Dopé par la démocratisation des outils numériques et encadré par une réglementation juridique précise, le télétravail est pratiqué par 39% des salariés des entreprises privées depuis le début du confinement en mars 2020 (étude Malakoff Médéric) contre 3% en 2017 (étude DARES : Ministère du Travail).
La mise en œuvre non maîtrisée du télétravail peut considérablement accroître les risques pour les entreprises, notamment face à la montée de la cybercriminalité qui cherche à tirer profit de la crise. Les campagnes d’hameçonnage (phishing) ayant pour thème la COVID-19 attestent de cette triste réalité. Des cybercriminels ont ainsi profité de la popularité de l’outil collaboratif Microsoft Teams pour récupérer des identifiants. Pour piéger leurs victimes, ils ont envoyé une copie très ressemblante d’une notification automatique de l’application officielle. Les victimes pensaient alors se connecter à leur compte pour rejoindre une réunion, mais ils entraient leurs identifiants sur une page frauduleuse. Les entreprises ne sont pas les seules concernées par cette vague de cyberattaques puisque de grandes institutions telles que l’Organisation mondiale de la Santé (OMS) et plusieurs gouvernements (français, canadien, américain) ont été touchés.
Parallèlement à l’augmentation des cyberattaques qui demandent aux organisations de renforcer la sécurité de leurs actifs, la pratique du télétravail a entraîné un changement radical au sein des entreprises : l’adoption de nouveaux outils de communication, que nous avons brièvement évoquée avec l’exemple de Microsoft Teams. L’avènement des plateformes collaboratives, telles que Zoom, Slack ou encore Microsoft Teams a permis aux entités privées et publiques de poursuivre leurs activités, avec un certain niveau d’agilité. Néanmoins, des dérives ont malheureusement pu être constatées. La surexploitation des outils collaboratifs n’est pas sans conséquence. À titre d’exemple, l’application gratuite Framatalk, utilisée par de nombreux enseignants pour sa facilité d’utilisation, a été victime de son succès et a connu une interruption de service due à une surcharge d’utilisation. Ces outils sont aussi parfois porteurs de failles de sécurité, à l’instar de l’outil de vidéoconférence Zoom. À titre d’exemple, des white hats du laboratoire de recherche Morphisec ont révélé des failles de sécurité sur cet outil. Ces dernières permettent à des cybercriminels d’enregistrer volontairement des sessions de vidéoconférence et avoir accès aux conversations des utilisateurs.
La mise en place de plateformes collaboratives non expertisées et validées par la DSI entraîne ainsi une surexposition aux risques numériques et notamment à ceux du Shadow IT. Il convient aux DSI d’assurer un encadrement maîtrisé desdits outils tels que la définition des règles à appliquer. Ces dernières doivent être applicables à l’ensemble des métiers et pas uniquement aux DSI. Il convient également de fixer certaines limites à ce qui peut être externalisé en tenant compte des risques que cela entraîne. En revanche, c’est à la DSI et uniquement à elle que revient la maîtrise du paramétrage de l’ensemble du SI de l’entreprise. Par ailleurs la mise en place d’une politique de sécurité éprouvée permettrait une utilisation sereine de ces plateformes collaboratives, gage de confiance pour les collaborateurs.
Dans l’optique de sensibiliser entreprises et salariés, il est indispensable de présenter un état des lieux des recommandations de sécurité à adopter dans le cadre de la pratique du télétravail. Se basant sur la documentation existante, notamment les guides d’hygiène publiés par l’ANSSI et la CNIL, une dizaine de mesures apparaissant comme prioritaires parmi l’ensemble des recommandations établies par les agences publiques :
Edition d’une chartre du télétravail
Durcissement des postes nomades de salariés
Cloisonnement des systèmes
Sécurisation de la connexion Wi-Fi
Mise en place d’un VPN
Accès réglementé aux ressources Cloud
Journalisation des évènements
Détection d’incidents informatiques
Sensibilisation des collaborateurs aux risques cyber
Communication des incidents informatiques auprès d’autorités compétentes
Ces mesures doivent être appliquées pour assurer la continuité de l’activité professionnelle et la sécurité des actifs de l’entreprise.