Télétravail : comment assurer la sécurité des équipements connectés (partie 1)
Publié le 07/10/2021
Auteur : Arnaud Dufournet, Chief Marketing Officer
La généralisation soudaine du télétravail a imposé de nombreux défis aux chefs d’entreprise et managers. Équiper les salariés, se familiariser avec de nouveaux outils, maintenir le lien entre les collaborateurs, autant de questions auxquelles les entreprises ont dû répondre sans y être forcément préparées pour la plupart. Très vite, les professionnels de la sécurité informatique ont alerté sur les risques liés à ces nouveaux usages. Comment peuvent-ils protéger les données sur un parc informatique de plus en plus nomade ? Comment sécuriser les connexions à distance ?
Remontons un peu le temps jusqu’en mars 2020. La France se confine et les entreprises qui peuvent poursuivre leurs activités précipitent leurs collaborateurs dans le télétravail. Jusqu’à 41% des salariés se retrouvent ainsi obligés à devoir travailler depuis chez eux. Dix-huit mois après le premier confinement, nous sentons bien que le recours au télétravail a profondément changé nos habitudes, notre organisation et même parfois les aspirations professionnelles de certains.
Le travail hybride devient la nouvelle norme
Toutes les études portant sur le télétravail en France convergent vers le même constat : tous ceux qui ont gouté au télétravail veulent poursuivre. Selon une étude de la CGT réalisée cet été, 98% des salariés interrogés souhaitent poursuivre le télétravail. Gain de temps dans les transports et meilleur équilibre vie professionnelle – vie personnelle sont les deux principales motivations. Même son de cloche du côté des entreprises qui souhaitent également l’installer durablement. Le consensus semble s’établir autour de deux jours par semaine.
Toutes les tailles d’organisations sont concernées. Les TPE n’échappent donc pas à la tendance. Près d’un quart des salariés de TPE télétravaillent aujourd’hui et les trois-quarts souhaitent le maintenir. Autre constat intéressant : 61% des millenials (les 18 – 34 ans) sont prêts à travailler 100 % à distance selon l’étude menée début juillet pour le cabinet de recrutement Nicholson Search & Selection.
Toutes les tailles d’organisations sont concernées. Les TPE n’échappent donc pas à la tendance. Près d’un quart des salariés de TPE télétravaillent aujourd’hui et les trois-quarts souhaitent le maintenir. Autre constat intéressant : 61% des millenials (les 18 – 34 ans) sont prêts à travailler 100 % à distance selon l’étude menée début juillet pour le cabinet de recrutement Nicholson Search & Selection.
Le Flex Office était déjà en vogue dans les grandes entreprises comme chez Axa France, Peugeot, Saint Gobain, Suez, Natixis ou encore Air Liquide. Près d’une personne sur cinq travaillant dans les métropoles n’a plus de bureau attitré dans les locaux. La poussée du télétravail a accentué cette tendance. Nombreuses sont les entreprises qui ont profité de la crise sanitaire pour réduire la taille de leurs locaux voire même pour certaines les supprimer totalement pour des questions évidentes de coûts. La conséquence de ce phénomène est une véritable remise en cause de la notion de bureau.
La grande flexibilité laissé aux collaborateurs pour s’organiser favorise le développement du travail en dehors des horaires habituels du bureau à savoir les soirées, les week-ends et parfois pendant les congés. Etant désormais incités à travailler ailleurs que dans les locaux de l’entreprise, nous adoptons de nouveaux lieux de travail : la maison, chez des clients ou fournisseurs, dans des espaces de co-working, des espaces publics comme les cafés, dans les transports (gares, aéroports, trains, …) et même les parcs ou jardins publics. Tous ces lieux ont un point commun : pour travailler efficacement, nous nous connectons à des réseaux que l’entreprise ne maitrise pas et qui par conséquent sont réputés non sécurisés.
La grande flexibilité laissé aux collaborateurs pour s’organiser favorise le développement du travail en dehors des horaires habituels du bureau à savoir les soirées, les week-ends et parfois pendant les congés.
Désormais incités à travailler ailleurs que dans les locaux de l’entreprise, nous adoptons de nouveaux lieux de travail : la maison, chez des clients ou fournisseurs, dans des espaces de co-working, des espaces publics comme les cafés, dans les transports (gares, aéroports, trains, …) et même les parcs ou jardins publics. ous ces lieux ont un point commun : pour travailler efficacement, nous nous connectons à des réseaux que l’entreprise ne maitrise pas et qui par conséquent sont réputés non sécurisés.
Quelles conséquences pour les RSSI ?
Le télétravail et les nouvelles habitudes de travail entrainent inévitablement une hausse des comportements à risque car les frontières entre la vie personnelle et professionnelle s’estompent de plus en plus. Les RSSI devaient déjà faire face à la tendance BYOD (Bring Your Own Device) c’est-à-dire le fait d’utiliser des équipements personnels (tablette, PC, smartphone) pour accéder aux ressources informatiques de l’entreprise. Avec le télétravail, ce sont les équipements professionnels qui sont utilisés pour des usages personnels comme par exemple le téléchargement, les services de streaming ou encore les jeux en ligne.
Plus inquiétant encore les RSSI ont noté une nette propension des collaborateurs à choisir la productivité au détriment de la sécurité. Les consignes de sécurité sont perçues comme une perte de temps et sont ainsi souvent contournées voire totalement ignorées.
La tâche est donc ardue pour les RSSI et cela d’autant plus qu’en France, 70 % des responsables sécurité et des dirigeants attribuent les récentes cyber-attaques ayant des répercussions sur l’activité* aux vulnérabilités des technologies mises en place pendant la pandémie. Les VPN, ayant fait partie des technologies les plus déployées en 2020, ne sont pas épargnés par les pirates.
Trois VPN de grands éditeurs figurent ainsi dans le top 10 des vulnérabilités 2020 établi par l’ANSSI. En juillet dernier, l’ANSSI alertait encore sur des vulnérabilités de produits Fortinet. Tous ces VPN ont un point en commun, celui d’utiliser le protocole TLS/SSL alors que l’ANSSI mais aussi la NSA, recommandent l’usage du protocole IPsec jugé plus robuste.
Ces derniers mois, TheGreenBow a constaté qu’il y avait de grandes disparités entre les organisations. Pour simplifier, il y a celles qui avaient déjà commencé à mettre en œuvre la sécurisation du nomadisme et qui ont donc augmenté les capacités de leur architecture d’accès à distance. Et d’autre part, celles qui ont été totalement prises au dépourvu et qui ont dû dans l’urgence déployer des nouvelles technologies comme le VPN et faire évoluer leurs infrastructures.
Nous verrons plus précisément dans un prochain article pourquoi sécuriser les accès distants n’a jamais été aussi crucial pour les entreprises et les organismes publics. Le chiffrement des communications étant largement recommandé par l’ANSSI, nous détaillerons également les critères de choix d’un VPN.
* Source : étude « Au-delà des frontières : l’avenir de la cyber-sécurité dans le nouveau monde du travail » menée par Forrester Consulting à la demande de Tenable auprès de plus de 1 300 responsables sécurité, dirigeants et employés en télétravail, dont 153 personnes en France.
