COVID-19: Ce Que Les Entreprises Doivent Savoir Sur Les Risques Du Télétravail Et De La Cybersécurité

Face à la crise sanitaire liée à la pandémie de COVID-19 et des mesures de confinement à travers le monde, les entreprises ont rapidement réagi en ayant massivement recours au télétravail. Du jour au lendemain, la majeure partie des salariés qui le pouvaient se sont mis à travailler à distance de chez eux. Cette pratique mondialisée a permis d’assurer une certaine continuité de l’activité économique en dépit de la crise sans précédent que nous vivions. Cependant, le recours au télétravail de façon si massive sans réelle maîtrise des mesures de sécurité lors de sa mise en place est de nature à engendrer des risques majeurs pour les entreprises, situation qui vraisemblablement perdurera dans le temps, dans un contexte où les criminels exploitent de plus en plus intelligemment les faiblesses de cette mise en place du télétravail.

En effet, une mise en œuvre non-maîtrisée du télétravail augmente considérablement les risques de sécurité pour les entreprises qui y recourent. Dans ce contexte de risque de désorganisation, de confusion, et de dématérialisation des procédures des entreprises, les cyberattaques s’intensifient. Les criminels trouvant une opportunité dans cette nouvelle organisation. Les différentes attaques en augmentation comprennent l’hameçonnage (phishing) dérobant des informations confidentielles ; les rançongiciels (ransomware) engendrant la réclamation d’une rançon pour libérer les données volées ; le vol de données ; et les faux ordres de virement. Les télétravailleurs, ayant désormais des contacts physiques quotidiens limités voire presque inexistants avec leurs collègues, sont moins enclins à discuter des menaces ou d’alerter leur entreprise à temps, et deviennent par conséquent la proie de ces attaques. Les entreprises du secteur de la santé, qui ont tendance à contenir une quantité importante de données personnelles et sensibles, peuvent être encore plus vulnérables.

Ces risques sont aujourd’hui bien réels et sont exacerbés si de mauvaises pratiques sont utilisées par des salariés en télétravail. Une étude récente publiée en mai 2020 par OneLogin, plateforme de gestion des identités, a été menée auprès de 5,000 salariés en télétravail dans cinq pays (Allemagne, France, Royaume-Uni, Irlande et États-Unis). La conclusion est frappante. Près d’une personne sur cinq a partagé le mot de passe de son ordinateur professionnel avec son épouse ou ses enfants. Plus inquiétant encore, 36% des sondés avouent ne pas avoir modifié le mot de passe Wifi à leur domicile depuis plus d’un an.

Les autorités publiques françaises entendent agir et protéger les entreprises face à ce risque de piratage de données dans un contexte de relance économique. Le dispositif d’assistance aux victimes d’actes de cybermalveillance, incubé par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et copiloté avec le ministère de l’Intérieur, rappelle que « bien connaître les risques permet de mieux détecter les attaques et de comprendre l’intérêt des mesures de sécurité à appliquer ». La Commission nationale de l'informatique et des libertés (CNIL) s’est également emparée de ce sujet en préconisant les mesures de sécurité à mettre en œuvre pour garantir la sécurité des systèmes informatique et des données dans le cadre du télétravail.

Les recommandations suivantes, entre autres, ont pour objectif de synthétiser les différentes préconisations afin de protéger les données des entreprises dans ce contexte de recours massif au télétravail :

• Adoption et diffusion d’une charte de sécurité dans le cadre du télétravail. Les entreprises doivent mettre en œuvre une charte visant à sensibiliser les salariés au risque de cyberattaques et à fournir des règles à suivre pour minimiser ce risque. Il est préconisé de diffuser une liste d’outils de communications et de travail collaboratif appropriés garantissant la confidentialité des échanges et des données partagées. Cette charte doit être le fruit d’un processus collaboratif impliquant différents services tels que les ressources humaines, le service informatique, le service en charge de la protection des données personnelles, et/ou le service juridique. Chaque entreprise et différente, et cette charte doit en tenir compte.
• Maitrise et sécurité des accès extérieurs. La limitation de l’ouverture des accès extérieurs ou distants (RDP) aux seules personnes indispensables ainsi que la mise en place d’un pare-feu facilitent le contrôle des accès extérieurs. En outre, le cloisonnement des systèmes et la systématisation des connexions sécurisées par un VPN (Virtual Private Network) avec un système de double authentification accentuent cette sécurité.
• Renforcement de la politique des mots de passe, des mises à jour de sécurité, des anti-virus professionnels, et des outils de blocage de l'accès aux sites malveillants. Ces moyens protègent les entreprises de la plupart des attaques virales connues, y compris des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware).
• Durcissement de la sauvegarde des données et d’une journalisation de l’activité des équipements d’infrastructure. Ce sont souvent les seuls moyens permettant de comprendre comment une cyberattaque a pu se produire, comment y remédier, et comment évaluer l’ampleur de l’attaque, y compris en identifiant l’exfiltration des données.
• Supervision de l’activité des accès externes et systèmes sensibles. Une supervision active pour détecter toute activité anormale qui pourrait être le signe d’une cyberattaque permet d’identifier rapidement les attaques et de minimiser les dommages

CONSEIL : Aucune entreprise, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. L’anticipation, l’évaluation des risques, et la préparation à des scénarios de cyberattaques sont essentielles pour protéger les entreprises.

Pour recevoir les derniers articles de notre équipe de droit social à Paris, abonnez-vous à notre newsletter.