La sécurité, le talon d’Achille du télétravail ?

03 juin 2020

Alors que l’heure pourrait bientôt être au dépistage de masse , qu’en est-il des connexions distantes de masse ? Depuis le 16 mars 2020, ces connexions font l’objet de plusieurs « gestion de crises ». En effet, chaque collaborateur qui s’est connecté au VPN de l’entreprise pour accéder à ses dossiers via ce canal sécurisé. Cette activité réseau a provoqué des défaillances sur plus d’un serveur. La sécurité de nos équipements est d’autant plus vitale en cette période de recours au télétravail massif.

Ces dernières semaines nous avons vu accroitre des tentatives d’hameçonnage qui prenaient la forme d’une proposition de liens renvoyant vers des documents informatifs liés au COVID-19 ou encore de campagnes de donation qui s’avéraient frauduleuses. Un salarié isolé à son domicile dispose de moins d’opportunité d’échange ou de vigilance pour éviter ces pièges. Par conséquent, plus vulnérable, il est souvent le maillon faible de la sécurité informatique.

Divers organismes ont essayé de sensibiliser les internautes contre ces campagnes d’hameçonnage en augmentant les mises en garde via différentes publications (la plateforme nationale cybermalveillance.gouv, l’OMS, l’ANSSI…).

Pour les entreprises, assurer leur continuité d’activité tout en protégeant la santé des salariés et leur vie privée, est indispensable. Pour cela, certaines ont été contraintes à mettre en place le travail à distance et même faire appel au “Bring Your Own Device” (BYOD).

La connexion distante sans sécurité représente une nouvelle source de menace

Selon le Règlement Général sur la Protection des Données (RGPD), lorsqu’un traitement est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, une analyse de risque portant uniquement sur les données à caractère personnel doit être menée pour s’assurer d’un bon niveau de sécurité. 

La situation exceptionnelle de pandémie que nous vivons, a provoqué l’émergence d’une nouvelle source de menace dans les analyses d’impact sur la protection des données (AIPD) : la connexion distante. Il est nécessaire d’envisager cette nouvelle source de menace, tant elle peut impacter les entreprises, par l’augmentation du risque de vol de données personnelles. 

Plus un outil informatique est sollicité par un grand nombre de connexions distantes, plus les sources de menaces humaines (les collaborateurs par exemple) peuvent voir leur capacité de menace s’accroître. 

Par effet de levier, les scénarios de menaces portant sur des évènements redoutés (tel que l’accès illégitime aux données à caractère personnel) ont une vraisemblance plus importante de se produire si aucune mesure de sécurité spécifique n’a été prise afin d’en limiter les conséquences. 

Les entreprises qui envisagent le télétravail occasionnellement, ont pu mettre en place des connexions sécurisées au réseau d’entreprise, par le biais d’un VPN. Cependant, si l’infrastructure n’a pas été prévue pour accueillir des connexions distantes massives, l’accès au VPN devient très problématique (ralentissement, impossibilité de se connecter etc.) . 

Du fait de cette situation d’urgence sanitaire imprévue, la capacité des infrastructures en place n’est pas toujours suffisante pour répondre à des besoins extrêmes mettant ainsi certaines entreprises dans une situation à risque

Ainsi, le risque pour l’entreprise est double

  • Le risque portant sur la sécurité des données à caractère personnel ; 
  • Le risque de s’exposer à une amende pour non conformité au RGPD

L’accès à certains outils devient impossible car l’infrastructure n’est pas toujours adaptée. Par conséquent, l’ouverture de certains actifs informatiques autrement que par une connexion VPN peut s’avérer nécessaire pour permettre la continuité de l’activité. Si une alternative au bon niveau de sécurité n’est pas rapidement mise en place, l’entreprise est en risque.

Le collaborateur, livré à lui même, peut commettre l’erreur de cliquer sur un lien d’hameçonnage, ou peut se voir dans l’impossibilité de mettre à jour ses antivirus, ou encore être contraint d’utiliser son ordinateur personnel pour continuer son activité.

Le recours aux équipements personnels dans un contexte de crise sanitaire

La mise en place du télétravail dans l’urgence a poussé certains salariés à utiliser leurs équipements informatiques personnels pour poursuivre leur activité professionnelle. Un certain nombre de salariés se retrouve désormais à utiliser leur ordinateur et/ou leur téléphone personnel pour accéder à leurs applications et effectuer des tâches professionnelles.

Cette pratique n’est pas nouvelle, la CNIL ayant déjà eu l’occasion d’élaborer des recommandations sur le BYOD. Cependant, dans ce contexte de crise sanitaire le recours aux équipements personnels est largement accru, d’autant plus qu’il n’est pas toujours encadré – les entreprises ont souvent dû trouver rapidement des solutions pour limiter la perte d’activité.

En raison de la situation d’urgence qu’a entraîné le début du confinement ainsi que du télétravail massif, les entreprises n’ont pas forcément pu envisager l’ensemble des risques et sécuriser ce qui doit l’être, permettant ainsi des failles supplémentaires pour des personnes malveillantes. Les cyber-risques sont par conséquent largement augmentés, et ce, pour plusieurs raisons: 

  • Les périphériques personnels ne sont pas adaptés naturellement pour accéder au réseau de l’entreprise (antivirus, mises à jour, wifi sécurisé…) dans les meilleures conditions de sécurité et les salariés n’ont pas toujours les connaissances pour effectuer les réglages requis (notamment pour le téléchargement et le paramétrage d’applications ou de logiciels). 
  • La gestion de ce parc provisoire de poste de travail personnel, devient extrêmement compliquée à gérer pour l’entreprise, de par son hétérogénéité en matière de durcissement. En ce sens, il devient délicat de détecter des comportements anormaux et de prévenir les cyberattaques. Par exemple, les salariés sont susceptibles d’utiliser des services non-adaptés aux contraintes de sécurité des entreprises permettant l’exploitation de failles de sécurité. Le risque que des malwares soient introduits dans le réseau d’entreprise sans qu’ils ne soient détectés n’est pas à négliger, d’autant plus si les appareils sont mal paramétrés.
  • L’utilisation d’un appareil personnel peut conduire à une confusion des usages professionnels et personnels engendrant un risque pour l’entreprise. Si le poste n’est pas bien sécurisé, l’utilisation pour des besoins personnels, peut engendrer des failles qui auront un impact sur son utilisation professionnelle, et peut compromettre la sécurité des données en provoquant la fuite. C’est le cas, par exemple, du salarié se connectant à une plateforme de visioconférence présentant des vulnérabilités pour contacter ses amis ou téléchargeant une application piégée pour faire son sport. 

Les employeurs doivent se mobiliser pour sensibiliser les salariés à l’utilisation de leurs équipements personnels en édictant des recommandations pour limiter les risques de cyber-sécurité. 

Les salariés doivent eux mêmes rester attentifs et appliquer à leurs appareils personnels la politique de l’entreprise avec rigueur.

Pour ce faire, les uns comme les autres peuvent s’inspirer des bonnes pratiques édictées par le site de prévention des cyber-risques du gouvernement, la CNIL ou encore l’ANSSI.

Globalement, différents canaux permettent de sensibiliser les collaborateurs:

  • Des campagnes internes d’hameçonnage, permettant de tester le collaborateur;
  • Des formations internes ayant pour but de donner les bonnes pratiques à appliquer tant sur l’ouverture de mails/URL/pièces jointes que sur l’utilisation du BYOD, ou encore lors de l’exercice des fonctions du salariés depuis son domicile (télétravail).

Les entreprises devront également envisager une prolongation/reconduction d’une telle situation et s’assurer que les connexions distantes en masse soient suffisamment sécurisées afin de permettre de réduire la vraisemblance des scénarios de menaces.


Devoteam accompagne ses clients sur l’ensemble des problématiques liées à cybersécurité. Vous souhaitez en savoir plus ?  Découvrez l’offre Cybersécurité de Devoteam  

devoteam

Contact

Cynthia Tatard

Consultante en protection des données

Mégane Vidal

Consultante en protection des données personnelles

Nadra Agoun

Consultante en protection des données personnelles