Conseils pour la sécurité et l’accompagnement de télétravailleurs

0
131

Pour endiguer l’épidémie de COVID-19, beaucoup d’entreprises généralisent le télétravail. Pour autant ; elles ne sont pas toutes prêtes à assumer une explosion soudaine du nombre de télétravailleurs. En effet, l’implémentation massive du télétravail sans stratégie prédéfinie peut être un frein à la productivité des collaborateurs, ou pire, un facteur de risque pour l’entreprise. Découvrez les conseils (ci-joint) de Nicolas Fischbach, Global CTO de Forcepoint pour assurer la sécurité et le support d’un grand nombre de télétravailleurs.

Tribune – En réponse à l’épidémie COVID-19, de nombreuses entreprises ont commencé à instaurer le télétravail afin de protéger leurs employés et de limiter la propagation de la maladie. Suite à l’annonce faite jeudi par le Président de la République les études de faisabilité vont se transformer en projets prioritaires dans les jours à venir pour assurer la continuité de l’activité de l’entreprise tout en maintenant une certaine vélocité et en évitant autant que possible d’augmenter la friction pour l’utilisateur final. Des situations telles que celle à laquelle nous sommes confrontés aujourd’hui peuvent amener les équipes informatiques à voir monter en flèche le nombre des télétravailleurs dont elles doivent assurer le support en collaboration avec les équipés en charge de la sécurité du système d’information et des données de l’entreprise.

Voici donc quelques conseils pour vous aider à assurer la sécurité et l’accompagnement des télétravailleurs :

1) Appuyez-vous sur les plans de préparation aux situations d’urgence ou de continuité d’activité de votre entreprise

Ce n’est pas le moment de réinventer la roue. Profitez de cette opportunité pour valider les hypothèses en matière de sécurité et de capacité de télétravail.

  • Analysez les processus métiers par département afin de déterminer de quelles applications ces groupes d’employés ont besoin pour accomplir leur travail, par ordre de priorité et en complément des outils de communication et de collaboration de base
  • Si possible, mettez en place un plan de télétravail par roulement afin de limiter le nombre des employés ou sites concernés simultanément et de tester ainsi l’accès à distance par département ou par type de poste. La validation de la montée en charge de l’accès VPN et de l’accès Internet qui y est lié sont un must (et c’est vrai aussi pour les accès Internet au domicile)
  • Prenez le temps de réfléchir à votre stratégie de communication. Allez-vous communiquer au niveau de chaque département ? De chaque zone géographique ou
    site ? Comment allez-vous communiquer les mises à jour les plus importantes à tous les employés (par exemple, la messagerie interne de l’entreprise est-elle suffisante ou un système de notification de masse tiers, via SMS ou par application mobile, est-il nécessaire) ?

2) Testez vos plans de sécurité, tant en termes d’accès que de capacité

Il est essentiel ici de vérifier dans quelle mesure votre stratégie de sécurité existante peut s’adapter pour faire face à une forte augmentation du nombre de télétravailleurs.

  • Prenez-vous en compte les exigences des applications qui se trouvent sur site (par exemple dans votre salle serveur ou un centre d’hébergement tier), cloud et hybrides auxquels vos employés doivent accéder pour accomplir leur travail ?
  • Est-ce que votre (voire vos) solution(s) d’authentification permet(tent) une authentification forte ou multi-facteur ? Dans le cas contraire, quelles sont les lacunes à combler ?
  • Concernant les applications cloud : celles utilisées par vos employés présentent-elles les niveaux d’élasticité appropriés ? Peuvent-elles facilement monter en capacité pour supporter des pics de centaines voire milliers d’utilisateurs ? Quel est le risque que vos employés se connectent à des applications tierces, non validées et non sécurisées par l’entreprise pour pouvoir effectuer leur travail ? Le risque de voir le Shadow IT (« l’informatique grise ») se propager, comme le coronavirus, est important. Pensez à la protection des données immatérielles de l’entreprise et profiter en pour communiquer sur le sujet.

3) Testez la sécurité et la capacité de votre VPN

Une stratégie de VPN solide est fondamentale pour assurer la sécurité des utilisateurs et des données. C’est d’autant plus vrai pour les entreprises prévoyant de gérer de grands groupes de télétravailleurs.

  • Déterminez le nombre total de télétravailleurs à prendre en charge et prévoyez de faire évoluer la capacité VPN afin d’assurer la continuité des opérations.
  • Testez la sécurité et la capacité au niveau de chaque département. Quelles applications utilise le marketing par rapport aux développeurs, à la finance ou
    la comptabilité ? Comme indiqué plus haut, un plan de télétravail par roulement peut vous aider à identifier les besoins qui seront potentiels et divers (application métier interne vs offre SaaS).
  • Déployez potentiellement des connexions VPN performantes, séparées et privées, dédiées aux différents groupes d’employés pour leur permettre d’effectuer leurs tâches critiques.

4) Profitez-en pour communiquer sur la protection des données !

  • Le télétravail sera une nouveauté pour potentiellement beaucoup d’employés, et la majorité fera tout ce qui est possible pour continuer à travailler et à assurer leur mission. Le département informatique et tout particulièrement le service support ne pourra pas toujours suivre la montée en charge ce qui conduira certains utilisateurs à utiliser des solutions ou des applications alternatives pour travailler et communiquer (messageries tierces, solutions de stockage et de partage de fichiers, etc). Profitez-en pour sensibiliser vos employés sur la protection des données de l’entreprise.

Les situations d’urgence sont inévitables. C’est la raison première pour laquelle les entreprises élaborent des plans de continuité d’activité. Mettez à profit cette opportunité pour valider et adapter les hypothèses relatives au télétravail. Assurez-vous que votre VPN et votre stratégie de sécurité en général couvrent toutes les applications dont votre personnel a besoin pour accomplir son travail, où que ces applications soient hébergées. En suivant ces conseils, vous pouvez faire beaucoup pour assurer la sécurité de votre entreprise sans compromettre la productivité de ses employés. Et une fois que les grosses vagues seront passées, je suis convaincu que beaucoup de DSI et de RSSI vont repenser leur architecture pour y intégrer une approche « Zero Trust » et protection des données dans le Cloud/les applications SaaS.