Le 6 février
2024 - Le travail hybride (hybrid work), depuis qu’il a aidé les organisations à surmonter la
pandémie, a consolidé sa place. Dès lors, nombreux sont ceux qui souhaitent ou doivent
accéder aux données de l’entreprise depuis n’importe quel endroit, à toute
heure ainsi qu’à partir de n’importe quel appareil.
L’utilisation d’appareils personnels à des
fins professionnelles présente des risques de sécurité accrus, surtout s’ils ne
bénéficient pas de pratiques et de mesures de sécurité robustes. Bien que les
préoccupations concernant le BYOD (Bring-Your-Own-Device) ne soient pas
nouvelles, le recours croissant aux appareils personnels pour le travail a repositionné
la sécurité des données des entreprises et a nécessité une réévaluation et un réajustement
des politiques pour répondre à l'évolution de l'environnement de travail.
Même s'il n'y a pas de solution universelle,
certaines mesures peuvent fortement contribuer à protéger les organisations.
Réduire la surface d'attaque des
entreprises L’utilisation
par les employés d’appareils non gérés par les équipes informatiques est une
menace sérieuse pour les données de l’entreprise. Les criminels étant toujours
à la recherche de failles dans la cuirasse des organisations, limiter le nombre
de points d'entrée potentiels est l’évidence même. Les organisations doivent faire
l'inventaire de tous les appareils accédant à leurs réseaux et définir les
normes de sécurité et les configurations auxquelles ces appareils doivent
répondre pour garantir une protection de base.
Des applis ou autres logiciels non approuvés
sur les appareils des employés sont une source de risques pour l'intégrité, la
disponibilité et la confidentialité des données et des systèmes. Pour empêcher
l'accès non réglementé de tiers aux données sensibles, les organisations
peuvent créer une « barrière » entre les informations personnelles et
professionnelles et contrôler les appareils en imposant une liste noire (ou
blanche) pour les applis. Garder les appareils sous contrôle est possible grâce
à un logiciel spécial de gestion des appareils mobiles.
Mettre à jour les logiciels et les systèmes
d'exploitation Chaque jour de nouvelles vulnérabilités sont découvertes dans des
logiciels couramment utilisés. Par conséquent, il est plus facile de s'assurer que les employés
travaillent sur des appareils à jour s'ils utilisent des ordinateurs portables
et des smartphones de l'entreprise et s'ils bénéficient de l'assistance du
service informatique pour installer les mises à jour sur leurs machines peu de
temps après leur publication. Beaucoup d’entreprises utilisent un logiciel de
gestion des appareils non seulement pour installer les mises à jour, mais
également pour améliorer la sécurité en générale.
Si la mise à jour de logiciels sur leurs
appareils se fait par les employés, les organisations peuvent leur rappeler que
des correctifs sont disponibles, fournir des guides sur la façon de les appliquer
et suivre leur avancement.
Établir des connexions sécurisées Si
des employés externes doivent accéder au réseau, l’organisation doit en être
informée. Ces collaborateurs peuvent utiliser non seulement leur réseau
domestique, mais également les réseaux publics. Un réseau privé virtuel (VPN)
correctement configuré qui permet aux travailleurs distants d'accéder aux
réseaux d'entreprise est un moyen simple de réduire l'exposition d'une
organisation aux vulnérabilités que les criminels pourraient exploiter.
Activer la connectivité à distance dans
l'environnement informatique d'une organisation se fait via le protocole RDP
(Remote Desktop Protocol). Lorsqu’on est passé au travail hybride, les
connexions RDP ont fortement augmenté, tout comme les attaques contre les endpoints
RDP. Pour accéder aux réseaux d'entreprise, les attaquants ont exploité des
paramètres RDP mal configurés ou des mots de passe faibles. Ainsi, les
criminels peuvent s'emparer de la propriété intellectuelle, crypter les
fichiers et les conserver contre rançon, tromper un service comptable pour
qu'il transfère des fonds vers des comptes qu'ils contrôlent ou faire des
ravages dans les sauvegardes de données.
Il y a de nombreuses façons de se protéger
contre les attaques RDP. L'accès RDP doit être correctement configuré,
notamment en désactivant le RDP accessible sur Internet et en ayant des mots de
passe forts pour tous les comptes pouvant être connectés via RDP. Pour en
savoir plus sur la configuration RDP appropriée, consultez l'article récent
d'ESET :
Protéger les joyaux de la couronne Stocker des données
confidentielles de l'entreprise sur un appareil personnel constitue un risque en
cas de perte ou de vol de l'appareil, s'il n'est pas protégé par mot de passe
et si le disque dur n'est pas chiffré. Cela s'applique également si l'appareil
est utilisé par quelqu'un d'autre. Même si c’est un membre de la famille, cela
peut conduire à compromettre les données de l'entreprise, qu’elles soient
stockées localement ou dans le cloud.
Des mesures telles qu'une protection
renforcée par mot de passe, le verrouillage automatique d'une demande et la
formation des employés pour empêcher quiconque d'utiliser l'appareil,
protégeront les données de l'organisation.
Pour réduire le risque que des personnes non
autorisées accèdent à des informations confidentielles, les organisations
doivent chiffrer les données sensibles en transit et au repos, mettre en œuvre
une authentification multi facteur et sécuriser les connexions réseau.
Visioconférence sécurisée
La pandémie, a déplacé toutes
les réunions vers le monde virtuel. Les organisations donc doivent établir des
lignes directrices pour la vidéoconférence : quel logiciel utiliser et
comment sécuriser la connexion.
Il faut utiliser un
logiciel doté de fonctionnalités de sécurité robustes, d'un cryptage de bout en
bout et d'une protection par mot de passe pour protéger les données
confidentielles des regards indiscrets. Les logiciels de visioconférence
doivent disposer des dernières mises à jour de sécurité afin de pouvoir
remédier à toute faille le plus rapidement possible.
Les logiciels et les personnes
Un logiciel de sécurité multicouche réputé doit être utilisé sur les appareils
accédant aux systèmes de l’organisation. Un tel logiciel – géré par
l'équipe de sécurité ou informatique de l'organisation – peut éviter bien des
maux de tête ainsi que des pertes de temps et d’argent. Cela peut protéger
contre les nouvelles menaces de maliciels, sécuriser les données et aider les
administrateurs système à maintenir les appareils conformes aux politiques de
sécurité de l'organisation.
S'assurer que les
appareils et les données sont régulièrement sauvegardés (et tester les sauvegardes)
et dispenser une formation de sensibilisation à la sécurité au personnel sont
d'autres mesures incontournables. Les contrôles techniques ne sont pas complets
si les employés ne comprennent pas les risques associés à l'utilisation
d'appareils personnels à des fins professionnelles.