Avec la pandémie de COVID-19, le télétravail s’est hissé au sommet des priorités en matière de TI. Avant 2020, l’aptitude organisationnelle et les paramètres de sécurité concernant le télétravail allaient de minimaux à élevés, certaines entreprises devant gérer cet aspect pour la première fois.
Que vous soyez encore à la recherche de renseignements et de soutien en matière de cybersécurité ou que vous croyiez avoir déjà tout prévu, il reste toujours quelque chose à apprendre et à mettre en pratique. La surveillance constante et les réévaluations périodiques sont essentielles.
Chez RHEA, nous savons qu’il y a plusieurs aspects à prendre en compte et que le milieu de la cybersécurité n’est jamais stable. Les cybermenaces, mais aussi la configuration de votre organisation, ne cesseront de changer et d’évoluer.
Nos neuf astuces pour renforcer la cybersécurité de votre organisation avec le télétravail :
1. Actualisez vos stratégies et vos politiques en matière de cybersécurité
Évaluez régulièrement votre politique en matière de cybersécurité, ainsi que les politiques et stratégies connexes, surtout durant les périodes de télétravail permanent. Les politiques de plusieurs organisations présentent toujours d’énormes lacunes.
- La cybersécurité est-elle pleinement intégrée à votre stratégie de TI? Vous devez disposer des outils adéquats et adopter des normes appropriées pour prendre en charge les événements et réduire les risques au minimum.
- À quand remonte la dernière fois que vous avez réalisé une évaluation de la menace et des risques? Et une vérification stratégique plus étendue? Ces activités peuvent être réalisées par des entreprises indépendantes spécialisées de façon à fournir un aperçu objectif de votre posture en matière de cybersécurité, et d’autres aspects de sécurité au besoin.
- Disposez-vous de plans de sécurité tant à l’échelle de l’organisation que des services?
2. Évaluez vos politiques de gouvernance et de gestion de crises
La protection n’est pas seulement une question de cybersécurité. Les entreprises doivent s’assurer de définir clairement et de mettre à jour leurs politiques en matière de gouvernance et de gestion de crises, de même que les rôles et les responsabilités de leurs employés. Les menaces évoluent constamment et, advenant une brèche, tous doivent connaître leur rôle et savoir quoi faire, ou à quel endroit trouver cette information. Vous devez absolument être en mesure d’agir rapidement.
3. Mettez en œuvre les technologies et solutions de sécurité appropriées
Votre stratégie en matière de cybersécurité doit couvrir tous les éléments de votre réseau, de bout en bout :
- Chaque appareil doit être doté des mesures de sécurité adéquates, y compris d’un logiciel antivirus, de façon à réduire le risque qu’il soit compromis et qu’il expose par le fait même tout le réseau de l’organisation.
- Mettez en œuvre l’authentification multifactorielle pour accéder à tous les dispositifs et réseaux de l’organisation afin d’éliminer le risque de mots de passe faibles ou volés.
- Mettez en place une surveillance des menaces 24 heures sur 24. À moins de posséder une grande expérience en la matière, songez à faire appel aux services d’experts, ce qui vous permettra de contrer les attaques rapidement en réduisant les dommages au minimum.
- Songez à recourir aux services de détection et d’intervention gérés de tiers pour étendre votre couverture à tous les terminaux de votre réseau, protégeant à la fois vos employés et votre réseau d’entreprise. En plus de la surveillance et de l’atténuation des menaces, les services de détection et d’intervention gérés peuvent offrir d’autres fonctions, comme des mesures d’intervention complètes en cas d’incident et la restauration des données après une attaque de logiciel de rançon, tout en permettant aux utilisateurs de poursuivre leurs activités comme à l’habitude. Vérifiez toutefois si le service que vous envisagez couvre entièrement les télétravailleurs.
Si vos ressources ou vos connaissances sont limitées, des experts indépendants peuvent vous aider.
4. Formez votre personnel régulièrement
À quand remonte la dernière formation de votre personnel en matière de cybersécurité? Plusieurs organisations présentent toujours d’importantes lacunes sur le plan de leurs compétences en cybersécurité, mais la question est beaucoup plus vaste.
Chaque membre du personnel doit comprendre comment réduire au minimum les cyberrisques, surtout lorsqu’il travaille à la maison. Ainsi, tous les employés devraient suivre une formation sur la cybersécurité lorsqu’ils se joignent à votre organisation, puis régulièrement par la suite.
5. Favorisez des comportements sûrs par l’intermédiaire de renseignements et de soutien
Votre posture en matière de TI tient-elle compte du fait que les utilisateurs se trouvent dans un écosystème différent à la maison, et qu’ils travaillent essentiellement dans un milieu hybride entre le privé et le bureau? Entre les formations ciblées, songez à fournir des renseignements de sécurité qui sont faciles à comprendre et qui sont intéressants pour tous. Soyez aussi conscient qu’il est possible que certaines personnes ne sachent pas quels sont les risques que présentent certains outils et logiciels pour l’organisation et pourquoi ceux-ci ne devraient pas être utilisés; vous devez donc leur en expliquer les raisons.
Voici quelques exemples de rappels utiles à transmettre :
- N’utilisez pas votre adresse de courriel professionnelle pour des activités en ligne non liées au travail. Évitez aussi d’utiliser beaucoup votre adresse personnelle : plus elle est accessible, plus vous risquez de recevoir des courriels d’hameçonnage.
- Si vous travaillez à la maison et que vos enfants sont avec vous, ils connaissent probablement votre mot de passe! Changez celui-ci régulièrement. Les membres de votre famille ne devraient pas utiliser les ordinateurs de l’entreprise. Toutefois, si vous partagez un autre appareil, configurez des identifiants pour chaque membre de la famille et n’attribuez à personne d’autre le statut d’administrateur. Utilisez également un logiciel antivirus.
- Les réseaux sans fil publics ne sont pas sûrs; vous vous exposez donc à un risque si vous décidez de fuir la maison pour travailler dans un café. Les employés devraient toujours se connecter au moyen d’un réseau privé virtuel (VPN).
6. Songez à interdire l’utilisation d’appareils personnels
Ne permettez pas aux gens d’utiliser leurs propres appareils à des fins professionnelles. L’approche de type « Apportez vos appareils personnels » accroît les risques pour la sécurité de votre organisation, et peut aussi avoir des répercussions d’ordre juridique, par exemple en ce qui a trait au Règlement général sur la protection des données (RGPD).
Si vous décidez d’autoriser l’utilisation des appareils personnels, vous devez mettre en place des mesures de cybersécurité adéquates, comme des services de détection et d’intervention gérés, ainsi que des politiques et des formations à cet égard. Toutefois, dans un monde idéal, nous ne recommandons pas l’utilisation d’une telle approche.
7. Assurez-vous que les logiciels et les applications sont à jour
Mettez des procédures en place pour vous assurer que chaque appareil est doté de la dernière version des logiciels et qu’un antivirus est utilisé, en activant les mises à jour automatiques.
8. Ne vous limitez pas aux ordinateurs portables – la sécurité de l’Internet des objets
Plusieurs machines et objets peuvent maintenant être connectés et configurés de façon à transmettre des données à des applications et à des programmes d’arrière-plan dans le nuage par l’intermédiaire de réseaux mobiles et à large bande. Tous les appareils utilisés à la maison, y compris les appareils mobiles, les téléviseurs intelligents et les routeurs, peuvent menacer la sécurité de votre organisation s’ils sont utilisés pour le travail. Fournissez aux utilisateurs des directives sur la façon de vérifier et de modifier les paramètres de sécurité de chaque appareil, et demandez-leur de confirmer lorsque ce sera fait. Une solution de sécurité gérée efficace surveillera non seulement le réseau de votre organisation, mais aussi les appareils qui y sont connectés.
9. Créez une culture de soutien, et ne réprimandez pas les victimes
Finalement, faites en sorte que votre équipe des TI soit consciente du potentiel effet psychologique de la pandémie sur les utilisateurs, même ceux qui s’y connaissent le mieux en cybersécurité, et sur les télétravailleurs. Des personnes fortes peuvent devenir fragiles et réagir de façon inattendue; certaines peuvent chercher du réconfort en ligne et être tentées de poser des gestes risqués, comme de cliquer sur des liens qu’elles auraient autrement évités.
Les employés doivent savoir qu’ils peuvent compter sur les systèmes qu’ils utilisent, mais aussi sur le service des TI. Surtout, ils doivent avoir la certitude que s’ils cliquent sur « quelque chose de mal » et qu’un problème survient, ils pourront obtenir de l’aide sans craindre qu’on les réprimande. Plusieurs arnaques et autres cyberattaques sont extrêmement bien conçues, caractéristique qui s’est accentuée durant la pandémie; il est donc facile de se faire prendre au piège.
Nous pouvons vous aider
Ces recommandations sur l’amélioration et le maintien de votre cybersécurité ne sont pas exhaustives; il nous faudrait écrire un livre pour aborder tous les aspects. Elles constituent toutefois un bon point de départ. Comme toujours, si vous souhaitez en savoir plus à ce sujet ou que vous avez d’autres questions sur la façon de maximiser votre posture de cybersécurité durant cette période particulièrement difficile, nous sommes toujours heureux de discuter avec vous.