Ces dernières années, l’essor du travail à distance a transformé le paysage traditionnel des bureaux, offrant une flexibilité et une commodité sans précédent. Toutefois, ce passage au travail à distance s’accompagne de son lot de défis, notamment dans le domaine de la cybersécurité. À mesure que les organisations s’adaptent au lieu de travail virtuel, elles doivent être vigilantes dans l’identification et le traitement des divers risques de cybersécurité qui peuvent compromettre les informations sensibles et saper l’intégrité de leurs opérations.

MetaCompliance explore ici certains des problèmes que le travail à domicile apporte à la cybersécurité et ce qu’il faut faire pour fermer la porte aux défis de sécurité du travail à distance.

Le problème du travail à distance et de la sécurité

  • Un sondage réalisé auprès de 1 000 entreprises britanniques par les chambres de commerce britanniques (BCC) et Cisco a révélé que plus de la moitié des entreprises se sentaient exposées à un risque de cybersécurité en raison du travail à domicile.

  • Selon un rapport, 20 % des organisations estiment qu’une violation de données s’est produite à cause d’un travailleur à distance.

  • Le rapport Verizon Mobile Security Index a révélé que 79% des personnes interrogées craignent que les changements apportés aux pratiques de travail nuisent à la posture de cybersécurité d’une organisation. Le rapport souligne également la question de la sécurité des appareils mobiles et du travail à distance, 52 % des personnes interrogées admettant avoir sacrifié la sécurité des appareils mobiles (et des appareils IoT) pour « faire le travail ».

  • Les politiques de cybersécurité sont également modifiées pour permettre aux travailleurs à distance de faire leur travail sans entrave. Une étude a révélé que 26 % des entreprises britanniques interrogées avaient assoupli leur politique de cybersécurité pour permettre aux employés de travailler à distance plus facilement.

Quels sont les risques pour la sécurité lorsque l’on travaille à domicile ?

Les employés qui travaillent à domicile ou à distance sont exposés à de nouveaux risques, qui ne sont généralement pas inconnus. Les domaines dans lesquels le cyber-risque s’insinue sont les suivants :

Dispositifs personnels

Uneenquête dugouvernement britannique (DCMS) sur lesatteintes à la cybersécurité (Cyber Security Breaches Survey 2022) montre que 45 % des entreprises autorisent leurs employés à utiliser des appareils personnels, tels que des ordinateurs portables, pour effectuer des tâches liées au travail. Le problème se pose lorsqu’il n’y a pas de surveillance ou de contrôle de l’appareil.

Par exemple, si un appareil est utilisé pour envoyer et recevoir des courriels professionnels, êtes-vous sûr que les courriels reçus ne sont pas des attaques de phishing ou des escroqueries ?

De même, supposons que votre équipe informatique ne soit pas en mesure de s’assurer que les appareils mobiles sont mis à jour et corrigés. Dans ce cas, des risques de sécurité peuvent se glisser, des fuites de données et des logiciels malveillants peuvent pénétrer dans votre réseau d’entreprise.

Appareils et réseaux domestiques non sécurisés

Les réseaux domestiques non sécurisés peuvent devenir une voie d’entrée pour les cybercriminels et conduire à l’exposition de données sensibles. Les cybercriminels recherchent sur internet des réseaux non sécurisés, et toute faille de sécurité sera exploitée, y compris les mots de passe par défaut sur les appareils IoT et Wi-Fi ou les routeurs non corrigés.

De même, les imprimantes Wi-Fi ne doivent pas être négligées. Une connexion non sécurisée à une imprimante Wi-Fi ouvre également la porte à un cybercriminel. Là encore, les vulnérabilités des imprimantes peuvent conduire à un réseau domestique exposé. Une étude Quocirca Print Security Landscape 2022 a révélé que 68 % des entreprises ont subi des pertes de données à cause d’insécurités liées à l’impression.

Utilisation d’Internet et comportements non conformes

L’adage « loin des yeux, loin du cœur » résume la façon dont les changements de comportement et d’utilisation de l’internet lorsqu’un employé est à son domicile conduisent à des insécurités. Selon un rapport d’Avanti, 66 % des professionnels de l’informatique ont signalé une augmentation des problèmes de sécurité causés par le travail à distance en ligne. Les problèmes de sécurité comprennent les courriels malveillants, le comportement non conforme des employés et les vulnérabilités des logiciels.

Une autre étude sur les comportements en matière de sécurité des travailleurs à distance a révélé que les comportements à risque étaient plus fréquents dans les environnements de travail à domicile, avec des problèmes tels que le fait de laisser un ordinateur déverrouillé lorsqu’il est laissé sans surveillance. L’étude a été réalisée pendant la pandémie deCOVID-19 et a conclu à la nécessité de « mesures de bien-être et d’éducation pour aider les personnes exposées au risque d’utilisation problématique de l’internet à prendre conscience de la manière de repérer les types de cybercrimes liés à COVID-19« .

Espaces partagés

Les comportements à risque, comme le fait de laisser des courriels et des documents sensibles ouverts sur un ordinateur laissé sans surveillance, peuvent entraîner des risques de sécurité dans les maisons partagées. Les espaces partagés peuvent se transformer en appareils partagés, et si ces appareils sont connectés à une application ou à un réseau d’entreprise, l’organisation risque de ne pas respecter la réglementation ou d’être vulnérable aux cyberattaques. Les préoccupations en matière de sécurité pour le travail à distance devraient également inclure les espaces de co-working – une étude a révélé que 23% des travailleurs dans les espaces de co-working avaient des préoccupations en matière de sécurité.

Quelles mesures de sécurité peuvent contribuer à sécuriser les travailleurs à domicile et à distance ?

Une organisation peut prendre plusieurs mesures pour améliorer la sécurité de son personnel dans le cadre du travail à domicile :

Fournir un VPN

Un réseau privé virtuel ou VPN est un outil précieux qui fournit une connexion sécurisée entre un utilisateur et un réseau/Internet. Par exemple, un employé disposant d’un VPN correctement configuré peut envoyer et recevoir des courriels et d’autres données en toute sécurité. Un VPN protégera tout trafic de données, même si le réseau domestique n’est pas sécurisé. Pour en savoir plus sur les avantages de l’utilisation d’un VPN, consultez notre article de blog « 3 raisons pour lesquelles vous avez besoin d’un VPN sécurisé« .

Formation de sensibilisation à la sécurité pour les travailleurs à domicile

Une note du POST du Parlement britannique d’octobre 2022 sur « L’impact du travail à distance et hybride sur les travailleurs et les organisations » conclut :

« Les recherches suggèrent que les problèmes de cybersécurité peuvent résulter d’une formation inadéquate et d’une baisse du niveau de conformité des employés à la politique de sécurité de l’information en raison d’un manque de soutien organisationnel« .

L’environnement de travail à domicile présente des défis uniques, et la formation à la sensibilisation à la sécurité doit en tenir compte. Veillez donc à ce que votre programme de sensibilisation à la sécurité soit axé sur le travail à domicile et les besoins en matière de sécurité. Les domaines typiques sur lesquels la formation à la sensibilisation à la sécurité doit éduquer les travailleurs à domicile sont les suivants :

  • Veillez à ne pas laisser d’informations sensibles ouvertes sur l’écran.

  • Ne restez pas connecté aux applications lorsque vous n’êtes pas sur votre lieu de travail.

  • Hygiène des mots de passe et politiques de bureau propre.

  • Dans la mesure du possible, séparez les appareils professionnels des appareils personnels.

  • L’importance de l’utilisation d’un VPN.

  • Leur rôle dans la protection des données.

  • Maintenir les appareils et les logiciels à jour.

  • Respecter les politiques de sécurité, même à la maison.

Appliquer des politiques de contrôle d’accès robustes

L’accès des travailleurs à domicile et à distance aux applications de l’entreprise et au réseau doit être géré selon des principes tels que l’accès au moindre privilège. Cependant, un contrôle d’accès solide doit également faire partie du bureau à domicile.

Par exemple, l’accès à un appareil doit être protégé par un code biométrique ou un code PIN fort. De même, l’accès à un ordinateur de travail à domicile doit faire l’objet de contrôles d’accès robustes par biométrie ou par mot de passe fort. L’accès aux applications doit être protégé par une authentification à deux facteurs (2FA).

Wi-Fi sécurisé

Même avec un VPN, la sécurisation du Wi-Fi est une bonne pratique. Pour sécuriser un réseau Wi-Fi, créez un dossier de formation sur le Wi-Fi sécurisé afin de vous assurer que les employés disposent des informations nécessaires :

  • Modifiez le mot de passe Wi-Fi par défaut et mettez-le à jour régulièrement.

  • Anonymisez le nom du réseau Wi-Fi et ne nommez pas le réseau à l’aide d’informations personnelles ou d’identification.

  • Activez le cryptage du réseau sur les routeurs Wi-Fi, par exemple WPA et WPA2.

  • Veillez à ce que les routeurs soient patchés et mis à jour.

Alors que nous sommes de plus en plus nombreux à nous tourner vers le travail à distance ou à domicile, il est essentiel de fermer la porte aux cybercriminels qui profitent de pratiques peu sûres. Lors de l’élaboration des politiques de sécurité, n’oubliez pas de vous concentrer sur les défis uniques du travail à domicile et de la sécurité. Il est également essentiel de former les employés à la protection de leur environnement de travail à la maison ou au bureau.