Titre: Nouvelles menaces pour la sécurité des appareils sur le lieu de travail hybride - Conseils d'ESET (18/08/2021 Par cda)
Les cyber-risques posés par les humains et leur utilisation des services cloud ont déjà été explorés. Qu'en est-il de l'élément clé de la technologie qui relie ces deux ? Les appareils portables - laptops smartphones, tablettes et clés USB - ont toujours représenté un risque pour les responsables informatiques alors que pendant la pandémie, ils étaient principalement statiques.

Alors que les bureaux rouvrent et que le travail hybride devient une réalité, les nouveaux modèles de travail exposeront les employeurs à un ensemble de risques familiers. Cette fois, vu le grand nombre d'employés faisant la navette entre la maison et le bureau, les espaces de travail partagés et les visites aux clients, représentent un potentiel bien plus grand pour les appareils et les données de se retrouver entre de mauvaises mains.

Au Royaume-Uni, plus de 60% des entreprises songent à adopter le travail hybride après l'assouplissement des restrictions. Le chiffre est encore plus élevé (64 %) parmi les entreprises internationales. Cependant, bien qu'un mix ‘télétravail et bureau’ convienne à la plupart des employés, favorisant et la productivité et le bien-être du personnel, les défis sont là. Au centre on trouve l’atout le plus important de l’organisation et cependant le maillon le plus faible de la chaîne de sécurité : les employés.

Ce qui émergera vraisemblablement lors de l’assouplissement des restrictions, c'est une fluidité accrue dans la manière de travail des employés et de leur lieu de travail. Outre le partage du temps entre le bureau et la maison, on pourra travailler à partir d'espaces partagés, tandis que les visites dans les locaux des clients et des partenaires reprendront. Cela signifie : changer. C'est un problème potentiel en matière de cyber-sécurité, car les humains adorent la routine. Un des meilleurs moyens d'enseigner des pratiques plus sécurisées est d'encourager les comportements automatiques, mais cela devient plus difficile si les employés n'ont plus un modèle de travail unique.

Risques de sécurité des appareils pour travail hybride
On transportera des appareils mobiles, on se connectera en route et on pourra même transporter des documents papier sensibles. Dans ce contexte, les principaux cyber-risques se définissent ainsi :
• Appareils mobiles perdus ou volés : s'ils ne sont pas protégés par un mot de passe, un cryptage fort ou une fonctionnalité d'effacement à distance, les laptops, smartphones et tablettes peuvent exposer les données et les ressources de l'entreprise. Au Royaume-Uni on a enregistré des centaines d'appareils perdus ou volés au cours des trois dernières années.
• Documents papier perdus ou volés : malgré la popularité du numérique, les documents traditionnels restent un risque sécuritaire. En juin, d’important documents secrets du ministère britannique de la Défense ont été découverts à un arrêt de bus
• Regarder pardessus l’épaule/écouter aux portes : avec toujours plus de déplacements vers et depuis le bureau ou d'autres endroits, il y a plus de risques que des personnes à proximité essaient d'écouter des conversations vidéo ou d'espionner des mots de passe et d'autres données sensibles. Ces informations, même si elles ne sont que partiellement capturées, peuvent être utilisées pour une fraude d'identité ou en suivi de tentatives d'ingénierie sociale.
• Réseaux Wi-Fi non sécurisés : plus de télétravail signifie aussi une plus grande exposition à des points d'accès Wi-Fi dans des lieux publics comme les gares, les aéroports et les cafés. Même si de tels réseaux nécessitent un mot de passe, les employés peuvent être exposés au risque d'écoute électronique, de logiciels malveillants, de détournement de session ou d'attaques par l'homme du milieu.

Limiter les risques sécuritaires des appareils
Ces menaces existent depuis des années et des politiques éprouvées peuvent aider à les éliminer. L'urgence vient du fait qu’aujourd’hui une majorité d'employés pourraient y être exposés, alors qu’avant la pandémie le nombre de télétravailleurs était relativement faible. Comment y remédier :

• Formation et sensibilisation des employés : nous savons tous que des programmes efficaces de formation peuvent aider à réduire les risques de phishing. Les mêmes processus peuvent être adaptés pour sensibiliser les employés aux menaces potentielles reprises ci-dessus : la gestion des mots de passe, l'ingénierie sociale et l'utilisation sécurisée du Web. Les techniques de gamification sont de plus en plus populaires car il a été prouvé qu'elles accélèrent le processus d'apprentissage, améliorent la rétention des connaissances et entraînent des changements durables du comportement.
• Politiques de contrôle d'accès : l'authentification des utilisateurs est primordiale dans toute stratégie de sécurité d'entreprise, surtout lors de la gestion d'un grand nombre d'utilisateurs distants. Les politiques doivent être adaptées à l'intérêt pour le risque de l'organisation, mais les meilleures pratiques comportent généralement des mots de passe forts et uniques, stockés dans un gestionnaire de mots de passe et/ou une authentification multi facteurs (MFA). Cela signifie que, même si un espion numérique ou un internaute capture le mot de passe ou l’identifiant à usage unique, le compte restera sécurisé.
• Sécurité des appareils : les appareils doivent être protégés et gérés par le service informatique. Le cryptage fort du disque, l'authentification biométrique, le verrouillage à distance avec effacement des données, la protection par mot de passe avec verrouillage automatique, la sécurité des terminaux, les correctifs/mises à jour automatiques réguliers et la sauvegarde dans le cloud sont tous très importants. La NSA a une liste de contrôle utile pour les appareils mobiles.
• Zero Trust : ce modèle, de plus en plus populaire, a été conçu pour un monde où les utilisateurs peuvent accéder aux ressources de l'entreprise en toute sécurité de n'importe où, sur n'importe quel appareil. Il s’agit de l'authentification continue basée sur les risques de l'utilisateur et de l'appareil, la segmentation du réseau et d'autres contrôles de sécurité. Les organisations supposent une violation, appliquent la politique du moindre privilège et traitent tous les réseaux comme non fiables.

Passer au travail hybride ne sera pas facile et au début il peut y avoir des ‘accidents’. Mais avec de solides politiques de sécurité appliquées grâce à des technologies et des fournisseurs de confiance, les employeurs gagneront beaucoup en donnant de la liberté à leurs employés.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour
protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les
menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com ou suivez nous sur LinkedIn, Facebook, et Twitter.
Retour