Virus, télétravail et cybersécurité


Cybersécurité
oups! image non disponible :(

Chaque événement d’ampleur est vu par les cybercriminels comme un levier potentiel pour tendre des pièges aux usagers du cyber-espace. La pandémie du COVID-19 n’échappe pas à la règle : une carte téléchargeable permettant de visualiser la propagation de la maladie dans le monde est en réalité un malware. Mais les enjeux cybersécurité de cette crise sanitaire ne s’arrêtent pas là, l’adoption accélérée du télétravail qu’elle provoque en est un, beaucoup plus grand.

L’humain en première ligne

L’humain est aujourd’hui l’un des vecteurs majeurs des cyber-attaques contre les entreprises. Cette exposition importante à travers les ressources humaines n’est aujourd’hui que relativement contenue par les angles techniques et de contrôle. La migration massive vers le travail à distance augmentera mécaniquement la difficulté de gestion de ces derniers et en limitera l’efficacité.

En utilisant son propre matériel et en effectuant ses propres choix d’usage et de technologie, le collaborateur se retrouvera, plus qu’il ne l’est aujourd’hui, en première ligne de la protection numérique de son entreprise.

La sensibilisation et la formation des collaborateurs aux enjeux et bonnes pratiques de la cybersécurité est un pilier essentiel de toute stratégie de cybersécurité. Avec le télétravail, c’est un axe de protection vital. Sous forme de elearning, cet axe s’adapte lui-même aux organisations en télétravail. Voir les modules elearning Human-Chain.

La protection endpoint fragilisée

Il est, en effet, très probable que la tendance du Bring Your Own Device (BYOD), qui pour des raisons de coûts, confort et flexibilité invite les collaborateurs à travailler avec leur propre matériel connecté, se multipliera voire se systématisera avec des salariés travaillant en dehors de l’entreprise. De la même manière, le Shadow IT, c’est-à-dire des logiciels, services ou appareils n’appartenant pas à l’entreprise et hors de contrôle de sa DSI, s’épanouira dans un contexte favorable.

Pour sa part, l’essentielle protection physique de l’infrastructure informatique de l’entreprise (gestion des clés USB, par exemple) sera impossible à appliquer sur la partie, de fait, déportée au domicile du collaborateur. Aussi, il arrivera que des collaborateurs se connectent depuis des réseaux non sécurisés et des pièges de phishing profiteront de ce mode de travail.

Les responsables de la cybersécurité se retrouvent donc privés de nombreux leviers de contrôle et de protection des terminaux utilisateurs. La surface d’attaque pour l’entreprise s’en retrouve décuplée.

Des données encore plus disséminées

La migration des données de l’entreprise vers le cloud est une tendance qui s’accentue. Malgré les avantages qu’offrent les services cloud, ces derniers sont vecteurs de risques spécifiques. Le télétravail augmentera le recours par les entreprises au cloud et donc les risques qui y sont associés. L’usage de clouds personnels non autorisés pourrait par exemple se multiplier sans contrôle possible.

Mais le patrimoine informationnel de l’entreprise n’est pas uniquement dans le cloud. Souvent, les tâches et missions effectuées par les salariés requièrent du stockage local, des transits par des services en lignes, des imprimantes, des périphériques de stockage externes… Cette dissémination des données de l’entreprise, déjà difficile à superviser en présentiel, sera encore plus difficile à contrôler dans une organisation en télétravail.

La stratégie de cybersécurité des organisations doit donc être repensée pour s’adapter à ces nouveaux modes d’organisation. Les collaborateurs doivent être sensibilisés au rôle encore plus central qu’ils sont amenés à jouer dans la protection numérique de leur organisation. Ils devront également être outillés et formés pour l’assumer efficacement.



Human-Chain est l'ensemble des services de Paladax Cyber-Defense dédiés à la sensibilisation et à la formation des ressources humaines aux bonnes pratiques de la cyber-sécurité. Human-Chain permet aux organisations de créer une ligne de cyber-défense RH composée de collaboratrices et collaborateurs conscients de la menace, formés et responsabilisés.