant, contre une rançon. Ces attaques ont augmenté de 120 %. Viennent ensuite les chevaux de Troie et le “phishing”. “Les hackers se sont adaptés et exploitent les vulnérabilités liées au manque de vigilance des salariés”, note Eric Freyssinet. Selon lui, “plus personne n’est à l’abri de se faire pirater. Parce que nous sommes tous connectés”.
Au printemps 2020, la moitié des télétravailleurs n’avaient pas été formés contre les cyber-menaces. “Ce chiffre a probablement baissé. Mais il reste primordial de sensibiliser les salariés, et de leur apprendre les bonnes pratiques à adopter, rapidement et facilement, pour travailler de chez soi en toute sécurité”, indique Véronique Brunet, déléguée Bourgogne-Franche-Comté à l’Agence nationale de la sécurité des systèmes d’information. (1)
LIRE AUSSI : “Face aux cyberattaques et au risque de black-out, peu d’entreprises sont prêtes”
Choisir les bons mots de passe
“Pour protéger vos informations, choisissez des mots de passe difficiles à deviner ou à retrouver à l’aide d’outils automatisés. Avec 12 caractères de type différent, n’ayant aucun lien avec vous et ne figurant pas dans le dictionnaire”, recommande Véronique Brunet. Ces codes devront être changés tous les trois mois, et si possible, ne pas être stockés quelque part.
Deux techniques simples peuvent vous aider à définir vos mots de passe : la méthode phonétique (“J’ai acheté 5 CDs pour cent euros cet après-midi” : ght5CDs%E7am) et celle des premières lettres : “Allons enfants de la patrie, le jour de gloire est arrivé” : aE2lP,lJ2Géa)
Attention aux e-mails
Afin d’éviter de propager un virus sur votre ordinateur, puis sur le serveur de votre entreprise, la prudence est de mise face aux e-mails. “Évitez d’ouvrir des messages quand vous n’êtes pas sûr de leur provenance, et/ou quand leur forme est douteuse (fautes d’orthographes, logos pixellisés). Mais les courriels frauduleux sont de plus en plus difficiles à détecter. En cas de doute, n’hésitez pas à vérifier directement auprès des personnes qui vous les ont, en apparence, envoyés”, conseille Véronique Brunet.
LIRE AUSSI : 52 % des télétravailleurs n’ont pas été formés contre les cyber-menaces
Mettre à jour ses logiciels
Selon NortonLifeLock, 42 % des télétravailleurs en BYOD mettent rarement à jour leurs logiciels. “Les cyber-attaquants exploitent des vulnérabilités connues de votre système d’exploitation ou de vos programmes informatiques, pour prendre la main sur votre PC. Les mettre à jour est indispensable. En particulier les anti-virus”, indique Pascal Morel, DSI chez Baron Rothschild.
Sécuriser son smartphone et ses objets connectés
L’expert insiste aussi sur l’importance des mises à jour sur nos smartphones : “Peu de personnes prennent la peine de sécuriser leur téléphone. Or, c’est la première chose que l’on va vous voler dans la rue, et il s’agit d’un outil très peu sécurisé face aux hackers”. Il conseille aussi de ne télécharger que des applications “vérifiées”, sur les boutiques officielles et les sites des éditeurs.
La même prudence est de mise avec les objets connectés. De votre réseau Wi-Fi à vos caméras de surveillance connectées. “Ces appareils sont très vulnérables”, observe Véronique Brunet. Pour les sécuriser, elle conseille là encore de changer les mots de passe (notamment la clé inscrite sous la box WiFi) et de mettre ces équipements à jour.
LIRE AUSSI : Cybersécurité : Suite aux confinements, les entreprises étoffent leurs équipes
Chiffrez vos données
Pascal Morel conseille en outre de chiffrer ses données. Afin de les rendre illisibles en cas de piratage. Pour cela, activez cette fonctionnalité sur votre téléphone, s’il ne le fait pas déjà d’office. Dans le cas d’un ordinateur, il est possible d’utiliser des “systèmes de cryptage pour les e-mails et le transfert de données lorsque vous vous connectez au réseau de l’entreprise”, indique le DSI. “Si le matériel est fourni par l’employeur, il doit de son côté mettre en place un réseau privé virtuel (VPN), afin que ce qui passe entre le domicile et le site central soit chiffré”, ajoute-t-il.
Faire des sauvegardes régulières
Les experts conseillent enfin d’effectuer régulièrement des sauvegardes de ses données. “Si vous le faites sur un disque dur externe déconnecté du réseau (et du Wi-Fi), vous saurez bien plus facilement vous remettre d’aplomb après une attaque”, indique Véronique Brunet.
Il est aussi possible d’utiliser des plates-formes de “cloud”. Mais, explique l’experte, “il faut garder à l’esprit que ces sites peuvent être la cible d’attaques et qu’ils impliquent des risques pour la confidentialité des données, leur disponibilité et leur intégrité”.
“Attention : les sauvegardes fonctionnent souvent très bien, jusqu’au moment où l’on veut les restaurer. Il ne suffit pas d’en faire, il faut aussi les tester régulièrement”, prévient Pascal Morel.
(1) À noter que l’Anssi en propose une liste dans un “guide” destiné aux dirigeants, ainsi que dans un Mooc ouvert à tous.