211service.com
Les risques du télétravail
Laisser les employés travailler à la maison et dans les cafés, les trains ou n'importe où ailleurs avec un accès Internet réduit les coûts et augmente la productivité, mais cela pose également des risques de sécurité importants. De nombreux experts en sécurité informatique affirment que les entreprises ne font pas assez pour réduire le risque qu'un employé perde des données ou de la propriété intellectuelle en dehors du bureau.
De nombreuses organisations protègent leurs réseaux avec des pare-feu qui restreignent l'accès à des ressources particulières, ce qui revient à verrouiller une porte. Beaucoup ont également des réseaux privés virtuels (VPN) qui cryptent les données transmises des réseaux d'entreprise aux employés distants. Mais à quel point cela est efficace dépend de la façon dont l'accès au VPN est accordé ; étant donné que les mots de passe de base peuvent être devinés ou piratés par les employés, il est plus sûr d'ajouter une étape supplémentaire.
Pour certaines organisations, cette étape implique des jetons matériels (petits appareils qui génèrent des mots de passe à usage unique de temps en temps) ou des équivalents logiciels. (Les récentes attaques de piratage contre le fournisseur de jetons RSA, qui ont conduit à un piratage de suivi sur Lockheed Martin, ne semblent pas avoir sapé de façon permanente la technologie cryptographique sous-jacente utilisée dans les jetons de RSA.) Lorsqu'ils sont utilisés correctement, les VPN avec des procédures d'authentification fortes sont difficiles à pirater, même sur les réseaux Wi-Fi publics où les indiscrets détectent facilement le trafic.
Mais la sécurisation des données nécessite plus que la configuration de pare-feu et de VPN. Bien que les attaques d'ingénierie sociale, dans lesquelles une victime est trompée ou forcée de donner des mots de passe ou d'autres informations sensibles, ne soient pas propres aux télétravailleurs, les escroqueries peuvent être plus difficiles à réaliser face à la sécurité organisationnelle offerte par un bureau, explique Steven Chan. , chercheur et architecte logiciel en chef de la division des systèmes d'ingénierie du MIT. Pour approcher un employé qui traite des informations sensibles, vous pouvez prétendre que vous êtes un coursier à vélo ou un gars de FedEx, mais vous devez quand même passer le garde de sécurité, la réceptionniste, etc., dit Chan. Les personnes qui travaillent seules sont plus vulnérables.
Chan ajoute que de nombreux employés qui travaillent à domicile n'ont probablement pas une sécurité réseau aussi bonne que celle de leur bureau. Si je sais que votre bureau à domicile est cette extension de la maison ou que votre bureau est au premier étage, tout ce que j'ai à faire est de voler votre ordinateur portable ou de contourner votre [sécurité Wi-Fi], dit Chan. Peut-être que votre routeur Verizon est toujours défini sur le mot de passe par défaut. Dans l'ensemble, je sais exactement où se trouvent vos fichiers critiques, et si je suis [vraiment bon dans ce que je fais], la cible est toast.
Les travailleurs à distance sont également vulnérables à la perte ou au vol d'appareils contenant les données de leur organisation. En 2006, un employé du département américain des Anciens combattants a perdu un ordinateur portable et un disque dur contenant des informations sensibles et non cryptées sur plus de 26 millions d'anciens combattants et leurs familles.
Pour éviter de telles pertes, les experts recommandent, au minimum, de chiffrer les documents les plus sensibles sur le disque dur d'un télétravailleur. Pour une sécurité complète, l'intégralité du disque dur doit être cryptée et accessible uniquement via des mots de passe forts. Microsoft recommande des mots de passe d'au moins 14 caractères, dont certains sont des lettres, des chiffres et des symboles. De plus, un logiciel de suivi peut être utilisé pour localiser un ordinateur portable, un téléphone ou une tablette perdu et l'effacer à distance de ses données.
Chan suggère également l'accréditation, ce qui signifie que les employés ne devraient avoir accès qu'aux informations dont ils ont besoin pour leur travail. Les autorisations doivent être repensées régulièrement et pas seulement mises en place lorsque les employés sont embauchés pour la première fois. Un tel cadre peut également aider une organisation à savoir quand ses données les plus importantes ont été consultées, ce qui la rend moins susceptible d'échapper à l'attention, par exemple, qu'un seul travailleur quittait régulièrement le bâtiment avec des informations personnelles sur 26 millions d'anciens combattants.
Une autre source potentielle de problèmes est que les employés en télétravail utilisent une variété d'appareils mobiles pour leur travail. Aujourd'hui, de nombreux appareils ont été imposés aux organisations par les employés, plutôt que l'inverse, note Rich Campagna, qui supervise les produits de sécurité pour Juniper Networks. Une façon d'éviter que cela ne compromette la sécurité consiste à faire en sorte que les serveurs d'un réseau identifient et authentifient tous les appareils qui tentent d'y accéder. Dans une étape connue sous le nom d'empreinte digitale de l'appareil, le réseau peut essayer de distinguer un employé distant légitime d'un pirate informatique malveillant en examinant l'adresse IP, les numéros de série de l'appareil et d'autres paramètres sur l'ordinateur de l'utilisateur. Si un appareil inconnu tente d'accéder au réseau, même avec les bons mots de passe et identifiants, soit l'entrée est refusée, soit la demande est évaluée après une authentification supplémentaire (par un appel téléphonique à l'utilisateur, par exemple).
De telles procédures automatiques valent mieux que de s'attendre à ce que les employés fassent eux-mêmes des choix judicieux en matière de sécurité, déclare Campagna : il y a de fortes chances que cela ne se produise pas si l'utilisateur final doit prendre une décision consciente à ce sujet.