Bureau à domicile - quels sont les dangers informatiques qui guettent ?

Ces jours-ci, il ne s'agit pas seulement de respecter des règles d'hygiène particulières, mais aussi des règles de cybersécurité. Cela est encore plus vrai pour ceux qui travaillent à domicile.

Quelques mesures suffisent à minimiser considérablement le cyber-risque et à faire du bureau à domicile un lieu de travail sûr. Voici les conseils d'Infoguard :

• Pour pouvoir établir une connexion sécurisée au réseau de l'entreprise, il faut utiliser VPN (Virtual Privat Network) est indispensable. Prenez les dispositions nécessaires pour que la solution d'accès à distance puisse également couvrir les besoins supplémentaires en bande passante.
• Accès à distance en combinaison avec un AMF (Authentification multi-facteurs) est un must. Veillez à ce que suffisamment de licences soient disponibles pour l'accès à distance avec l'AMF et que le déploiement soit préparé. Il serait fâcheux que les collaborateurs ne puissent pas travailler de manière productive en raison d'un manque d'authentification.
• S'il n'y a pas de postes de travail mobiles pour les collaborateurs, ils seront vraisemblablement employés par le biais de appareils privés (BYOD, Bring Your Own Device, Conseils de sécurité ici) à accéder au réseau de l'entreprise. Les appareils doivent répondre aux exigences minimales de sécurité correspondantes et être équipés d'un logiciel de protection adéquat.
• Les systèmes d'exploitation, les applications, les scanners de logiciels malveillants, etc. doivent toujours être à jour. Mises à jour (vaut également pour les appareils privés). Utilisez des mesures compensatoires si les mises à jour du fabricant ne sont pas disponibles. Les possibilités à cet effet sont Endpoint Protection (EPP), Endpoint Hardening, Surveillance des systèmes d'extrémité par un SOC, etc.
• Misez entre autres sur Mesures de sensibilisation (Sensibilisation à la sécurité) et d'informations afin d'attirer l'attention des collaborateurs sur les dangers. Actuellement, par exemple, les courriels de phishing (voir ici) qui ont un lien avec le coronavirus. Utiliser des fonctionnalités de sécurité avancées sur les passerelles de messagerie pour se protéger contre les logiciels malveillants et les attaques APT.

Ne pas toucher aux services de cloud public

Les fonctions de groupware telles que le courrier électronique ou le calendrier ne posent généralement pas de problème de sécurité majeur lorsque l'on travaille à distance, car ces applications sont de toute façon déjà disponibles, pour la plupart, via des clients web et des applications mobiles, indépendamment du lieu.

Les solutions de collaboration de contenu constituent une alternative moderne aux solutions VPN pour l'accès interne à l'entreprise. Elles permettent de consulter et d'échanger des fichiers rapidement, facilement et indépendamment des terminaux grâce à un stockage central en ligne.

La tentation est grande de miser tout simplement sur l'un des nombreux services de stockage en nuage public. Mais les entreprises feraient mieux de ne pas y toucher, conseille le fournisseur open source ownCloud. Ces services sont en général d'origine américaine et sont donc soumis au US Cloud Act. Cette loi relativement récente légitime les autorités américaines à exiger des exploitants la remise de toutes les données d'une personne ou d'une entreprise. Or, cela n'est pas compatible avec des dispositions de protection des données telles que le RGPD et contraint de facto les entreprises à abandonner la souveraineté sur leurs données souvent sensibles.

Sources : Infoguard, ownCloud

voir aussi l'article "Haute sécurité des données dans le cloud„

Ce qu'il faut également prendre en compte

Si le collaborateur ne peut effectuer son travail qu'avec un accès au serveur XY, celui-ci doit également être garanti dans le bureau à domicile. L'idéal est de l'avoir testé efficacement AVANT le cas d'urgence.

Tous les processus de travail dans l'entreprise ne fonctionnent pas également dans le bureau à domicile, que ce soit pour des raisons de sécurité, d'obstacles juridiques ou de règles d'entreprise. Il faut le communiquer clairement et à temps afin d'éviter les frustrations et les étapes de travail manquantes. D'un autre côté, en tant que collaborateur en home-office, il faut aussi en être conscient et ne pas essayer de contourner ces limites de manière créative.

Une boîte aux lettres pour les problèmes de sécurité

Il est utile de mettre en place une adresse électronique d'entreprise à laquelle les collaborateurs peuvent envoyer rapidement et sans bureaucratie les problèmes de sécurité.

Sachant que de nombreuses cyberattaques réussissent parce que les escrocs essaient encore et encore, jusqu'à ce qu'un clic irréfléchi se produise, une boîte aux lettres électronique de sécurité sert également à la prévention : les anomalies peuvent être rapidement enregistrées et des avertissements peuvent suivre. Toutes les remarques des utilisateurs, même superflues, doivent absolument être prises en compte. Quant aux informations sur le service de sécurité, il est préférable qu'elles n'atterrissent pas sur le compte e-mail sous forme de lien, mais qu'elles soient transmises hors ligne par lettre, carte d'information ou autre, afin de compliquer la tâche des fraudeurs dans ce domaine également.

Source : Alert Sophos