La pandémie va et vient, mais le télétravail reste. Le modèle qui gagne le plus de terrain est hybride: la plupart des employés peuvent travailler à domicile mais doivent aussi se rendre au bureau certains jours, « le meilleur des deux mondes » pour le personnel et les employeurs. Cependant ces 12 derniers mois le télétravail a créé les conditions idéales permettant aux cybercriminels de prospérer.
Avec plus de temps pour opérer le changement, combiné avec les expériences de l’année écoulée, les responsables de la sécurité informatique et leurs équipes seront mieux préparés qu’ils ne l’étaient en 2020. Mais de nombreux chefs d’entreprise avouent ne pas encore être fixés sur les détails du fonctionnement hybride. Une nouvelle stratégie sécuritaire doit se concentrer sur les risques humains et technologiques, en particulier dans le cloud.
Lorsqu’en 2020 les employés sont resté à la maison, ils ont apprécié le nouvel équilibre travail-vie ainsi que les économies en temps et en argent concernant les trajets domicile-travail. Les managers ont constaté que la productivité n’avait pas chuté comme beaucoup l’avaient prédit. La technologie a comblé le vide grâce à la collaboration en ligne, les ordinateurs portables fournis par l’entreprise et l’infrastructure cloud permettant une nouvelle façon de travailler.
Alors que la lumière semble au bout du tunnel pour le COVID, il est certain que les choses ne seront plus comme avant. Selon Microsoft, deux tiers (66%) des chefs d’entreprise envisagent un réaménagement des bureaux, tandis que 73% des employés souhaitent conserver des options de travail flexibles et 67% souhaitent davantage de collaboration en personne. Un modèle hybride serait super pour améliorer le bien-être du personnel, la fidélisation et le recrutement, stimuler la productivité et redynamiser la main-d’œuvre – sans oublier les bureaux coûteux en centre-ville. Selon McKinsey, après la pandémie, 90% des organisations mondiales combineront en permanence le travail à distance et sur site et 68% n’ont pas encore mis en place ou communiqué de plan détaillé alors que les cyber-menaces prospèrent en l’absence de préparations et de décisions stratégiques.
Les défis sécuritaires sur le lieu de travail hybride : quelle est l’ampleur du cyber-risque pour les organisations qui adoptent une nouvelle façon de travailler ? Des recherches d’ESET faites cette année révèlent que 80 % des entreprises mondiales sont convaincues que leurs télétravailleurs disposent des connaissances et de la technologie nécessaires pour gérer les cyber-menaces. Les trois quarts (73 %) admettent la possibilité d’être touchés par un incident sécuritaire, et la moitié a déclaré avoir déjà été attaqués dans le passé.
Les organisations sont donc confrontées à des défis multiples, dont beaucoup furent observés en 2020 et début 2021. Ceux-ci incluent :
Le facteur humain
Un professionnel de la cyber-sécurité dira que le maillon le plus faible de la chaîne sécuritaire de l’entreprise est l’employé. C’est pourquoi les campagnes de phishing ont été réutilisées en masse au début de la pandémie pour attirer les utilisateurs à propos des dernières nouvelles de la crise. En avril 2020, Google prétendait bloquer chaque jour plus de 240 millions de spam sur le COVID et 18 millions de mails de malware et de phishing. Les télétravailleurs sont plus exposés car ils peuvent être distraits par des personnes autour d’eux et sont donc plus susceptibles de cliquer par erreur sur des liens malveillants. Contacter le support IT ou demander à un collègue de vérifier un mail suspect est difficile à distance et les ordinateurs portables personnels et les réseaux domestiques peuvent offrir moins de protections contre le malware. Alors que les travailleurs retournent au bureau, il est normal qu’ils y apportent aussi les mauvaises habitudes acquises au cours des 18 derniers mois.
Des défis technologiques et spécifiques au cloud
L’infrastructure de télétravail a également été exposée pendant la pandémie : exploits ciblant les VPN non corrigés et serveurs RDP mal configurés protégés par une identification faible ou déjà contaminée. ESET a vu une augmentation de 140 % des attaques RDP au troisième trimestre 2020.
L’adoption massive de nouveaux services cloud a aussi attiré l’attention des cybercriminels. Il y a des préoccupations persistantes concernant les vulnérabilités et la mauvaise configuration par les utilisateurs des offres SaaS. Il y a aussi des rapports concernant le vol de mots de passe et l’anxiété de certains fournisseurs à propos de l’engagement concernant la sécurité et la confidentialité. C’est révélateur que 41 % des organisations interrogées par le Cloud Industry Forum pensent que le bureau est un environnement plus sûr que le cloud. De plus, un lieu de travail hybride nécessitera probablement plus de trafic de données entre les télétravailleurs, les serveurs cloud et les employés au bureau. Cette complexité demande une gestion prudente.
Organiser un lieu de travail hybride plus sécurisé
Même si la sécurisation du lieu de travail hybride reste un défi, il existe des bonnes pratiques pour guider les RSSI. Le modèle Zero Trust devient populaire pour gérer la complexité des travailleurs et des systèmes sur site et à distance basés cloud. Mené par des déploiements internes chez Google, Microsoft et autres pionniers de la technologie, il repose sur le concept que l’ancienne notion de sécurité du périmètre d’entreprise est désormais obsolète. Il ne faut plus avoir une confiance aveugle dans les appareils et utilisateurs du réseau d’entreprise. Maintenant, ils doivent être authentifiés de manière dynamique et continue, avec un accès restreint selon les principes du « moindre privilège » et une segmentation du réseau afin de limiter davantage les activités potentiellement malveillantes. Pour être efficace cela nécessite plusieurs technologies, de l’authentification multi facteur (MFA) et cryptage de bout en bout (end-to-end), jusqu’à la détection et la réponse du réseau, la micro-segmentation, etc.
Aujourd’hui ce n’est peut-être pas pour toutes les organisations, en particulier celles qui ont moins de ressources à consacrer au problème. En attendant, avant de penser à de nouveaux contrôles et technologies sécuritaires, les organisations doivent repenser leurs politiques pour le lieu de travail hybride. Cela devrait inclure les droits d’accès individuels pour les employés, les processus de connexion à distance, le traitement des données hors site et les responsabilités des utilisateurs en matière de cyber-sécurité, parmi de nombreux autres éléments.
Si des mesures comme l’application rapide de correctifs sont vitales, les considérations humaines le sont aussi. Des sessions régulières de formation et de sensibilisation, dispensées sous forme de petites leçons pour tous les employés, sont un élément capital pour améliorer la position sécuritaire de toute organisation. Ils sont peut-être le maillon le plus faible, mais les collaborateurs sont aussi la première ligne de défense.