La flambée de coronavirus (COVID-19) a été officiellement classée comme pandémie par l’Organisation Mondiale de la Santé (OMS), ce qui signifie que l’infection se développe dans plusieurs pays à la fois. Les États-Unis d’Amérique ont déclaré des interdictions de voyage supplémentaires pour 28 pays européens, de nombreux pays ont fermé les écoles et les universités, et les grands rassemblements de personnes ont été bannis.
De grandes entreprises telles que Google et Microsoft encouragent ou obligent leur personnel à adopter une politique de travail depuis le domicile. Pour les sociétés technologiques modernes, les infrastructures et les politiques nécessaires au télétravail sont indiscutablement déjà en place et la vaste majorité des effectifs utilise déjà probablement un ordinateur portable.
Pour les sociétés et organisation de plus petite taille, cependant, la situation est sans doute très différente. Le télétravail est probablement limité à un petit nombre de personnes et, de façon réaliste, essentiellement pour la messagerie électronique ou autres services non-opérationnels. Le secteur de l’éducation est un bon exemple : les universités proposent des enseignements à distance depuis un certain temps tandis que les grandes écoles et d'autres établissements sont essentiellement dépendants du fait que le personnel et les étudiants sont présents sur place pour apprendre. Les équipes opérationnelles et administratives des écoles doivent également être prises en considération, étant donné qu’elles utilisent sans doute des ordinateurs de bureau plutôt que des ordinateurs portables et qu’il est peu probable que leurs membres soient des travailleurs mobiles.
Diviser l’organisation en quelques groupes de personnes avec des exigences différentes et traiter les besoins de chacun pour mettre en œuvre l’exode de masse peut paraître une approche simpliste, mais cela est probablement essentiel étant donné l’urgence dans certains cas. Si l’on prend l’exemple de l’éducation, il y a les étudiants (les clients, le personnel enseignant, l’administration et les opérations. L’école ne peut pas fonctionner sans l’engagement significatif des étudiants, les enseignants au moins ont besoin d’équipements de téléconférence et les équipes administratives nécessitent un accès réseau, et cela est le minimum.
Pour être productif, il y a des exigences communes que tous les télétravailleurs doivent remplir. Ayant moi-même travaillé à distance pendant la majeure partie de ma vie professionnelle, je peux attester qu’il faut :
- Un ordinateur
- Une bonne connexion Internet
- Des applications de chat et de conférence
- Un espace de travail dédié (si possible)
- En option, un téléphone
- De l’auto-motivation et de la discipline
- Une routine stricte
Pourquoi le téléphone est-il optionnel? Dans l’environnement d’aujourd’hui, il peut en effet ne pas être indispensable notamment parce que la plupart des applications de chat permettent d’appeler directement. La nécessité d'avoir un téléphone peut être davantage une exigence de l’entreprise qu’un impératif objectif.
Il est important de noter que les sociétés et les organisations doivent également se préparer, et préparer leurs salariés, aux risques de cybersécurité accrus liés au télétravail. Quels sont certains des défis à relever?
Sécurité physique des appareils de la société
Les salariés vont exposer les appareils de la société à un plus grand risque étant donné qu’ils quittent l’espace sûr et sécurisé du lieu de travail. En tant que télétravailleur, je vais souvent à la bibliothèque pour travailler; on y trouve des espaces de travail partagés et d'autres individuels, et c’est une forme de socialisation. Les appareils doivent être protégés contre la perte et le vol. Les options sont par exemple :
- Le chiffrement complet de disque garantit que même si l'appareil tombe entre de mauvaises mains, les données de la société ne seront pas accessibles.
- Se déconnecter lorsque l’appareil n’est pas utilisé – que ce soit à la maison ou dans un lieu public. L’envoi accidentel par un enfant un peu curieux d’un e-mail à votre patron ou à un client est facilement évité, tout comme l'accès à l'appareil par autrui pendant que vous avez le dos tourné au café du coin.
- Une politique de mots de passe forts – exigence d’un mot de passe au démarrage, déconnexion après un certain temps d’inactivité, et interdiction de noter les mots de passe sur des bouts de papier : les gens le font encore!
- Ne jamais laisser un appareil sans surveillance ou exposé au public. Si l’appareil est dans une voiture, il doit être dans le coffre.
Que comprend l’environnement technologique à domicile
Demander aux salariés d’auditer leur environnement de travail à domicile à la recherche d’éventuelles vulnérabilités avant de connecteur leurs appareils de travail. Des informations paraissent en continu concernant les appareils Internet des objets (IdO) vulnérables et le moment est tout trouvé pour que les salariés agissent afin de les sécuriser grâce à des mots de passe forts et à la mise à jour de leurs micrologiciels/logiciels avec les versions les plus récentes.
Penser à encourager, voire imposer, l’utilisation d’une application mobile de suivi de domicile connecté permettant aux appareils professionnels d’être connectés aux réseaux domestiques. L'analyse ou le suivi indiqueront les appareils présentant des vulnérabilités connues, les logiciels ou micrologiciels obsolètes ou encore les mots de passe défaillants devant être changés.
Accès au réseau et aux systèmes de la société
Établir si le salarié a besoin d’accéder au réseau interne de l’organisation ou s’il peut se contenter d’un accès à des services et une messagerie électrique sur le cloud. Enfin, prendre en considération si le niveau d’accès aux données sensibles qui est accordé au salarié doit être le même sur site et hors site.
- Si le salarié a besoin d’accéder au réseau interne de l’organisation :
- Je recommande que cela s’effectue exclusivement à partir d’un appareil appartenant à l’organisation de manière à ce que la direction de l’équipe de l’informatique et de la sécurité de la technologie ait le plein contrôle de l'appareil.
- Toujours utiliser un VPN pour connecter les télétravailleurs au réseau interne de l’organisation. Cela empêche les attaques de l’homme du milieu depuis des endroits distants : rappelez-vous que maintenant que vous travaillez depuis chez vous, les données circulent sur des réseaux publics.
- Contrôler l’utilisation des appareils externes comme les clés USB et les périphériques.
- Autorisation de l’accès à des services de messagerie électronique et cloud depuis un appareil appartenant au salarié
- Appliquer la même politique de sécurité des terminaux aux antimalware, pare-feux, etc. qu'aux appareils gérés par l’organisation. Si nécessaire, fournir au salarié une licence pour les mêmes solutions utilisées sur les appareils appartenant à l’organisation. Si vous avez besoin de licences supplémentaires, contactez le fournisseur. Il peut avoir des solutions pour vous couvrir dans cet événement sans précédent.
- Limiter la capacité à stocker, télécharger ou copier des données. Les violations de données sont possibles à partir de tout appareil contenant des données sensibles.
- Réfléchir à l’utilisation de machines virtuelles pour permettre l’accès : cela maintient le salarié dans un environnement contrôlé et limite l’exposition du réseau de la société à l’environnement domestique. Cela peut être plus complexe à mettre en place, mais être une meilleure solution à long terme.
- L’authentification multifacteur (AMF) garantit un accès, que ce soit à des services cloud ou à l’intégralité du réseau, aux seuls utilisateurs autorisés. Dans la mesure du possible, utiliser un jeton basé sur un système d'application mobile ou sur un matériel physique pour générer des codes à usage unique permettant un accès authentifié. Si le temps manque pour déployer une solution, les systèmes basés sur les applications mobiles permettent d’éviter d’avoir à fournir et à distribuer du matériel. Les systèmes basés sur les applications mobiles offrent une sécurité accrue par rapport aux messages SMS, notamment si l’appareil utilisé pour recevoir les codes n’est pas un appareil géré par l’organisation et pourrait être l’objet d’une attaque de SIM swap.
Outils collaboratifs et procédures d’autorisation
Il peut sembler étrange de rassembler ces deux notions dans un même titre mais l’une peut aider à prévenir les problèmes de l’autre.
- Fournir un accès à des systèmes de chat, de vidéo et de conférence de manière à ce que les salariés puissent communiquer entre eux. Cela fournit les outils de productivité nécessaires et aide les salariés à maintenir des liens sociaux avec leurs collègues.
- Utiliser les outils collaboratifs pour se protéger contre les instructions ou transactions non autorisées. Les cybercriminels utilisent principalement l’opportunité représentée par les télétravailleurs pour lancer les attaques Business Email Compromise (BEC) ou compromission de messagerie d’entreprise. Elles consistent en l’envoi, par un imposteur, d’une demande urgente exigeant le transfert immédiat de fonds sous le sceau du secret. Veuillez à utiliser des systèmes de visioconférence/chat comme élément formel du système d'approbation de manière à ce que la validation soit faite « en personne », même si c’est à distance.
Formation
Comme indiqué dans un autre post récent sur mon blog, de nombreuses arnaques au COVID-19 circulent concernant les masques, les vaccins, et qui désinforment. Lorsque des salariés quittent le milieu de l’entreprise et travaillent depuis chez eux, ils doivent réfléchir avant de cliquer sur des liens, car il n’y a plus de collègues susceptibles de les voir en train de regarder des vidéos amusantes ou de visiter des sites Internet.
La formation à la sensibilisation à la cybersécurité est typiquement une exigence annuelle pour les salariés. Il est prudent d’offrir des sessions de recyclage pour aider à éviter l’élément humain que les cybercriminels tentent d’exploiter. Réfléchir à la conduite d’une campagne et aux exigences de formation avant que le salarié commence à travailler à distance… ou le plus tôt possible après qu’il a commencé.
Support et gestion de crise
Dans l’urgence de fournir un accès à distance, ne sacrifiez pas la cybersécurité ou la capacité à gérer les systèmes et les appareils. La capacité à aider les utilisateurs à distance sera essentielle pour garantir des opérations fluides, en particulier si les utilisateurs se retrouvent en quarantaine pour raison de santé. Les télétravailleurs doivent disposer de protocoles de communication clairs concernant le support informatique et la gestion de crise s’ils rencontrent des problèmes inhabituels ou suspecte qui pourraient être le résultat d’une violation.
Il existe, bien évidemment, des considérations supplémentaires d’un point de vue technologique; par exemple, supprimer ou limiter l’utilisation du RDP, comme détaillé dans un post récent de mon collègue Aryeh Goretsky.
Au-delà des processus technologiques et fonctionnels, il existe d’autres facteurs clés pour télétravailler efficacement :
- Communication – Réfléchir à des appels d’équipe une fois par jour, briefer les personnels sur l’état d’avancement et donner à chacun l’opportunité de partager ses expériences et ses problèmes.
- Réactivité – Le télétravail est différent du travail dans un environnement de bureaux. Établir des directives claires sur la manière dont un télétravailleur doit répondre à une demande selon le type de communication, invitation par e-mail, Slack, calendrier, etc.
- Gestion et suivi – Les gestionnaires doivent mettre en œuvre des procédures leur permettant de s'assurer que les télétravailleurs travaillent : réunions de groupe obligatoires, collaboration d’équipe, rapports quotidiens/hebdomadaires/mensuels.
- Calendrier de travail – Convenir d'une méthode d’indication de mise au travail et d’arrêt, même si c’est aussi simple qu’un chat de groupe d’équipe avec les membres disant bonjour lorsqu’ils commencent à travailler.
- Santé et sécurité – Les claviers ergonomiques du bureau ont-ils besoin d’être emportés à la maison pour offrir aux salariés le même confort que celui auquel ils sont habitués? Le télétravail ne supprime pas la responsabilité de fournir un bon environnement de travail.
- Responsabilité civile – Veiller à la couverture des biens de la société pendant qu’ils sont en la possession du salarié.
- Support technique – Diffuser les coordonnées : tous les télétravailleurs doivent savoir comment obtenir de l'aide quand ils en ont besoin.
- Socialisation – Réunir les télétravailleurs, notamment virtuellement. L’interaction sociale constitue une partie importante de la motivation et accroît la productivité. Réfléchir à un programme de jumelage ou de mentorat de manière à ce que chaque salarié soit accompagné et puisse résoudre ses problèmes, évacuer, partager ou encore se socialiser virtuellement.
- Accessibilité – Établir une politique de gestion de la « porte ouverte » virtuelle, à l’instar de celle appliquée dans l’organisation. Veiller à ce que les personnes soient accessibles et puissent intervenir facilement.
Ne croyez pas que tous les salariés peuvent passer efficacement au télétravail sans assistance ou conseils. Le domicile n’est pas le bureau et ils peuvent avoir besoin d’une aide importante pour s'adapter.
D’un point de vue philosophique, le monde ne sera peut-être plus jamais le même, cette obligation de télétravail massif risquant d’être une expérience sociale/professionnelle que peu de sociétés auraient tentée à une telle échelle. Retournerons-nous un jour au bureau, et de la même manière?
Prenez soin de vous!