Alors que les bureaux retrouvent progressivement une fréquentation ‘intensive’ et que le travail hybride devient une réalité, les nouveaux modèles de travail exposeront les employeurs à un ensemble de risques familiers. Les appareils portables – laptops smartphones, tablettes et clés USB – ont toujours représenté un risque pour les responsables informatiques alors que pendant la pandémie, ils étaient principalement statiques. Les menaces de sécurité doivent résolument être prises au sérieux.

Au Royaume-Uni, plus de 60% des entreprises songent à adopter le travail hybride après l’assouplissement des restrictions. Le chiffre est encore plus élevé (64 %) parmi les entreprises internationales. Cependant, bien qu’un mix ‘télétravail et bureau’ convienne à la plupart des employés, favorisant et la productivité et le bien-être du personnel, les défis sont là. Au centre on trouve l’atout le plus important de l’organisation et cependant le maillon le plus faible de la chaîne de sécurité : les employés.

Les risques de sécurité des appareils pour travail hybride sont nombreux: appareils mobiles perdus ou volés, documents papier perdus ou volés, réseaux Wi-Fi non sécurisés…

Limiter les risques sécuritaires des appareils est possible car ces menaces existent depuis des années et des politiques éprouvées peuvent aider à les éliminer. L’urgence vient du fait qu’aujourd’hui une majorité d’employés pourraient y être exposés, alors qu’avant la pandémie le nombre de télétravailleurs était relativement faible.

Comment y remédier?

• Formation et sensibilisation des employés : nous savons tous que des programmes efficaces de formation peuvent aider à réduire les risques de phishing. Les mêmes processus peuvent être adaptés pour sensibiliser les employés aux menaces potentielles reprises ci-dessus : la gestion des mots de passe, l’ingénierie sociale et l’utilisation sécurisée du Web. Les techniques de gamification sont de plus en plus populaires car il a été prouvé qu’elles accélèrent le processus d’apprentissage, améliorent la rétention des connaissances et entraînent des changements durables du comportement.

• Politiques de contrôle d’accès : l’authentification des utilisateurs est primordiale dans toute stratégie de sécurité d’entreprise, surtout lors de la gestion d’un grand nombre d’utilisateurs distants. Les politiques doivent être adaptées à l’intérêt pour le risque de l’organisation, mais les meilleures pratiques comportent généralement des mots de passe forts et uniques, stockés dans un gestionnaire de mots de passe et/ou une authentification multi facteurs (MFA). Cela signifie que, même si un espion numérique ou un internaute capture le mot de passe ou l’identifiant à usage unique, le compte restera sécurisé.

• Sécurité des appareils : les appareils doivent être protégés et gérés par le service informatique. Le cryptage fort du disque, l’authentification biométrique, le verrouillage à distance avec effacement des données, la protection par mot de passe avec verrouillage automatique, la sécurité des terminaux, les correctifs/mises à jour automatiques réguliers et la sauvegarde dans le cloud sont tous très importants.

• Zero Trust : ce modèle, de plus en plus populaire, a été conçu pour un monde où les utilisateurs peuvent accéder aux ressources de l’entreprise en toute sécurité de n’importe où, sur n’importe quel appareil. Il s’agit de l’authentification continue basée sur les risques de l’utilisateur et de l’appareil, la segmentation du réseau et d’autres contrôles de sécurité. Les organisations supposent une violation, appliquent la politique du moindre privilège et traitent tous les réseaux comme non fiables.