Publié le 05/06/2020
Au-delà des consignes habituelles de sécurité qui s’appliquent dans le cadre de l’entreprise, le travail à la maison nécessite en effet de mettre en place une politique de sécurité plus stricte, car il augmente la surface d’exposition de l’entreprise aux cyber-risques.
Depuis le 11 mai et le déconfinement, les DSI doivent désormais penser à l’après Covid-19, et préparer le retour progressif des salariés au sein de l’entreprise, tout en envisageant un recours plus durable au télétravail.
Comme le souligne l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, sur son site : « Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. » À ce titre, dès son arrivée dans l’entreprise, le salarié doit être informé :
Cette information passe par des actions de sensibilisation et de formation, qui plus est lorsque le travail s’envisage désormais une bonne partie du temps à la maison. Celles-ci doivent être régulières, adaptées, et peuvent prendre différentes formes : mails, affichage, réunions, intranet, etc.
Pour renforcer les mesures de sécurité de l’entreprise, l’élaboration et la signature d’une charte des moyens informatiques peuvent également être envisagées, si celle-ci n’existe pas encore.
Il est primordial de mettre en place un niveau de sécurité minimal sur l’ensemble des terminaux de l’entreprise, notamment ceux emportés au domicile : ordinateurs, smartphones, tablettes, etc.
Cela passe également par plusieurs actions :
Afin d’éviter la perte ou le vol de données sensibles, il convient de stocker sur l’ensemble des matériels nomades de l’entreprise (ordinateurs portables, smartphones, clés USB, etc.) des données préalablement chiffrées. Seul un mot de passe, une carte à puce ou un code PIN doivent permettre d’accéder à ces données.
Pour un niveau de sécurité optimum, mieux vaut également chiffrer toutes les données sensibles envoyées par courriel ou transmises au moyen d’outils d’hébergement en ligne. La transmission du mot de passe ou de la clé permettant de déchiffrer ces données doit s’effectuer via un canal de confiance ou, à défaut, un canal distinct : si par exemple les données chiffrées sont transmises par e-mail, une remise en main propre du mot de passe ou, à défaut, par téléphone doit être privilégiée.
En dehors de l’entreprise, à la maison ou dans les transports, les collaborateurs doivent souvent se connecter au système d’information de l’entreprise. Afin d’éviter toute perte ou vol de données, il convient au préalable de sécuriser la connexion réseau à travers Internet. Même si la possibilité d’établir des tunnels VPN SSL/TLS est aujourd’hui courante, l’ANSSI recommande « d’établir un tunnel VPN IPsec » entre le poste nomade et la passerelle mise à disposition par l’entreprise. Pour garantir un niveau de sécurité optimal, ce tunnel, explique l’Agence, doit « être automatiquement établi et ne pas être débrayable par l’utilisateur. » C’est-à-dire qu’aucun flux ne doit pouvoir être transmis en dehors. Enfin, afin d’éviter toute réutilisation d’authentifiants, notamment depuis un poste volé ou perdu, il est fortement conseillé d’utiliser une authentification forte à l’aide d’un mot de passe ou d’un certificat stocké sur un support externe ou via un mécanisme de mot de passe à usage unique.
Aujourd’hui, smartphones et tablettes font partie de notre quotidien personnel et professionnel. La première des recommandations consiste à différencier les usages, personnel et professionnel et les appareils.
Le matériel fournis par l’entreprise doivent ainsi être utilisés en contexte professionnel uniquement et faire l’objet d’une sécurisation à part entière, dès qu’ils se connectent au système d’information de l’entreprise ou qu’ils contiennent des informations potentiellement sensibles : e-mails, fichiers partagés, contacts, etc.
L’utilisation d’une solution de gestion centralisée des équipements mobiles est également fortement suggérée, afin de gérer de façon homogène les politiques de sécurité des différents appareils de l’entreprise : moyen de déverrouillage des appareils, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc.
Pour nombre d’entreprises, la fin du confinement, le 11 mai 2020, ne s’est pas traduite, dans l’immédiat, par un retour à la normale. La réintégration des effectifs et des postes sur site s’annonce encore très progressive… Mais les entreprises doivent dès à présent s’y préparer.
Avec le retour des salariés petit à petit sur site, DSI et RSSI risquent en effet de se retrouver avec toute une flotte de PC, tablettes, ou smartphones, ayant fonctionné à distance, avec une assistance minimale pendant plusieurs semaines. Et pour certains, qui n’auront connu aucune mise à jour système ou de sécurité… Que va-t-il alors se passer quand, rentrés au bureau, tous ces postes seront reconnectés ? Quid alors de la réaction du réseau ? Faudra-t-il prévoir une zone de quarantaine ou de décontamination ? Si oui, comment la gérer ? Avec quels outils système et réseau ? Quels effectifs ? Autant de questions que les entreprises vont devoir anticiper rapidement, car lorsqu’il faudra expliquer aux salariés pourquoi il leur est impossible de se connecter immédiatement lors du « grand retour », leur patience à l’égard du SI risque d’être limitée.
Pour aller plus loin : les conseils de l’ANSSI
Parmi les nombreuses publications de l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, utiles aux RSSI et DSI, voici deux incontournables :