La sécurité des dispositifs et le travail à distance

La sécurité du côté de l'organisation

Les dispositifs et leurs connexions doivent être sous des mesures et des outils englobés dans une stratégie globale et orientée à protéger les données tant sur les serveurs que lors de leur voyage à travers le réseau et sur les terminaux. Du côté de l'organisation, les principaux éléments de cette stratégie seraient les suivants :

• Définition et application de la politique de cybersécurité de l'entreprise. L'organisation devra exiger de tous les employés qu'ils acceptent et signent la politique de cybersécurité, qu'ils travaillent à distance ou non. Cette politique devra couvrir tous les protocoles de sécurité que les employés sont censés respecter, ainsi que la manière dont l'entreprise les aidera à les respecter.
• Attribution des dispositifs. Dès le début, l'infrastructure doit être capable d'ajouter de nouveaux dispositifs et de les attribuer à l'utilisateur correspondant de manière rapide et efficace. Ils sont normalement basés sur une procédure de demande et d'attribution des dispositifs mobiles.
• Enregistrement. Le système d'affectation doit être complété par un système d'enregistrement et d'inventaire actif qui permet non seulement d'enregistrer les dispositifs mobiles attribués (quel dispositif est attribué et à qui il est attribué), mais qui répond également mieux aux besoins du personnel. Ces systèmes permettent également d'enregistrer l'utilisation faite du dispositif.
• Maintenance. La maintenance des dispositifs doit être restreinte au département responsable. Par conséquent, il est interdit aux utilisateurs d'apporter des modifications au matériel, d'installer des logiciels ou de modifier la configuration de l'équipement sans l'autorisation du département technique.
• Stockage des données. La politique de cybersécurité de l'entreprise doit inclure des mécanismes de contrôle et de prévention concernant le stockage des données sur les terminaux. Les informations d'entreprise qui ne sont pas strictement nécessaires au développement des tâches de l'utilisateur ne doivent pas être stockées sur le dispositif. Et, si l'on doit accéder aux informations depuis plusieurs dispositifs, celles-ci doivent être synchronisées pour éviter les doublons et les erreurs de version.
• Traitement des informations confidentielles. Autrefois, cela aurait été une simple recommandation ; de nos jours, il s'agit d'une obligation pour toutes les entreprises qui doivent opérer conformément à des législations telles que le RGPD. Toutes les informations confidentielles doivent être stockées de manière chiffrée. Il est également recommandé d'utiliser un système normalisé de terminaison, afin que les informations soient supprimées de manière sécurisée une fois leur cycle de vie terminé.
• Formation des employés. Il ne s'agit pas seulement d'erreurs involontaires. Dans le contexte actuel de la cybersécurité en télétravail, l'ingénierie sociale implique l'exécution d'attaques par tromperie. Phishing, vishing, "arnaque du PDG", ... Avoir un programme de formation efficace est essentiel pour maintenir la sécurité des dispositifs. Il est recommandé de mettre en place des programmes de formation efficaces, garantissant que les employés appliqueront les meilleures pratiques, en complétant cette formation par un travail de sensibilisation qui doit être constant.

La sécurité côté utilisateur

Le travail à distance ne doit pas mettre en danger la sécurité des données. Une fois que les travailleurs à distance sont formés et que ces procédures de sécurité informatique sont mises en œuvre pour éviter les risques de confidentialité et de sécurité dans le télétravail.

1. Responsabilités. L'utilisateur est responsable de l'ordinateur portable ou mobile qui lui a été fourni, il doit donc garantir la sécurité à la fois de l'équipement et des informations qu'il contient. L'utilisateur appliquera les règles énoncées dans la Politique d'utilisation du poste de travail.
2. Transport et garde. L'équipement ne doit pas être exposé à des températures élevées pouvant endommager ses composants, et l'utilisateur doit empêcher l'accès aux informations stockées sur celui-ci. En cas de vol ou de perte de l'équipement, il faut en informer immédiatement le personnel technique responsable.
3. Sécurité des connexions. L'utilisation de réseaux Wi-Fi non sécurisés est la manière la plus courante d'exposer une entreprise à une violation de la sécurité des données. La solution la plus simple est d'activer un réseau privé virtuel (VPN). L'utilisation d'un VPN avant de se connecter aux réseaux Wi-Fi publics chiffrera le trafic Internet du travailleur à distance et surveillera tout signe d'infection.
4. Mot de passe. Il est essentiel d'éduquer les travailleurs à distance sur la protection par mot de passe pour protéger les données de l'entreprise. Une autre façon de réduire ce risque est d'utiliser un gestionnaire de mots de passe qui génère des mots de passe et stocke tous les mots de passe de manière sécurisée.
5. Applications de protection. Pare-feu, antivirus, IDS/IPS… L'organisation doit exiger des télétravailleurs qu'ils disposent d'applications de protection telles que des pare-feu, des logiciels antivirus et antimalware, toujours à jour sur tous leurs appareils, y compris les mobiles, les tablettes et les ordinateurs portables.
6. Notification en cas d'infection. Nous voyons dans tous les points précédents que la collaboration de l'utilisateur est un élément clé pour la sécurité du travail à distance. En cas de suspicion d'infection par un virus ou un autre logiciel malveillant, il faut en informer dans les plus brefs délais le personnel technique responsable.

Quelles technologies utiliser pour protéger les appareils

Au cours des dernières années, et surtout en raison de la pandémie de COVID-19, le développement de technologies pour protéger les informations des télétravailleurs. Cela a été rendu possible non seulement par les fabricants de dispositifs et les entreprises de cybersécurité, mais aussi par les créateurs de systèmes d'exploitation. En voici quelques-unes.

• Protection du BIOS. Les ordinateurs portables d'entreprise auront l'accès au BIOS protégé par mot de passe pour éviter les modifications de la configuration par l'utilisateur.
• Chiffrement. Programmes de chat, e-mail, applications… tout doit utiliser un chiffrement de bout en bout. Il est fortement recommandé d'utiliser l'authentification multifactorielle (MFA), qui vérifie l'identité d'un utilisateur en demandant d'abord un nom d'utilisateur et un mot de passe, ainsi que d'autres informations telles que « réponse à une question secrète » ou un code envoyé à un mobile.
• Applications virtualisées. Avec l'option de virtualisation des applications, l'utilisateur peut exécuter sur son appareil une application qui n'est pas installée sur l'ordinateur. L'application est exécutée grâce à un paquet contenant les configurations nécessaires.
• Sauvegarde des données dans le cloud. De même, des mesures doivent être prises pour que les informations stockées restent sécurisées. Un système de vérification peut également être activé, de sorte que chaque fois que l'utilisateur souhaite accéder au cloud, un message texte avec un code lui soit envoyé, qu'il devra saisir pour pouvoir entrer.
• Logiciel de localisation. Dans le cas où il serait nécessaire d'installer ou d'activer un logiciel de localisation, l'utilisateur de l'appareil en sera informé avant la livraison de celui-ci. L'utilisateur qui sera géolocalisé doit signer un document acceptant cette condition.
• Suppression des données. Il est également possible d'envisager la suppression à distance des appareils en cas de perte ou de vol. Les plateformes de gestion des appareils mobiles (MDM) peuvent fournir ces services.

Considérations éthiques et légales

La mobilité dans le domaine des affaires a entraîné la nécessité de proposer de nouveaux modèles de gestion. Les outils MDM (Mobile Device Management) permettent, par exemple, d'installer et mettre à jour des systèmes d'exploitation et des applications, voire d'encapsuler leur utilisation dans des réseaux isolés, ainsi que de suivre les appareils par GPS, ou de détecter et notifier lorsqu'un appareil est en danger, ou de bloquer ou supprimer son contenu à distance. Ils permettent également d'incorporer des mécanismes de gestion des identités et des accès (IAM) en imposant, par exemple, l'application de politiques spécifiques de gestion des mots de passe. Il est même possible d'activer des antivirus, des contrôles d'accès NAC ou des services de sécurité dans le cloud.

Et c'est là que le dilemme se pose : disposer de mécanismes permettant d'accéder aux appareils mobiles d'entreprise est d'une importance vitale, mais... est-il légitime d'accéder au contenu de l'appareil ? Est-il légal de surveiller sa géolocalisation ? Peut-on superviser les activités des utilisateurs ? Oui, en principe, si les employés ont été préalablement informés de l'utilisation et du contrôle que l'entreprise peut exercer lorsqu'elle leur fournit des équipements qui lui appartiennent et du type de traitement des données qui sera effectué. Et, bien sûr, il doit y avoir un respect total de la réglementation en vigueur en matière de confidentialité des données.

Ce n'est donc pas un sujet simple. Et encore moins maintenant qu'il est également possible de mettre en œuvre des systèmes Out of Band, qui permettent de contrôler les appareils même lorsqu'ils sont éteints. Un aspect à considérer, en outre, car il concerne le fabricant et implique pratiquement un contrôle absolu sur l'équipement. Par exemple, Intel propose sa solution Intel vPro ; Apple, de son côté, offre des services LOM (Lights Out Management) pour allumer et éteindre ses appareils en utilisant des certificats numériques.

En tout cas, personne ne doute que le télétravail est une option essentielle pour toute organisation, et que la sécurité est un aspect clé non seulement pour éviter les pertes d'informations et de réputation, mais aussi pour garantir la conformité réglementaire.