Télétravail et Cyber sûreté

Tout d’abord, parce que des employeurs ont été conduits, parfois malgré eux, à investir dans des supports informatiques mobiles au bénéfice de leurs salariés, mais aussi parce que l’usage aura été adopté et que la persistance du virus conduit à maintenir certaines mesures « barrières » durablement.
 
Et puis, avouons-le, au-delà des avantages et inconvénients liés à cette « domestication » du lieu de travail, les locaux professionnels vont pouvoir être, dans une certaine mesure, une variable d’ajustement dans les années à venir, afin de réduire ce centre de coûts. Les salles de réunions ponctuelles vont se substituer aux open space et autres bureaux permanents.
 
C’est pourquoi le télétravail devient un poste de travail à part entière.
 
Etat des cybermenaces en télétravail :
 
Au préalable, que dit le droit ? Selon le Code du travail (article L. 1222-9) le télétravail est identifié comme :
 
« toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l’information et de la communication ».
 
Ce dernier point est précisément source de vulnérabilité numérique, sachant que le facteur humain est toujours essentiel dans cette précaution de cyber sûreté.
 
Si le télétravail présente indéniablement des atouts, le revers de la médaille est sans nul doute un risque accru en matière cyber compte tenu de l’exposition aux intrusions, sabotages et interceptions eu égard à l’emploi de canaux et supports moins assurés et non contrôlés par l’entreprise.
 
Le site www.cybermalveillance.gouv.fr liste à cet égard les menaces suivantes :
 
– L’hameçonnage (phishing) : Messages (email, SMS, chat…) visant à solliciter des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance.
 
– Les rançongiciels (ransomware) : Attaque qui consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalables des sauvegardes.
 
– Le vol ou compromission de données : Attaque qui consiste à s’introduire sur le réseau de l’entreprise, ou sur ses hébergement externes (cloud), pour lui dérober des données afin de la faire « chanter », ou de les revendre, ou encore de les diffuser pour lui nuire.
 
– Les faux ordres de virement (FOVI/BEC) : Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière pour l’entreprise ou l’organisation.
 
Ceci nous conduit à préconiser les bonnes pratiques suivantes :
 
GUIDE D’HYGIENE DIGITALE DU TELETRAVAIL
 
I - POUR LE SALARIÉ :
 
I.1 Continuité d’activité en télétravail :

1. Choisir des supports distincts entre ordinateurs, tablettes et/ou smartphone professionnels et domestiques.
2. N’utiliser que les supports fiables, dotés d’antivirus à jour.
3. Renforcer les authentifications d’accès par des mots de passe robustes.
4. Utiliser des adresses électroniques différentes selon les usages professionnels ou domestiques.
5. Procéder à des sauvegardes quotidiennes sur des supports séparés.
6. Mettre à jour régulièrement des antivirus et autres programmes de sécurité.
7. Pour les communications électroniques utiliser les VPN ou réseaux chiffrés.
8. Ne pas télécharger d’applications et/ou programmes inconnus ou préconisés par d’autres utilisateurs non identifiés.
9. Ne transférer que les données strictement nécessaires à l’activité professionnelles.
10. Verrouillez à l’égard des autres personnes présentes dans l’espace domestique.
11. N’utiliser que des supports externes (clé USB, disques dur), identifiés et fiables.

 
I.2. Reprise d’activité présentielle (dans les locaux de l’entreprise) :
 
A l’occasion du retour dans l’entreprise, AVANT DE SE CONNECTER, veiller à INSPECTER les supports numériques :

1. Effacer les historiques,
2. Supprimer les cookies,
3. Faire analyser les supports et accessoires, le cas échéant, modifier les codes d’accès.
4. Soumettre les clés ou autre support remis au DSI ou RSSI pour un nettoyage.
5. Eventuellement, faire une note d’évaluation pour votre DSI ou RSSI. 
    

II - POUR L’EMPLOYEUR :
 

1. SENSIBILISER : sécuriser, c’est d’abord irriguer et diffuser les bonnes pratiques de précaution à l’attention de toutes les forces vives de l’entreprise.
    

 Précision : Une formation adaptée et continue doit être réalisée en interne pour étendre à tous les collaborateurs le souci d’agir au quotidien conformément aux règles de sécurité en usage et leur permettre d’avoir conscience des menaces pour les activités et l’entreprise mais aussi l’usage des données personnelles.
 

2. SE CONFORMER à la règlementation en vigueur : l’effort de conformité doit s’appliquer de manière à être toujours au niveau requis de protection numérique érigé par les textes et les institutions, eu égard au domaine d’activité de l’entreprise.
    
3. DEFINIR une politique de sécurité globale, efficiente et transverse.
    
4. ORGANISER la protection physique des installations et des infrastructures : la sécurité des réseaux et des informations n’exclue pas la prise en compte des sinistres
    
5. PRATIQUER un examen régulier des risques et des vulnérabilités : un audit de sécurité numérique sera régulièrement effectué de manière à mettre en œuvre une adaptation nécessaire et évolutive en intégrant des mises à jour nécessaires pour palier les failles de sécurité recensées. 
    

Précision : L’entreprise doit procéder à une révision constante des outils de sécurité dédiés. Une telle recension conduira à assurer une mise à niveau de l’ensemble des politiques de sécurité des données.
 

6. VEILLER à intégrer une politique de sécurité adaptée aux besoins de l’entreprise. Cela nécessite une connaissance profonde des données traitées afin de pouvoir opérer une classification des moyens de protection dédiés selon leur nature.
    
7.  CLOISONNER les informations en fonction du profil de métiers destinés à y accéder. Tous les collaborateurs n’ont pas besoin de connaître toutes les données de l’entreprise.
    

Précision : Selon la nature des fonctions et en considération du niveau de poste et/ou de qualification, chaque salarié devra posséder un code d’accès distinct, donnant lieu à un accès identifié et séparé des données. Organiser et régir les restrictions d’accès. Via des paramètres de sécurité opérationnels.  
 

8. INTEGRER une politique proactive de résilience : savoir gérer et répondre aux crises rencontrées. Anticiper les urgences et les indisponibilités. Intégrer un dispositif interne d’alerte.
    

  Précision : La politique de sûreté-sécurité doit intégrer un exercice de gestion de crise pour savoir réagir aux cyber attaques de toute nature et être en mesure de restituer dans un temps donné toutes les données présentes antérieurement au sein de l’entreprise.
 

9. RAPPELER les règles essentielles de travail et connexion à distance et/ou en déplacement : éviter l’usage des plateformes de partage et les moyens de connexion publics. Ne transférer que les fichiers utiles.
    
10. INTEGRER des systèmes d’authentification forte : recourir au chiffrement des données stratégiques ou sensibles.
     

  C’est bien connu : prudence est mère de (cyber) sûreté.


Par Olivier de MAISON ROUGE
Avocat (Lex-Squared) – Docteur en droit
A paraître : « Survivre à la guerre économique. Manuel de résilience » (VA Editions – septembre 2020)