Les habitudes de travail dans les entreprises connaissent depuis quelques années de profonds bouleversements. La mobilité devient la nouvelle tendance. Grâce à internet, un employé peut accéder à ses e-mails et fichiers professionnels depuis n’importe où sur une tablette, un ordinateur portable ou un smartphone. Selon une étude publiée en 2018 par Deloitte, plus d’un quart des Suisses pratiquent déjà le télétravail plus d’un jour par semaine.
Des chiffres en augmentation, particulièrement en cette période de pandémie, alors que le coronavirus force la majorité des salariés à travailler depuis chez eux. Dans ce contexte et face à ces changements, comment sécuriser les données des PME, cibles souvent prisées des pirates informatiques?
La question est d’autant plus pertinente que le travail à distance accroît les risques de cyberattaques. Afin de s’en prémunir, il existe diverses bonnes pratiques d’entreprise à adopter. «Si tout est fait correctement, il est possible d’avoir un niveau de sécurité presque équivalent en télétravail», rassure Paul Such, CEO et fondateur de Hacknowledge, société de sécurité informatique basée à Préverenges.
Le premier point à prendre en considération concerne les appareils avec lesquels l’employé travaille à distance. Une tendance courante est le BYOD (pour Bring Your Own Device). Elle consiste à laisser les collaborateurs utiliser leur propre matériel privé (ordinateur ou téléphone) pour un usage professionnel. «Les entreprises font souvent ce choix pour réaliser des économies, mais c’est un grand problème en matière de sécurité. Le danger est qu’un membre de la famille, par exemple, puisse accéder à l’appareil et télécharge des jeux ou des vidéos illégalement, ce qui est susceptible d’infecter toutes les données présentes sur l’ordinateur», souligne Steven Meyer, CEO et cofondateur de ZENData.
Fixer des règles de sécurité
L’un des autres problèmes typiques du BYOD est le manque de contrôle de l’entreprise sur les mises à jour et configurations des logiciels utilisés par l’employé. Pour pallier ces risques, l’idéal, d’un point de vue sécuritaire, serait d’acheter un laptop professionnel à tous les collaborateurs ou d’installer un ordinateur et des écrans chez chacun de ceux qui font du télétravail. Mais cela représente un investissement important que toutes les PME ne peuvent réaliser. Un compromis possible est de restreindre l’accès à certains fichiers, afin que les collaborateurs en télétravail ne puissent manier des données sensibles ou confidentielles. En outre, «l’entreprise doit également fixer des règles de sécurité propres au télétravail au travers d’une politique de sécurité adaptée. Cette politique pourra notamment préciser les outils autorisés», ajoute Paul Such.
En cas de télétravail, il est souhaitable que le salarié puisse accéder aux ressources internes de la société (tels que les serveurs de données, les imprimantes, etc.) via une connexion à distance de type VPN, couplée à un bon antivirus et aux outils de sécurité habituels (antispam, firewall, etc.) Le VPN d’entreprise permet de relier un poste isolé ou un réseau distant à un réseau local. La société lausannoise Altipeak édite la solution de sécurité informatique Safewalk pour, entre autres, les connexions à distance. En raison du coronavirus, elle indique être «fortement sollicitée» par ses clients et partenaires pour fournir cette solution afin que des employés puissent travailler chez eux en prévision de quarantaines massives potentielles. Assurant ne pas vouloir tirer profit de cette situation, Altipeak a fait le choix d’offrir, jusqu’à fin mai 2020, des licences temporaires et illimitées.
A noter qu’outre cette liaison, le VPN permet aussi de crypter les informations qui circulent sur internet, afin de préserver la confidentialité et l’intégrité des données. «C’est indispensable lorsqu’on travaille sur un wifi public, dans un café, dans un train ou dans un pays étranger potentiellement hostile», précise Steven Meyer. Il est conseillé également d’utiliser un filtre de confidentialité sur son écran pour éviter le piratage visuel.
Par ailleurs, il est possible de déporter l’affichage d’écran de l’ordinateur du bureau et d’organiser sa prise de contrôle à distance via une machine de rebond. «Cela peut être mis en place très rapidement et permet d’éviter le transfert de données d’entreprise sur un appareil externe», explique Cédric Enzler, cofondateur d’e-Xpert Solutions, société de sécurité informatique basée à Genève et à Lausanne. Des constructeurs tels que Citrix Systems ou F5 Networks, par exemple, ont développé de tels outils.
Crypter les informations
Mais quel que soit le système retenu, il faut que la personne qui l’utilise soit bien celle qu’elle prétend être. Pour s’en assurer, il est indispensable de mettre en place un système d’authentification dite «forte» ou «multifactorielle» pour les employés en télétravail. Ceci implique l’emploi d’un mot de passe solide couplé à un token d’authentification comme on en trouve fréquemment pour accéder aux services de banque en ligne.
En fin de compte, l’un des moyens les plus simples et les moins coûteux pour assurer la sécurité lors du télétravail est de s’appuyer sur des services cloud reconnus bénéficiant d’une authentification forte (code SMS par exemple). «Le cloud évite les connexions aux serveurs internes de la société et donc limite l’impact des attaques», confirme Dominique Vidal, fondateur de la société de sécurité informatique SecuLabs. Un accès internet, protégé par un VPN d’entreprise, permet d’accéder aux fichiers de l’entreprise en toute sérénité. «Mais il faut bien sûr s’assurer que l’appareil utilisé soit correctement sécurisé», complète le spécialiste.
Pour une PME, l’essentiel en matière de sécurité lors de télétravail est peut-être de trouver l’équilibre correspondant à ses spécificités internes. Et d’impliquer les employés dans la réflexion. C’est en tout cas l’avis de Cédric Enzler: «Il faut sensibiliser les collaborateurs aux problématiques rencontrées, en édictant de bonnes pratiques et en mettant sur pied des formations. Trop de sécurité tend en effet à compliquer l’usage des outils informatiques, ce qui, pour travailler plus efficacement, peut pousser les utilisateurs à contourner les barrières mises en place.»