La sécurité à l'ère du travail hybride :
votre entreprise est-elle préparée à de nouveaux risques ?

Jusqu'en 2020, l'interaction en face à face avec les employés facilitait la résolution des problèmes par les équipes informatiques. De manière générale, le processus était basé sur le présentiel. Si les employés travaillaient à l'extérieur du bureau, l'infrastructure permettait aux employés d'accéder aux systèmes internes via un VPN, qui était généralement rapide et sécurisé. Lorsque la pandémie a frappé, les habitudes de travail ont été complètement transformées et, avec elle, le paysage informatique. Soudain, les services ont dû s'adapter à de nouveaux défis de sécurité qu'ils n'avaient pas anticipés.

D'un point de vue pratique, l'accès est soudainement devenu un défi majeur. Bien que le travail hybride et à distance ne soit pas un phénomène nouveau, l'accès VPN était destiné à un petit nombre de personnes travaillant à domicile, et non à l'ensemble des employés travaillant à l'extérieur. L'augmentation soudaine et durable du nombre d'utilisateurs souhaitant se connecter a entraîné une sursouscription et créé une tension au niveau du système VPN.

Pendant ce temps, la résolution des problèmes ne pouvait plus être effectuée en personne, créant ainsi des difficultés à contrôler l'identité de la personne en contact avec le service informatique. S'en est suivi une augmentation des attaques d'ingénierie sociale, où les cybercriminels usurpaient l'identité de sources légitimes. En effet, dans son rapport de 2021, Verizon a classé ces attaques de violations malveillantes comme étant les plus courantes.

Un autre problème rencontré a été le manque de visibilité du service informatique face aux employés travaillant à distance. Si la moitié des employés est à la maison, il devient plus difficile d'empêcher le personnel d'utiliser ses appareils et applications domestiques plutôt que ceux approuvés par son organisation, simplement par méconnaissance. Les programmes BYOD (Bring Your Own Device, utilisation d'un appareil personnel à des fins professionnelles) officiels dans l'entreprise sont formalisés et exigent des employés qu'ils suivent des conditions d'utilisation spécifiques. Mais il est plus difficile de maintenir ces pratiques avec les travailleurs à domicile qui perçoivent souvent les politiques de bureau comme ne s'appliquant pas aux environnements domestiques.

Ces préoccupations restent d'actualité. La mise en place soudaine du travail à distance s'est transformée en un cadre permanent de travail hybride. Par conséquent, il est essentiel que les équipes informatiques s'adaptent également en tenant compte de chaque nouvel environnement de travail séparément et ensemble, afin de proposer une réponse flexible et agile en matière de sécurité.

Selon notre récente étude, 77 % des décideurs informatiques affirment que les employés cessent de suivre les procédures de sécurité lorsqu'ils travaillent à l'extérieur du bureau, même si les entreprises appliquent déjà une politique officielle de travail hybride. Si les équipes informatiques doivent avoir un contrôle total sur la sécurité, il est essentiel de définir des politiques très spécifiques sur le comportement au travail à l'extérieur du bureau, de la sécurité des appareils aux téléchargements d'applications, de la connexion aux réseaux à la mise au rebut sécurisée des documents imprimés avec des destructeurs. Rien ne doit être laissé à l'appréciation des employés.

Alors que les études montrent que les employés peuvent avoir du mal à comprendre où les règles s'appliquent et pourquoi elles sont importantes, la meilleure façon de les appliquer est de suivre des webinaires obligatoires qui mettent l'accent sur la responsabilité des employés, quel que soit l'endroit où ils travaillent. Qu'ils soient formés ou non, les travailleurs sont toujours vulnérables aux attaques malveillantes délibérées. Par conséquent, il est peut-être prudent que votre entreprise investisse dans une formation de sécurité pour éviter que les employés ne soient victimes d'escroqueries telles que le phishing.

Les espaces de travail partagés et de coworking sont de plus en plus utilisés comme alternative flexible et économique aux espaces privés. Cependant, au-delà des coûts et des installations, il est essentiel de prêter une attention particulière aux politiques et conditions de sécurité lors de l'identification d'un espace de coworking. Alors que de nombreuses entreprises peuvent penser que les espaces de coworking sont responsables de la sécurité de leurs locaux, mais il est possible en réalité que le lieu ait mentionné sa non-responsabilité dans les petits caractères du contrat.

Posez des questions pour vous assurer que les espaces de coworking répondent aux mêmes niveaux de sécurité et aux mêmes attentes que les politiques de votre entreprise : à quoi ressemble leur sécurité physique ? Quelqu'un peut-il entrer ? Quelles sont les conditions relatives à la perte ou à la violation de données ? Qui est considéré comme responsable le cas échéant ? En outre, quelles sont les politiques de sécurité en matière d'impression ? Quelqu'un peut-il accéder aux documents ?

Il est important que les employés comprennent les menaces de sécurité associées au travail mobile. Le Wi-Fi partagé dans les cafés, par exemple, est accessible à tous. Il est donc essentiel que les employés accèdent uniquement aux documents de l'entreprise via le VPN pour en assurer la sécurité. En outre, il peut être facile pour les employés d'exposer physiquement des informations à d'autres personnes, en s'éloignant de leur ordinateur portable pour prendre un café ou simplement en s'asseyant devant quelqu'un dans un train. Si vos employés ont l'habitude de voyager pour des raisons professionnelles, les décideurs informatiques doivent au moins envisager des solutions simples, telles que des écrans de confidentialité pour les périphériques.

Les entreprises doivent également comprendre que les gens ne sont pas parfaits : il n'est pas rare de perdre un téléphone professionnel ou de laisser un ordinateur portable dans le train. Dans cette optique, il serait bon de prendre quelques précautions. Pourquoi ne pas installer BitLocker avant qu'un utilisateur ne puisse accéder au système d'exploitation, opter pour des disques durs chiffrés et donner la possibilité d'envoyer un signal à un appareil mobile puis de supprimer ses données pour empêcher que quelqu'un accède aux informations de l'entreprise.

Les entreprises du monde entier ont dû mettre en place le travail à distance et le travail hybride plus rapidement qu'elles ne l'avaient prévu. Par conséquent, les équipes informatiques ont dû travailler dur pour assurer la continuité de fonctionnement à distance de l'entreprise. Maintenant que la situation est stabilisée, la sécurité doit être une priorité. Avec autant de nouvelles sources potentielles de menaces de sécurité dans un espace de travail distribué, toutes les entreprises devraient en profiter pour passer en revue leurs protocoles et politiques de sécurité. Et notamment, avec autant de changements affectant la vie professionnelle des employés, il faut garder à l'esprit que les employés ne réalisent peut-être pas l'impact sur les pratiques de sécurité ou ne comprennent peut-être pas comment leur propre comportement doit changer. Grâce au partage de connaissances et à la mise en plage d'une formation rigoureuse à destination des employés, votre entreprise peut tirer le meilleur parti du travail hybride sans mettre votre sécurité en danger.