Alors que les restrictions de fermeture continuent de s'alléger dans tout le Royaume-Uni, les entreprises commencent à envisager un retour au travail - au moins à temps partiel. Mais cela va créer une situation totalement nouvelle pour de nombreuses entreprises : Un environnement de travail hybride qui existe entre le travail et la maison, ajoutant des risques significatifs de cybersécurité.
Lorsque le verrouillage COVID-19 a frappé le Royaume-Uni en mars, les entreprises ont dû s'adapter rapidement et à grande échelle. Mais les cybercriminels se sont également adaptés à ce nouvel environnement, en envoyant en masse des courriels de phishing et des escroqueries par SMS ciblés.
En avril, Google a déclaré avoir vu plus de 18 millions de courriels quotidiens de malveillance et d'hameçonnage liés au COVID-19 en une seule semaine. En mai, plus de 800 000 livres sterling avaient été perdues à cause d'escroqueries au coronavirus, selon les rapports transmis au National Fraud Intelligence Bureau.
Le phishing est souvent un moyen de diffuser des ransomwares, une forme de logiciel malveillant qui crypte les données des entreprises jusqu'au paiement d'une rançon. En avril, le service Cybercrime Threat Response d'Interpol a déclaré avoir détecté une "augmentation significative" du nombre de tentatives d'attaques par ransomware contre des organisations clés dans le monde.
Plus récemment, l'attaque présumée par ransomware qui a touché l'entreprise technologique Garmin a montré à quel point une cyberattaque peut facilement paralyser les activités d'une entreprise, affecter la perception des clients et, en fin de compte, la réputation de l'entreprise.
Pendant le COVID-19, les dommages à la réputation causés par une violation peuvent être encore pires. Pensez à la compagnie aérienne EasyJet, qui a admis en mai avoir été piratée lors d'une "cyberattaque très sophistiquée" plus tôt dans l'année.
Alors, comment les responsables de la sécurité peuvent-ils éviter les risques qui peuvent finalement nuire à leur entreprise lorsque le personnel se trouve entre le travail et la maison ?
Reconnaître les risques
Il est d'abord important de reconnaître les défis qui sont déjà apparus dans l'environnement du travail à domicile. L'ensemble de la population ayant été mise sous pression ces derniers mois en raison de la pandémie de COVID-19, les entreprises n'ont pas voulu imposer un fardeau supplémentaire à leurs employés.
Cela signifie que, dans de nombreux cas, la formation à la cybersécurité a été laissée de côté - un problème majeur compte tenu des attaques par hameçonnage qui ne sont que trop fréquentes pendant le COVID-19.
Entre-temps, de nombreuses entreprises n'ont pas révisé leurs politiques en fonction de cet environnement de travail soudainement modifié, ce qui ajoute un risque supplémentaire.
Sans les systèmes de communication simplifiés auxquels ils sont habitués, les employés peuvent se laisser prendre au piège des tentatives de hameçonnage et, dans certains cas, donner involontairement des informations d'identification précieuses pour l'entreprise, voire ouvrir la voie à des attaques par ransomware.
Trois scénarios de cybersécurité
L'environnement de travail hybride COVID-19 ajoute des défis couvrant trois scénarios : Bring Your Own Device (BYOD), le travail à domicile et le travail au bureau.
La tendance au BYOD existe depuis des années, et les entreprises apprennent à y faire face par le biais de politiques et d'outils tels que la gestion des appareils mobiles. Mais la cybersécurité pendant la pandémie ouvre encore plus de voies de risque.
Les employés emportent des ordinateurs portables de travail à la maison ou utilisent leur propre matériel pour se connecter au réseau de l'entreprise. Ils peuvent, ou non, utiliser un réseau privé virtuel (VPN).
Dans le même temps, les entreprises encourageront l'utilisation de logiciels de collaboration pour rester en contact avec les employés entre le domicile et le bureau. Cela peut signifier que les employés téléchargent des applications telles que Microsoft Teams sur leurs téléphones, ou utilisent des applications non approuvées pour être plus efficaces - tout cela à l'insu du service informatique.
Il y a ensuite d'autres risques liés au travail à domicile et des changements sociologiques et administratifs à prendre en compte. Il y aura souvent plus d'une personne travaillant à domicile. Ces personnes afficheront naturellement des données professionnelles précieuses sur leur écran, à la vue de toute personne entrant dans le foyer.
Il n'est que trop fréquent que les gens s'en aillent sans verrouiller leur ordinateur, mais que se passe-t-il si c'est pour afficher accidentellement des informations commerciales sensibles qui pourraient être exposées par quelqu'un d'autre qui vit ou visite la propriété ?
Les routeurs domestiques constituent un autre défi. Ils sont vulnérables à de multiples types de cyberattaques susceptibles de mettre en péril les données de l'entreprise, comme les attaques de type "man-in-the-middle", qui permettent à des adversaires d'espionner le trafic réseau.
Le scénario du travail depuis le bureau ajoute à la complexité. Par exemple, l'employé transporte-t-il un seul ordinateur portable entre le travail et la maison ? Envoie-t-il des fichiers sensibles sur un autre appareil pour travailler à la maison ?
Dans cet environnement nouveau et hybride, les contrôles de sécurité traditionnels ne sont tout simplement pas adaptés. La nouvelle "normalité" du travail exige une approche remaniée comprenant des contrôles et des outils de cybersécurité, des politiques et des formations.
Le WFH est un projet de transformation numérique, pas un projet informatique
Il est déjà clair que la cybersécurité à l'ère du COVID nécessite un changement de mentalité. Il y a 20 ans, ce nouvel environnement de travail n'aurait même pas été possible, car la technologie n'était pas en place et les employés étaient câblés dans les systèmes internes. Aujourd'hui, les réunions peuvent se dérouler par vidéoconférence, tandis que le cloud et les applications facilitent plus que jamais le téléchargement de fichiers, la collaboration et la communication.
Mais étant donné que ces innovations ajoutent également des risques de cybersécurité, une approche sensée serait de considérer le travail à domicile comme un projet de transformation numérique, plutôt que comme un projet informatique.
Les entreprises doivent d'abord examiner leurs politiques et informer clairement leurs employés sur ce qu'ils doivent faire et ne pas faire. Dans ce cadre, il est bon de mettre en scène des situations : Par exemple, "cette imprimante est un appareil connecté en Wi-Fi, voici les risques qu'elle présente" tout en encourageant les bonnes pratiques de base telles que l'application de correctifs.
Le Centre national de cybersécurité (NCSC) du Royaume-Uni donne de solides conseils aux employés travaillant à domicile. Dans une situation de BYOD par exemple, le NCSC conseille aux entreprises d'être conscientes du risque de perte ou de vol des appareils. Pour réduire ce risque, il faut s'assurer que les appareils chiffrent les données lorsqu'ils sont au repos, et vérifier que le chiffrement est activé et configuré.
Pendant ce temps, le personnel devrait utiliser un VPN à la maison, et celui-ci devrait être entièrement patché. Il peut être nécessaire d'ajouter des licences, des capacités ou une bande passante supplémentaires si l'entreprise a fortement augmenté le nombre de ses utilisateurs distants.
Il est également important de souligner comment l'éducation peut contribuer à empêcher, par exemple, les employés de se laisser prendre au piège des attaques de phishing. Le personnel doit également savoir comment signaler les problèmes, notamment les tentatives d'hameçonnage ou les appareils perdus, et comment maintenir à jour les logiciels et le matériel à domicile et au travail.
Bien entendu, toute refonte de la sécurité nécessite l'adhésion du conseil d'administration. Les responsables de la sécurité peuvent s'appuyer sur des exemples tels que ceux d'EasyJet et de Garmin pour démontrer pourquoi une cyberattaque peut représenter un danger pour l'entreprise sur le plan financier et de la réputation, notamment en cas de pandémie.
Dans l'ensemble, elle nécessite une approche holistique impliquant tous les membres de l'entreprise et couvrant à la fois les environnements professionnels et privés. Le paysage changeant constamment avec l'apparition de nouvelles menaces, la cybersécurité doit être un projet permanent, et non un exercice à cocher.
Un outil gratuit de cyber-sensibilisation pour aider les organisations à reprendre le travail
Lasensibilisation à la cybersécurité pour les nuls est une ressource indispensable pour mettre en œuvre un changement de comportement et créer une culture de la cyberconscience.
Dans ce guide, vous apprendrez :
- Ce que la sensibilisation à la cybersécurité signifie pour votre entreprise
- Comment mettre en œuvre une campagne de sensibilisation aux cyberrisques
- Le rôle essentiel des politiques pour établir des bases sûres
- Comment maintenir l'élan et l'engagement du personnel
- 10 bonnes pratiques en matière de sensibilisation à la cybersécurité
