Les « bonnes pratiques » de sécurité informatique en télétravail

Sécurité Informatique Télétravail

Le protocole national en entreprise du Ministère du Travail impose depuis le 3 janvier 2022 d’avoir recours à 3 jours de télétravail hebdomadaires minimum. Malgré les avantages que représente cette pratique, le recours massif au télétravail n’est pas sans poser de risques sur les systèmes d’information des entreprises.

Les principaux risques de sécurité informatique liés au télétravail :

Le phishing ou hameçonnage :

Ce type d’attaque vise à obtenir du destinataire d’un courriel d’apparence légitime qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services afin de lui dérober de l’argent ou de prendre la main sur des applications.

Les faux ordres de virement :

Le faux ordre de virement international ou FOVI (communément appelé « fraude au président »), consiste à récupérer indûment de l’argent devant être versé à un tiers légitime.

Le vol de données :

Cette pratique consiste à usurper l’identité des collaborateurs de l’entreprise et à réutiliser les données récoltées pour faire du phishing, ou encore les revendre.

Le ransomware :

Technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

Le partage de données non sécurisé :

Ce type de problème de sécurité est plutôt une « mauvaise pratique » qu’une attaque. Le fait d’être chez soit en télétravail ne justifie pas d’échanger des fichiers ou des informations par tous les moyens, au contraire !

Quelques « bonnes pratiques » à respecter dans un contexte de télétravail

De manière générale, il est possible de réduire significativement les risques liés à la sécurité de l’information dans le cadre du télétravail en adoptant quelques bonnes pratiques.

Dans la mesure du possible, il est préférable que le matériel informatique soit fourni aux collaborateurs par l’entreprise. Effectivement, lorsque ces derniers télé-travaillent avec leur propre ordinateur et/ou smartphone, ils ont accès à des données confidentielles sur leur plateforme de télétravail. N’étant pas sécurisés ou ne disposant pas des mêmes mesures de sécurité informatique, ces outils personnels peuvent mettre en péril la sûreté et la confidentialité de l’entreprise.

Vous travaillez à distance avec un ordinateur fourni par votre structure ?

  1. Visitez les sites internet professionnels uniquement
  2. Ne prêtez pas votre matériel informatique à vos proches
  3. N’installez pas d’outils autres que ceux nécessaires à votre utilisation professionnelle
  4. Déconnectez-vous de vos applicatifs métiers après chaque utilisation
  5. Ne branchez pas du matériel amovible (clé USB, disque dur portable…) inconnu ou présentant un doute
  6. Veillez à toujours fermer votre session après chaque utilisation pour éviter une utilisation dangereuse par votre entourage

Vous travaillez à distance avec votre ordinateur personnel ?

  1. Disposez d’un accord de votre direction
  2. Assurez-vous d’utiliser un antivirus sur votre ordinateur personnel
  3. Déconnectez votre accès à distance (VPN) et votre bureau à distance (RDS, RDP, TSE, Citrix) pour réaliser vos activités personnelles
  4. Déconnectez-vous de vos applicatifs métiers après chaque utilisation
  5. Évitez le prêt du matériel informatique à vos proches dans la mesure du possible
  6. N’installez pas d’outils autres que ceux nécessaires à votre utilisation professionnelle
  7. Ne branchez pas du matériel amovible (clé USB, disque dur…) inconnu ou présentant un doute
  8. Veillez à toujours fermer votre session entre chaque utilisation pour éviter une utilisation dangereuse par votre entourage

Dans un cas comme dans l’autre vous êtes amenés à communiquer par e-mail et téléphone dans le cadre de votre quotidien :

  1. Réception : Vérifiez toujours l’émetteur de votre message ou de votre appel téléphonique
  2. Émission : Assurez-vous de transmettre votre message au bon destinataire
  3. Ne téléchargez que les pièces-jointes légitimes
  4. Ne cliquez pas sur les liens proposés, rendez-vous directement sur les sites officiels
  5. Ne transmettez aucune donnée sensible à une personne inconnue ou pour laquelle vous avez un doute
    Si vous constatez une tentative d’escroquerie ou un piratage, déclarez l’évènement indésirable auprès de votre structure (notamment : Direction, DSI, RSSI, DPO).

Suivez les alertes et les préconisations des autorités :

Retrouvez ci-dessous deux liens à suivre :

Portail d’Accompagnement Cybersécurité des Structures de Santé : https://www.cyberveille-sante.gouv.fr/

Plateforme d’Assistance et de prévention du risque numérique : https://www.cybermalveillance.gouv.fr/

L’ANSSI a également consacré un chapitre de son « guide d’hygiène informatique » à la sensibilisation des utilisateurs aux bonnes pratiques élémentaires de sécurité IT : https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

En respectant ces consignes les risques en sécurité informatiques seront limités à la maison comme au bureau !

Merci à Damien Ribeiro et Philippe Sallet pour leur aide dans la construction de cet article.

Quels sont les enjeux de la confidentialité dans le télétravail ?

En matière de télétravail, la visioconférence est un des outils principaux permettant de maintenir la tenue de réunion quotidienne ou hebdomadaire au sein d’une entreprise. Elle est basée sur une technologie de VoIP (voix sur IP) qui permet aux utilisateurs d’échanger via leur microphone et/ou leur webcam et nécessite d’être connectée à Internet.

Dès lors qu’il existe une connexion à un réseau, la vigilance reste de mise. En effet, les applications utilisées sont tenues d’informer de façon complète les utilisateurs de l’usage fait de leurs données. Il doit notamment être possible de savoir quelles informations sont enregistrées et réutilisées et dans quelle finalité.

Quelques bons réflexes permettent ainsi de limiter les risques liés à la confidentialité :

L’utilisation d’un système de visioconférence uniquement avec les paramètres du mode privé évite que des personnes extérieures puissent se greffer sur une conférence. N’hésitez donc pas à utiliser les fonctionnalités de modération de votre outil !
Fermer sa session et éteindre un équipement lorsqu’il n’est pas utilisé réduisent également la possibilité d’une intrusion sur les services restés ouverts.
Et pour finir, désactiver sa caméra lorsqu’elle n’est pas nécessaire pour prévenir les mauvaises surprises !

LinkedIn
Facebook
Twitter

Vous pourriez également être intéressé par les articles suivants :

10 ans d’évolution du SIH

D’hier à aujourd’hui, 10 ans d’évolution du SIH A l’aube de ses 10 ans de gestion du SIH, GPLExpert a demandé aux membres de son

Alfresco

Alfresco : La gestion de contenu

La solution de gestion de contenu alfresco a été développée en 2005 par l’entreprise « Alfresco Software ». Alfresco et la gestion de documents open-source Élaboré comme solution

Sécurité du Système d'Information

Audit de sécurité informatique

Face à la menace omniprésente et grandissante que représentent les attaques informatiques internes et externes, nos clients expriment une angoisse persistante à laquelle nous répondons

Sécurité du Système d'Information

Audits et conseils des systèmes d’information

Maîtriser son système d’information est un élément capital, qui favorise la dynamique de l’entreprise lorsque celui-ci répond précisément aux exigences métiers. Qu’il s’agisse d’intégrer le

Bacula

Bacula : Sauvegarde en réseau

Bacula est la solution open source de référence en matière de sauvegarde en réseau. Reposant sur un système de sauvegarde client / serveur, il est