Comment télétravailler en toute cyber-sécurité ?
La crise du coronavirus a durablement modifié nos habitudes de travail, et on se retrouve parfois perdus pour télétravailler en toute sécurité, voici quelques conseils et bonnes pratiques.
Seald vous propose deux jeux de conseils, un pour les employés, un autre pour la direction.
Conseils aux employés
Nous vivons une période particulière, la cybersécurité semble être le cadet de nos soucis, mais les hackers en profitent, ne nous laissons pas avoir !
1) Être attentif aux tentatives d’hameçonnage et de faux emails
En période de crise, il faut redoubler de vigilance quant aux tentatives d’hameçonnage en tous genres : essayer de vous faire taper vos mots de passe sur des faux sites, essayer de vous faire faire une opération de virement bancaire avec un faux RIB ou une fausse facture, afficher une carte des malades du Covid-19 en installant quelque chose sur l’ordinateur — un virus, etc.
2) Bien gérer ses mots de passe
On dit toujours qu’il ne faut pas utiliser le même mot de passe partout, cela est d’autant plus vrai que des accès distants sont fréquents. Utiliser un mot de passe à plusieurs endroits est un vecteur d’attaques très courant : si un site sur lequel ce mot de passe est utilisé subit une cyberattaque, il y a un risque que le mot de passe utilisé fuite, tous les autres sites partageant ce mot de passe seront potentiellement attaqués immédiatement après.
Il est également recommandé d’utiliser massivement l’authentification multi facteurs, option gratuite de presque tous les services en ligne.
3) Sécuriser le réseau
Sur un réseau domestique, il est important de protéger la communication avec le point d’accès wifi, et donc de s’assurer que celle-ci est correctement protégée :
- s’assurer que la connexion est protégée par du WPA2 (ou WPA3, mais très peu répandu) et non du WEP ou du WPA ;
- s’assurer que les imprimantes domestiques sur réseau ne sont pas en connexion Wi-Fi direct, mais bien connectées au réseau domestique ;
- s’assurer que les paramètres de partage de fichiers sur le réseau des ordinateurs sont désactivés ;
- s’assurer qu’aucun appareil sur le réseau n’utilise un mot de passe par défaut (du type admin / 1234) ;
- débrancher les appareils inutiles du réseau, s’ils sont mal maintenus ils peuvent être vecteurs d’une attaque ;
4) Appeler son support technique en cas de besoin
En cas de besoin de logiciel, de matériel, en cas de doute sur un email ou un fichier, il est préférable d’appeler son support technique ou de faire appel à un professionnel plutôt que d’essayer de trouver une solution tout seul.
5) Ne pas perdre l’habitude de verrouiller sa session
Ce n’est pas parce qu’on est dans un environnement plus protégé qu’il ne faut pas verrouiller sa session quand on n’est pas devant l’ordinateur. Quelqu’un d’autre dans le foyer pourrait — par négligence — ne pas respecter les exigences de sécurité et télécharger un fichier malveillant sans le savoir par exemple.
Conseils pour la direction
Il est indispensable d'armer vos équipes de façon pro-active plutôt que réactive, au risque de voir s'installer durablement des usages à risque. Voici quelques conseils que Seald vous encourage à suivre :
1) S’assurer que tout le monde a le bon matériel
Le télétravail est plus contraignant quand il est prolongé que lorsqu’il est ponctuel. Il est donc bon de s’assurer que les employés ont à leur disposition :
- un poste de travail équivalent en termes de confort à celui utilisé habituellement au travail (chaise de travail, bureau, écran, clavier, souris, etc.) ;
- un ordinateur dédié au travail (ordinateur portable professionnel le plus souvent) ;
- un casque avec micro pour pouvoir passer des appels sans que d’autres personnes entendent la conversation, et pour plus de confort.
Pour équiper ses employés, nous préconisons de permettre aux employés de remonter leurs besoins en matériel aux équipes informatiques et soit :
- de leur permettre de l’acheter eux-mêmes (les règles URSSAF de remboursement en notes de frais sont ici https://www.urssaf.fr/portail/home/employeur/calculer-les-cotisations/les-elements-a-prendre-en-compte/les-frais-professionnels/le-teletravail/les-frais-engages-par-le-salarie.html) ;
- d’acheter le matériel pour le compte des employés et de le faire livrer chez eux ;
- de permettre aux employés d’acheter eux-mêmes avec une plateforme d’achat d’entreprise (Amazon for business par exemple).
2) Mettre à disposition des outils adaptés pour le travail collaboratif
Pour permettre aux employés de travailler en toute sécurité, et pour éviter qu’ils s’emploient à utiliser du shadow IT en masse, plusieurs gammes d’applications sont à mettre à disposition :
- Stockage partagé :
Il est indispensable de donner un outil aux employés pour stocker des fichiers et les partager entre eux, et tracer l’activité. Cela permet de travailler plus rapidement, mais aussi permet d’éviter une perte de données si le poste utilisateur venait à perdre des données (panne, ransomware, erreur de manipulation, etc.).
Des solutions comme Nextcloud, ownCloud ou Seafile peuvent être installées sur vos serveurs ou bien des solutions en SaaS comme SpiderOak ou Tresorit existent. - Signature électronique :
Pour assurer la continuité d’activité dans des départements dépendants de signatures papier (direction, département juridique, etc.), et pour éviter des envois de courrier difficiles en ces temps de confinement il est intéressant de s’équiper de solutions de signature électronique.
Des solutions françaises comme Woleet s'appuyant sur la blockchain bitcoin pour horodater les signatures, ou YouSign plus classique fonctionne très bien. - Visioconférence :
Pour assurer la continuité de la collaboration & des échanges avec les clients, prospects et partenaires, il est impératif d’avoir des outils de visioconférence à sa disposition.
La solution française et sécurisée de visioconférence est Tixéo qualifiée par l’ANSSI, les autres grands du marché sont bien évidemment Zoom.us (bien que décrié), Microsoft Teams, Discord ou encore Appear.in. - Un chat d’entreprise :
Les emails ne sont pas forcément pratiques pour travailler en équipe, une solution de chat d’entreprise est indispensable pour permettre aux équipes de travailler de façon agile, et si vous ne le mettez pas à la disposition des employés, des outils en Shadow IT seront certainement mis en place.
Des outils comme Mattermost ou Matrix sont open-sources et hébergeables sur vos serveurs. D’autres solutions comme Slack ou Microsoft Teams sont également régulièrement utilisées. - Un VPN :
L’intérêt principal d’un VPN d’entreprise est de ne pas exposer les applications de l’entreprise sur Internet, mais seulement dans un Intranet auquel l’employé peut accéder via le VPN. Si un tel Intranet n’est pas en place, l’intérêt d’un VPN reste marginal. Il peut malgré tout protéger les utilisateurs connectés à des réseaux moins bien protégés que les réseaux d’entreprise contre certaines menaces avec un VPN.
Les solutions de VPN du marché sont principalement OpenVPN dont les clients et serveur sont open-source, ou bien des protocoles d’entreprises plus classiques du type L2TP ou PPTP.
3) Restreindre les droits d’accès
Dans un contexte où les accès aux outils, données et documents de l’entreprise se font à distance, il est tentant de donner accès à tout à tout le monde dans le doute, mais cela expose ces données et ces outils à des menaces aussi variées qu’il y a d’environnements de travail. Avec une utilisation imprévisible du shadow IT, un mélange du cadre personnel et cadre du professionnel, des réseaux domestiques potentiellement vulnérables par des appareils connectés moins protégés sur le réseau : les menaces sont plus importantes.
Il est donc bon d’appliquer une politique stricte de restriction de droits d’accès, si un employé n’a pas besoin d’avoir accès à un outil ou une information, il vaut mieux lui en interdire l’accès. Cela évite qu’un seul employé puisse compromettre l’ensemble de l’entreprise.
4) S’assurer que le matériel est correctement protégé pour un usage nomade
Il est bon de recenser l’ensemble des appareils nomades utilisés par les employés dans le cadre professionnel et de s’assurer pour chacun que :
- il est à jour (Windows 7 n’est plus supporté par exemple, à moins d’avoir un contrat de maintenance dédié avec Microsoft), sinon on laisse la porte ouverte à des attaquants sur des failles déjà connues et exploitées, et en particulier sur des appareils non administrés par le support informatique ;
- il n’y a pas de logiciels piratés dessus, ou bien téléchargés sur des sites non officiels, c’est un vecteur extraordinaire de propagation de virus ;
- il est chiffré avec de la full-disk encryption pour protéger les données en cas de vol (Bitlocker sous Windows, FileVault sous mac, par défaut sous iOS, optionnel sous Android) ;
- que les paramètres de partage réseau sont désactivés, ou correctement contrôlés. C’est par ce genre de vecteur que WannaCry ou NotPetya se sont propagés, et une nouvelle faille sur le partage réseau a été très récemment corrigée ;
- qu’ils sont équipés de logiciels anti-virus à jour, ils ne sont pas imparables, mais permettent d’éviter les attaques les plus grossières ;
- qu’ils sont équipés de solutions de sauvegarde ;
- minimiser les applications gratuites (jeux, etc.) car ils sont souvent vecteurs de logiciels malveillant, en particulier sur mobile ;
- qu’ils sont équipés de solution de MDM pour pouvoir les administrer à distance, en particulier en cas de vol de l’appareil.
5) Activer l’authentification multi-facteurs
Que ce soit avec un SMS, une application d’authentification ou une clé U2F, l’authentification 2 facteurs (2FA ou MFA) est une barrière particulièrement puissante contre les accès illicites aux comptes. Il est très fortement conseillé que les administrateurs aient tous la 2FA activée, mais également les utilisateurs. Ce sont des options activables dans les tableaux d’administration de la plupart des applications web
Seald vous souhaite un bon télétravail, et sortez masqués 😷 !