Travail hybride : aider vos collaborateurs à sécuriser leurs données

Avec l’irruption de la crise sanitaire, beaucoup d’entreprises ont outillé dans l’urgence leurs collaborateurs pour travailler à distance sans avoir nécessairement le temps de former les équipes à leur utilisation. « Le travail hybride a renforcé certaines failles de sécurité auxquelles étaient déjà exposées les entreprises et a engendré de nouveaux comportements à risque : travail depuis un environnement informatique non professionnel, appareils pro laissés à disposition de la famille pour un usage personnel… », note Pierre Jacob, directeur des opérations Digital & Data chez Magellan Consulting, un cabinet de conseil en organisation et systèmes d’information, et entité du groupe Magellan Partners.

 

Un contexte favorable à la multiplication des cyberattaques, comme le montre le panorama de la menace 2021 dressé par l’ANSSI (agence nationale de la sécurité des systèmes d’information), selon lequel le nombre d’intrusions avérées dans les systèmes d’information a augmenté de 37% en une année. Face à des cybercriminels de plus en plus chevronnés, les entreprises ont tout intérêt à renforcer la protection de leurs données et à sensibiliser leurs collaborateurs à ce sujet.

 

Ne pas s’intéresser à la protection des données dans son entreprise peut vous faire courir différents risques. D’abord sur le plan légal, et même pénal pour les chefs d’entreprise : « Depuis l’entrée en vigueur du RGPD (règlement général sur la protection des données), les entreprises sont responsables de l’ensemble des actions de leur écosystème en termes d’utilisation de leurs données, de celles de leurs collaborateurs et de celles de leurs clients, décrypte Pierre Jacob. Ainsi elles sont, par exemple, responsables des actions de mailing menées par une entreprise partenaire. » En cas de manquement au RGPD, la CNIL peut prononcer des sanctions pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise.

 

Le second risque est d’ordre concurrentiel. La question à se poser est : quel est le degré de sensibilité de l’information que je traite ? Quel serait l’impact si cette information venait à être connue du plus grand nombre ? « Il faut attacher la bonne protection en fonction de la nature de la donnée. Les DRH doivent notamment être très vigilants car ils détiennent des données sensibles de leurs salariés (RIB, coordonnées…). De la même manière, la direction ne doit pas divulguer d’informations confidentielles (bilans financiers, grille des salaires…) par des canaux de communication facilement accessibles. »

 

Enfin, la protection des données est aussi une affaire d’image : « Si des acteurs bancaires, du e-commerce ou des fournisseurs d’énergie divulguent, même malgré eux, des informations sur leurs clients, ils risquent de les perdre car le lien de confiance sera dégradé. »

 

Communiquer régulièrement autour des enjeux de sécurité dans un contexte de perméabilité accrue entre sphère privée et sphère professionnelle est aujourd’hui essentiel. « La plupart des gens mesurent assez difficilement l’impact que peut avoir une fuite de leurs données. Le plus efficace est d’organiser des sessions choc, animées par des experts en cybersécurité, qui dévoilent le temps moyen pour découvrir les mots de passe de l’ensemble des collaborateurs de l’entreprise. »

 

Ces réunions de sensibilisation doivent être couplées à des formations enseignant les « gestes barrière cybersécurité », selon les mots de Pierre Jacob. « Ces formations devraient être intégrées au parcours d’onboarding, y compris pour des métiers qu’on peut estimer moins concernés par ce type de problématique : par exemple, les techniciens en installation ou réparation d’équipement ont une tablette pro, une adresse mail pro. Ils sont potentiellement des cibles parce que les cybercriminels savent, précisément, que ces professionnels peuvent être moins rompus aux usages numériques. »

 

Voici quelques bons réflexes à transmettre à vos équipes.

 

Utiliser un mot de passe différent pour chaque compte

 

« C’est un geste assez commun de fermer la porte de votre logement quand vous sortez et de ne pas utiliser la même serrure pour votre résidence principale et votre maison de vacances. Il faut avoir les mêmes réflexes dans l’univers numérique : des mécanismes de mots de passe complexes, de clés uniques, pour chaque service utilisé, pour limiter les risques même s’il est toujours possible de voler nos données au même titre qu’on peut forcer la serrure de votre maison ».

 

Recourir à un gestionnaire de mots de passe

 

Il fonctionne comme un coffre-fort. En un mot de passe, vous pouvez accéder de façon sécurisée à des centaines de mots de passe et générer des suites complexes de lettres, chiffres et caractères spéciaux. « Compartimenter et diversifier vos mots de passe et choisir un lieu hautement sécurisé pour les conserver est le meilleur moyen d’éviter une fuite de grande ampleur de vos données ».

 

Activer la double authentification

 

« Pour accéder à mes informations, trois leviers existent : ce que j’ai (mon téléphone, par exemple), ce que je sais (mon mot de passe) et ce que je suis (l’identification biométrique). Pour des données sensibles, on peut activer la double voire la triple authentification, en demandant à recevoir des codes par sms, via des applications comme Okta ou Authenticator, et éventuellement s’y connecter par reconnaissance d’empreinte digitale sur le téléphone. »

 

Déjouer le phishing

 

Le phishing désigne ces emails qui peuvent sembler authentiques parce qu’ils prétendent émaner d’un organisme dont vous êtes client (Poste, banque, mutuelle…). Il s’agit, en réalité, d’un acte de piratage destiné à récupérer des données confidentielles. Pour s’en prémunir, rien de tel que d’organiser des exercices à l’échelle de l’entreprise et de donner ensuite à vos collaborateurs des astuces pour déjouer ce type d’attaque : « En scrutant l’adresse d’envoi ou en passant simplement la souris au-dessus du lien sans cliquer dessus, on peut trouver des indices indiquant qu’il ne s’agit pas d’un mail authentique. Le mieux est ensuite d’appeler directement le service concerné pour savoir s’il est bien à l’origine du message ».

 

Se méfier des wifi publics

 

Lorsque vous télétravaillez, utilisez un accès VPN pour créer un tunnel sécurisé. « Cela permet de protéger les données de l’entreprise et de crypter votre adresse IP », précise l’expert, qui conseille de se méfier des wifi publics lorsque vous travaillez dans un train, un hôtel ou un aéroport, par exemple. « Un réseau public est partagé par des centaines d’usagers, il suffit qu’un seul utilisateur veuille nuire pour qu’il puisse avoir accès à un énorme volume de données. Dans ce cas de figure, il vaut mieux privilégier le partage de connexion. »

Entretien avec Pierre Jacob, Principal au sein de Magellan Consulting.

Interview Hello Workplace : https://www.helloworkplace.fr/travail-hybride-cybersecurite/