Dirigeants et salariés : comment allier télétravail et sécurité informatique ?
La crise sanitaire liée au Covid-19 a mis un brusque coup d’arrêt à de nombreuses activités mais a aussi obligé la grande majorité des entreprises à mettre en place une organisation reposant sur le télétravail. Une pratique en hausse en France depuis plusieurs années mais qui était loin d’être généralisée. Jusqu’à récemment, certaines entreprises pratiquaient peu, voire pas le télétravail. Elles ont dû, en l’espace de quelques jours, repenser leur organisation en tenant compte de contraintes variées dont celle d’un matériel informatique non adapté au travail à distance. Et revoir toutes leurs pratiques pour assurer leur sécurité informatique même en télétravail.
Le relâchement de vigilance des entreprises en matière de cybersécurité n’a pas échappé aux pirates, hackers et petits ou gros escrocs informatiques. Depuis le début du confinement, ils ont redoublé d’ingéniosité… et d’activité. Selon Orange Cyberdéfense, le nombre de cyberattaques a augmenté de 20 à 25 % depuis l’arrivée de la pandémie en France. Et certains analystes craignent une nouvelle flambée d’attaques avec le déconfinement.
Des solutions existent pour vous protéger contre ces cybermenaces et préserver la sécurité informatique aussi bien des employés que de l’entreprise. Découvrez nos conseils très concrets pour éviter les cyberattaques en entreprises et pour mettre en place les bonnes pratiques en matière de cybersécurité.
Sécurité informatique et télétravail : quels sont les risques ?
Dans l’urgence du confinement et de la mise en place du télétravail, certaines entreprises ont privilégié le maintien de l’activité à distance à celui des règles habituelles de sécurité informatique. Ainsi, certaines d’entre elles ont autorisé leurs salariés à utiliser leur équipement informatique personnel – ordinateur, tablette et smartphone – dans le cadre de leur travail. Une solution qui a certes facilité le passage au télétravail mais qui a créé de nombreuses failles de sécurité sur des appareils souvent non protégés par des antivirus… ou qui n’étaient pas mis à jour régulièrement.
Il a aussi fallu diffuser des mots de passe et donner aux salariés accès à des applications – mails, Intranet, logiciels – ou des serveurs à partir de leur matériel personnel. Accès qui sont souvent normalement contrôlés et sécurisés par les services informatiques de l’entreprise.
Ajoutons à cela le recours massif à des solutions de vidéoconférences plus ou moins bien sécurisées… et vous obtenez un cocktail explosif en matière de cybersécurité.
Ce flottement en matière de sécurité informatique en télétravail engendre des menaces de trois principaux types :
L’hameçonnage, dit aussi phishing, consiste en l’envoi de messages malveillants (email, SMS, messages sur un chat…) mais prétendants venir d’un tiers de confiance (un site d’e-commerce reconnu, un réseau social, une banque, une administration, etc.). L’objectif : récupérer des informations personnelles, telles que des emails, des mots de passe, des informations bancaires…
Les conséquences sont loin d’être négligeables : intrusion dans des messageries personnelles ou professionnelles, intrusion dans des réseaux d’entreprises, utilisation frauduleuse d‘informations personnelles, en particulier bancaires. L’hameçonnage est par ailleurs la porte d’entrée à d’autres types de cyberattaques, comme les rançongiciels/ransomware.
La plateforme cybermalveillance.gouv.fr a constaté une augmentation de 400 % des tentatives d’hameçonnage/phishing dans les jours qui ont suivi l’annonce du confinement. Ces emails malveillants ont surfé sur la peur suscitée par le Covid-19, sur le – légitime – besoin d’information des Français ainsi que sur l’explosion de la demande en masques, gants et autres protections. Le principe est généralement simple : l’internaute est invité à fournir des informations personnelles – emails, mot de passe – pour accéder à du contenu ou pour effectuer un achat. Or trop souvent, les utilisateurs ont tendance à toujours utiliser le même mot de passe, aussi bien dans un cadre privé que professionnel.
Les rançongiciels ou ransomware : ce type d’attaques consiste par l’envoi (via une pièce-jointe ou un lien inclus dans un email ou le téléchargement d’un fichier) d’un logiciel qui va crypter ou interdire l’accès aux données stockées sur l’ordinateur, le smartphone ou le serveur de la victime. Les données sont alors « prises en otage ». La victime d’une telle attaque doit payer une « rançon » – d’où le nom de cette attaque – pour retrouver accès à ses données. Le paiement se fait généralement en cryptomonnaies. En échange, la victime reçoit un fichier de décryptage ou un code de déverrouillage.
Les entreprises sont les cibles privilégiées pour les rançongiciels car ils peuvent affecter des données clés nécessaires au fonctionnement de l’activité. Ces dernières années, de grandes entreprises ont été victimes de ces attaques et si certaines de ces attaques ont été médiatisées, la plupart du temps, les entreprises choisissent de payer plutôt que de se trouver privées de données précieuses et vitales pour elles. Tirant le bilan de l’année 2019, l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, s’est alarmée de l’explosion du nombre d’attaques par rançongiciels qui sont même qualifiés de menace informatique la plus sérieuse pour les entreprises et institutions.
Les intrusions et les vols de données : une pratique aussi vieille qu’Internet mais qui se renouvelle en permanence en profitant de la moindre faille. Les intrusions sur les serveurs sont bien connues de la plupart des entreprises : le ministère de l’Intérieur rappelait, en 2018, que 92 % d’entre elles avaient été victimes d’au moins deux cyberattaques. Ces derniers mois, ces attaques ont particulièrement visé le cloud mais aussi les objets connectés, qui sont généralement mal protégés contre ce genre de menaces.
Le risque pour les entreprises est de voir des données sensibles tomber entre des mains malveillantes, divulguées sur Internet, voire revendues. Espionnage, risques pour la réputation et l’image de marques de l’entreprise, fuite de données personnelles… les risques sont là encore grands.
Salariés : votre sécurité informatique en télétravail en 8 conseils
Pour se protéger contre ces cybermenaces et améliorer la sécurité informatique en télétravail, certaines précautions, simples, sont à suivre :
Même en télétravail,appliquez les conseils de sécurité informatique de votre entreprise : et en cas de doute ou de difficultés, n’hésitez pas à en parler au responsable informatique de votre entreprise.
Bien séparer les usages. Si vous disposez d’un ordinateur, d’un smartphone ou d’une tablettes professionnels, évitez de les utiliser pour des usages personnels. Le conseil vaut aussi dans l’autre sens, à moins que votre entreprise vous ait spécifiquement demandé d’utiliser votre matériel personnel lors de cette période de travail à distance. Dans ce cas, assurez-vous que les dernières mises à jour sont bien installées et que vous respectez les règles de votre entreprise en matière de sécurité IT.
Complexifiez vos mots de passe et changez-les régulièrement. Ils sont au cœur de votre sécurité informatique en télétravail. N’utilisez pas les mêmes mots de de passe à chaque fois. Et choisissez-les suffisamment longs et complexes.
Soyez prudents en téléchargeant, en particulier des logiciels. C’est une des règles principales de la sécurité informatique en télétravail. Privilégiez les sites reconnus pour ces téléchargements comme ceux des éditeurs de logiciels (Adobe…), de Microsoft ou d’Apple ou encore les plateformes officielles de téléchargement d’applis (App Store d’Apple ou Google Play pour les appareils utilisant Android). En cas de doute, renseignez-vous auprès du responsable informatique de votre entreprise et demandez-lui de se charger du téléchargement pour vous.
Ne faites pas l’impasse sur les mises à jour de sécurité de tous vos appareils. Ce conseil concerne bien sûr votre ordinateur mais aussi votre smartphone, votre tablette ainsi que tous les objets connectés que vous pourriez utiliser. Ces mises à jour sont indispensables pour protéger contre les principales cybermenaces et corriger les failles qui sont les portes d’entrée de ces attaques.
Vérifiez que votre matériel est bien équipé d’un antivirus. Si votre ordinateur vous a été fourni par votre entreprise, il y a toutes les chances qu’il soit équipé d’une telle protection ; assurez-vous simplement que l’antivirus est bien régulièrement mis à jour. Si vous devez utiliser votre matériel professionnel, installez obligatoirement un anti-virus. Certains proposent même des versions gratuites tout à fait suffisantes pour vous assurer votre sécurité informatique en télétravail. Dans les deux cas, faites des scans réguliers de vos appareils pour repérer d’éventuels indésirables.
Vérifiez que votre connexion Wifi est sécurisée. Changez le mot de passe utilisateur de votre routeur Wifi et activez le cryptage des données avec une clef de sécurité WPA2.
Plus que jamais soyez prudents avec vos emails. Même si l’identité de l’expéditeur vous est connue, méfiez-vous des messages « anormaux » invitant à l’ouverture d’une pièce-jointe ou d’un fichier joint, à effectuer un virement ou à fournir des informations personnelles (telles que vos informations bancaires). Ne vous fiez pas aux logos qui sont utilisés dans ces mails, qui parfois imitent très bien des courriers tout à fait légitimes. Observez attentivement l’adresse d’expédition.
Employeurs : 7 conseils de sécurité informatique indispensables à votre entreprise
En tant qu’employeur, vous avez un rôle majeur à jouer dans la sécurité informatique en télétravail. Il vous revient d’établir, en collaboration avec votre responsable informatique, un ensemble de règles qui seront à respecter par tous les salariés – vous y compris !
Il vous revient aussi de mettre en place une politique d’information voire de formation aux bonnes pratiques en matière de cybersécurité. On ne le répétera jamais assez : le risque principal en matière de sécurité informatique, c’est l’humain. Vous aurez beau disposer d’un pare-feu et d’un anti-virus efficaces, ils seront inutiles devant une attaque informatique si vos employés n’ont pas été formés pour repérer une tentative de phishing ou s’ils ne respectent pas les règles élémentaires de sécurisation informatique.
Avec la généralisation du télétravail, le nombre d’employés qui vont pouvoir accéder, voire télécharger sur leur matériel personnel, des données sensibles de l’entreprise va exploser. De quoi donner des sueurs froides à n’importe quel DSI. Il est donc indispensable de prévenir plutôt que guérir.
Voici en outre 8 conseils qui vont vous permettre d’assurer la sécurité informatique en télétravail de votre entreprise.
Mettez en place un protocole clair et précis en matière de sécurité informatique en télétravail, qui devra être appliqué par tous et qui définit par exemple l’usage de matériel personnel dans le cadre professionnel. Communiquez sur le sujet et mettez en garde tous vos collaborateurs et employés sur le risque accru de cyberattaques. Soyez pédagogique sans être alarmiste. Responsabilisez vos équipes, rappelez les règles de base de la cybersécurité et donnez le contact de votre responsable informatique ou de la sécurité informatique. Il pourra répondre aux questions particulières, aider vos salariés à installer les logiciels nécessaires et les guider dans les mises à jour de leurs appareils.
Privilégiez, si cela est possible, le recours aux appareils de l’entreprise qui sont très souvent mieux protégés et plus régulièrement mis à jour que les ordinateurs ou smartphones personnels. Si une telle solution n’est pas possible, demandez à vos employés d’installer pare-feu et anti-virus sur leur ordinateur et de vérifier qu’ils ont bien mis en place les dernières mises à jour de sécurité.
Renforcez votre politique en matière de sauvegarde des données. Étant à distance, vos collaborateurs pourraient être moins attentifs à ces sauvegardes régulières. Pourtant elles s’avèrent indispensables pour se prémunir à la fois une défaillance technique, d’une erreur humaine ou bien d’une attaque informatique de type ransomware. Cette sauvegarde doit concerner toutes les données de l’entreprise mais aussi les différents supports – emails, cloud, dossiers de vos collaborateurs, serveurs…
Ne faites pas l’impasse sur une solution antivirus professionnelle. Les entreprises sont une cible privilégiée contre ces cybermenaces et assurer la sécurité informatique en télétravail passe par l’utilisation d’une telle solution. Les antivirus professionnels détectent les principales menaces virales mais aussi, et de plus en plus, les tentatives de phishing. Certains d’entre eux intègrent désormais une protection contre certains ransomware.
Mettre en place des certificats numériques qui vont permettre à vos collaborateurs de faciliter et de sécuriser leurs échanges et leurs tâches quotidiennes même en travail à distance.
Véritable carte d’identité numérique, il permet de :
– S’authentifier de façon sécurisée sur un site web en remplaçant le couple identifiant/mot de passe non fiable.
– Signer des documents électroniques (devis, contrats, état des lieux, …) en utilisant votre certificat avec une application de signature.
Un certificat numérique est un gage de confiance pour vos interlocuteurs et clients. Il leur permettra de s’assurer de votre identité ainsi que celle de vos collaborateurs et sécurisera vos échanges. C’est la solution parfaite pour lutter contre l’usurpation d’identité, le hameçonnage/phishing.
Installez un Virtual Private Network (VPN), un réseau privé virtuel. Ce réseau informatique crée un lien direct chiffré entre différents ordinateurs. Il est particulièrement utile dans le cadre du télétravail pour sécuriser l’accès à distance aux données et applications de l’entreprise. Seuls les appareils autorisés et authentifiés pourront ainsi se connecter.
Le recours à la technologie SSL VPN, qui offre un accès sécurisé aux applications principalement basées sur le Web, a gagné de nombreux adeptes par sa souplesse, son agilité et son faible coût d’installation. Elle nécessite cependant la présence d’un certificat SSL.
Ce certificat sert de carte d’identité à un site Internet ou à un serveur, dont il permet d’identifier et de certifier le propriétaire. Il permet aussi de sécuriser, en les chiffrant, les échanges entre le site ou le serveur et les internautes, en particulier les transactions financières ou le recours à des données personnelles. Le certificat SSL, comme la solution Certigna SSL, est désormais un indispensable pour créer une relation de confiance avec les utilisateurs d’un site, et il ouvre la voie à la mise en place de solutions sécurisées comme le SSL VPN. Nous vous expliquons tout sur les avantages de Certigna SSL et son installation…
Utilisez une solution de contrôle les connexions internes comme externes à vos données, applications, serveurs, etc. Ces solutions détectent les activités considérées comme « anormales » et sont une partie importante de votre stratégie de sécurité informatique en télétravail. Par exemple, la connexion d’un utilisateur légitime mais à une heure non habituelle, un nombre trop important de connexions, le téléchargement d’un grand nombre de données… Ces solutions vous prémunissent contre une des principales failles en matière de sécurité informatique : l’usurpation d’identifiants légitimes, et en particulier de ceux d’un utilisateur disposant de droits étendus. Grâce à des logiciels capables de « deviner » des mots de passe (dits « sniffers ») mais aussi des campagnes de phishing, de nombreuses attaques sont désormais menées de « l’intérieur » en utilisant les mots de passe et identifiants d’un utilisateur. D’où l’intérêt de ces solutions qui détectent les activités anormales.
Nos solutions pour assurer votre sécurité informatique en télétravail
En cette période, les besoins en matière de sécurité informatique en télétravail doivent être centrés sur deux axes : la sécurisation des plateformes web et celle des systèmes, des accès et des utilisateurs.
Les certificats Certigna sont là pour vous accompagner et vous permettre d’améliorer votre sécurité IT, même à distance.
Sécuriser les plateformes web via le certificat SSL de Certigna
Alors que les attaques de phishing se sont démultipliées depuis le début de l’épidémie de Covid-19, il est indispensable pour les entreprises de non seulement assurer leur propre sécurité informatique en télétravail mais aussi de rassurer les internautes en leur fournissant une connexion sécurisée à des sites Internet authentifiés. Or qui dit sécurisation de sites Internet dit certificat SSL. Il permet de :
Garantir votre identité. Les internautes peuvent facilement vérifier l’identité du propriétaire de votre site ou de votre serveur.
Sécuriser vos échanges grâce au protocole HTTPS qui établit une connexion sécurisée entre votre site ou votre serveur et les visiteurs grâce au chiffrement SSL. L’internaute s’assure de visiter une site Internet non piraté en vérifiant la présence du petit cadenas de sécurité vert visible dans la barre d’adresse du navigateur web et d’un nom de site non modifié.
D’inspirer confiance : notre certificat SSL respecte les standards recommandés par les agences de sécurité françaises.
D’adopter la norme RGS, le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. En faisant valider par Certigna votre identité et votre activité, vous pourrez faire figurer le nom de votre entreprise ou de votre organisme dans votre certificat et dans le sceau de votre site. Un gage supplémentaire de sécurité et de confiance pour les utilisateurs.
Afin d’assurer la confidentialité des données et de protéger les informations sensibles sur la toile, acheter un certificat SSL est la meilleure solution. Pour être valable et efficace, il doit être validé par une autorité de certification. Une fois installé, il va pouvoir chiffrer les données transmises pour sécuriser, par exemple, les paiements en ligne. Les sites e-commerce utilisant le protocole https dans leur URL permettent aux internautes d’effectuer leurs achats en ligne en toute sécurité.
La solution Certigna SSL est reconnue comme autorité de certification qualifiée et est utilisée sur de nombreux sites Internet.
Autre avantage, la solution Certigna SSL est disponible en ligne, en quelques clics. Le processus d’installation est entièrement dématérialisé.
Sécuriser les systèmes et les accès et authentifier les utilisateurs grâce au certificat Certigna ID RGS**/eIDAS
Entreprises, collectivités ou associations, la sécurité informatique en télétravail nécessite la sécurisation de vos systèmes et de vos accès ainsi que l’authentification de vos utilisateurs. Pour cela, le certificat électronique est la solution.
Il a pour but de sécuriser les données. Le certificat permet de :
S’authentifier de façon sécurisée sur un site web en remplaçant le couple identifiant/mot de passe non fiable.
Signer des documents électroniques (devis, contrats, état des lieux, …) en utilisant votre certificat avec une application de signature.
Le certificat Certigna ID RGS** eIDAS répond à ces besoins. Pour améliorer votre sécurité informatique en télétravail, voici les étapes nécessaires pour l’attribution d’un certificat :
La mise en place d’un certificat Certigna ID RGS** nécessite un entretien face à face (dit de « preuve de vie ») que le client doit effectuer auprès d’une autorité d’enregistrement déléguée. Une fois l’entretien réalisé, vous recevrez de manière sécurisée votre certificat qui vous permettra de signer électroniquement ou encore de proposer une authentification sécurisée sur les sites web.
Dans le contexte de pandémie et de distanciation sociale, nous avons mis en place un service reposant sur un entretien en face à face à domicile ou sur le lieu de votre choix ainsi que la délivrance du certificat remis en main propre, en respectant les mesures de sécurité. Ce service est disponible lors de la commande du certificat sur le site des certifications numériques Certigna.