Travail collaboratif et cybersécurité – Un enjeu majeur

0
158

A l’heure où les conditions de travail sont en plein mutation, il s’avère primordial de penser et d’appliquer le principe “Zero Trust” pour es entreprises et rien ne doit être oublié, que ce soit l’environnement de travail collaboratif sécurisé, le Cloud sécurisé, la sécurité des applications ou encore l’identité digitale. Des solutions existent.

Travail collaboratif, travail à distance (télétravail), usage du Cloud généralisé, de plus en plus d’outils technologiques et d’appareils (BYOD / Bring Your Own Device), les entreprises misent beaucoup sur le numérique. Un point crucial pour l’innovation et la compétitivité actuellement ! Mais attention, encore faut-il bien maîtriser les risques liés à la cybersécurité pour ne pas aller vers la catastrophe… fuite de données, piratage ou même erreur humaine, tout est possible et rien ne doit être laissé au hasard.

Le but étant d’éviter toute violation de données sous peine d’une terrible perte d’image et de confiance pour une entreprise, il y a de nombreuses règles strictes à respecter, pour l’ensemble des collaborateurs. Voici les principaux axes détaillés :

1. Stockage des données sécurisé

Si les données (potentiellement sensibles et confidentielles) sont stockées dans le Cloud, alors il faut impérativement choisir une société de confiance et de solides garanties concernant la continuité d’accès et la sécurité des données. Les sauvegardes sécurisées sont bien sûr un élément clé, tout comme le chiffrement des données, en plus des normes et certifications requises. Bien entendu, il faudra s’assurer que les données sont sauvegardées sur des serveurs redondants et géographiquement dispersés par rapport au datacenter principal.

Attention à la législation locale par rapport à l’endroit géographique où sont physiquement stockées ces dernières : si elles se trouvent hors de France, voir hors d’Europe, il faut penser aux enjeux liés au RGPD en plus des autres points ! Prudence aussi concernant les risques de pannes car il sera alors impossible d’accéder à vos données durant l’éventuelle coupure. Un plan de continuité voir de reprise d’activité doit être établi en amont.

2. Authentification et contrôles d’accès

L’authentification est le point crucial à ne pas négliger ! Le choix des mots de passe, leur solidité, et la politique de renouvellement doivent être des préoccupations majeures pour le responsable SI. Ainsi, chaque collaborateur doit avoir l’obligation d’opter pour mot de passe dont les critères de robustesse auront été définis, par exemple de 8 à 15 caractères, combinant des chiffres et des lettres en majuscules et en minuscules, ainsi que des caractères spéciaux.Ensuite, pour éviter tout risque de cracking de mot de passe ou d’interception, il est nécessaire de déployer une campagne périodique de changement globale des mots de passe, tous les 3 ou 6 mois.

Pour finir, il peut être opportun de se pencher et d’adopter l’authentification forte (ou double authentification) en se basant sur le smartphone professionnel ou à défaut, personnel, du collaborateur. Soit par l’envoi d’un code unique par SMS, soit par le déverrouillage via une application dédiée, ou encore via un facteur d’identification biométrique tel que l’empreinte digitale, la voix, ou la reconnaissance faciale selon les possibilités offertes par les smartphones.

Le système de travail collaboratif pourra disposer d’un mécanisme de verrouillage automatique des documents en ligne. De plus, le système devra journaliser un historique des accès et des modifications effectuées afin d’être en mesure de retracer tout comportement frauduleux.

3. Protection des équipements informatiques et du réseau

Vous l’aurez deviné, les protections citées plus haut ne serviront à rien si le réseau interne de l’entreprise ou les appareils qui s’y trouvent sont mal protégés ou pas protégés du tout… Pour cela, il va falloir protéger correctement l’ensemble des appareils mobiles (BYOD), l’ensemble des appareils fixes présents sur place, ainsi que le réseau d’entreprise en lui-même. Les accès externes des collaborateurs devront être pensés et sécurisés pour un usage en toute conditions, notamment via filtration des applications d’accès mais aussi via un pare-feu. Le réseau devra lui aussi disposer d’un pare-feu restrictif, et d’uns DMZ. Un accès VPN peut être déployé dans le cas de télétravail.

La sauvegarde des données pourra aussi être déployée en parallèle au sein même de la société, sur des serveurs ou NAS physiquement présents dans les locaux. Un antivirus devra être installé sur chaque appareil, fixe ou mobile et maintenu à jour. Les logiciels et systèmes d’exploitations nécessiteront aussi des mises à jour régulières par cycle afin de répondre au besoins de déploiement des patchs correctif liés aux potentielles vulnérabilités découvertes en leur sein.

Dernier point, si l’entreprise dispose d’un réseau Wi-Fi, sa sécurisation doit être une priorité ! Il peut en effet constituer au point d’entrée de choix pour les cybercriminels…

4. Formation des collaborateurs

Toutes les bonnes pratiques du monde ne suffiront malheureusement pas à se protéger efficacement si les collaborateurs eux-même ne sont pas sensibilisés à la cybersécurités et aux principaux risques. On le voit quotidiennement dans les médias spécialisés : des comptables ou des directeurs exécutant un ordre de virement sur réception d’un faux mail de facture émanant d’un pirate informatique, ou encore un collaborateur qui va suivre un lien frauduleux d’un mail d’un soit disant fournisseur ou partenaire et qui va mener à la fuite des ses accès personnels internes… tout est possible, tout peut arriver, avec parfois un ciblage si parfait et personnalisé qu’il faut un sérieux bagage technique pour y voir l’arnaque !

La formation des collaborateurs aux risques liés l’informatique et ses usages est souvent négligée par les entreprises mais c’est une grossière erreur. Car une fois ces derniers informés sur les principales techniques d’attaques, ils seront la plupart du temps en mesure de les reconnaître et de ne pas se faire avoir. Les données de l’entreprise resteront alors en sécurité !

 

Note : article publi-rédactionnel