La crise du COVID-19 aurait fait faire un bon de 10 ans en avant à l’adoption du télétravail [1]. En effet, contraintes par les mesures sanitaires prises pour combattre la pandémie, les organisations qui le pouvaient ont flexibilisé leurs modes de travail pour maintenir leurs activités tout en protégeant la santé de leurs employés. De ce fait, pratiquement du jour au lendemain, le cadre spatio-temporel traditionnel de bon nombre de salariés a volé en éclat sous les coups numériques de la nécessité.
Cependant, ce qui a été mis en place dans l’urgence n’est pas forcément viable ni même souhaitable à court ou moyen termes, ne serait-ce que parce que le télétravail ne convient pas à tous ceux à qui il a été imposé. C’est pourquoi les conséquences de cette marche forcée et précipitée vers le progrès doivent être rapidement évaluées et, très souvent, corrigées.
Le faux-semblant de la facilité technologique
La transmutation des activités professionnelles du réel au virtuel s’est notamment appuyée sur les technologies de la transformation numérique. Celles-ci offrent des solutions de collaboration, de prise de décision, de gestion des documents et de partage de l’information automatisées qui permettent de travailler à plusieurs, en synchrone comme en asynchrone, et qui sont accessibles de partout via Internet.
Pour les entreprises qui avaient déjà adopté ces technologies ce fut surtout un changement d’échelle mais, pour celles qui ont dû improviser, la prise de risques est considérable en termes de cybersécurité et de confidentialité des informations [2]. En particulier, en cas de divulgation ou de perte de secrets professionnels ou des affaires, de propriétés intellectuelles, ou de données personnelles, les répercutions juridiques, financières, commerciales et en terme de réputation peuvent être très sévères. Or l’impréparation démultiplie les vulnérabilités qui peuvent trouver leurs origines tout à la fois dans les équipements électroniques, les logiciels, les connections et les pratiques.
Dès lors, comment s’étonner de l’explosion de la cybercriminalité durant la crise sanitaire [3] [4].
La simplicité tragique du Bring Your Own Device (BYOD)
Cette pratique consiste à autoriser les employés à utiliser leurs terminaux personnels à des fins professionnelles (téléphones mobiles, tablettes, ordinateurs…), voire à le leur demander. Or cet expédient est particulièrement périlleux, surtout lorsque ces équipements sont partagés entre les membres d'une même famille. En effet, les entreprises ne peuvent alors ni imposer les mesures de sécurité appropriées ni même contrôler qu'il y en ait d'appliquées. Et, inversement, les activités et les données privées peuvent être captées par les outils mis à disposition par les employeurs [5].
Dans ces conditions, la sécurité des données des uns et des autres, et l’accès au réseau de l’entreprise repose sur :
- Les connaissances en cybersécurité des salariés et les protections qu’ils mettent en place sur leurs terminaux, à commencer par la présence d’un antivirus performant à jour et l’utilisation de mots de passe forts.
- Les connaissances informatiques des utilisateurs (système d’exploitation, outils de bureautique et de communication, et paramétrages de sécurité et de vie privée), et la prudence de leur navigation sur Internet. En effet, leur ignorance, leur négligence ou leur naïveté peut causer la perte d’informations ou en compromettre [6].
- La sûreté des applications installées ou utilisées en ligne, et leur conformité aux règles de protection des données personnelles [7] .
A commencer par celles grand public dont le modèle économique est basé sur la recherche immédiate de la croissance exponentielle du nombre d’utilisateurs et la captation de leurs données à des fins commerciales, au détriment de la sécurité du code, de la confidentialité des données et de la localisation des serveurs (la gratuité est un leurre, la rentabilité financière un impératif). A cet égard, les débuts chaotiques de l’application de vidéoconférence ZOOM ont confiné à la caricature.
Mais aussi la sûreté et la conformité des applications professionnelles fournies par les employeurs car celle-ci collectent parfois les données personnelles, notamment lorsqu'elles ont des fonctionnalités de contrôle du travail des employés [8].
- La sécurisation du Bluetooth et des multiples objets connectés, qui sont parfois conçus pour être à l’écoute, tels que les Assistants Personnels [9]. Potentiellement, ils constituent autant de points d’accès secondaires aux terminaux qui les commandent.
Le maillon le plus faible de la cybersécurité
En définitive, il vaut mieux que les entreprises investissent pour équiper leurs salariés de terminaux mobiles dédiés à leur travail [10].
Au premier abord, le coût du contrôle des risques par l’acquisition de la maîtrise matérielle et logicielle de la cybersécurité peut sembler rédhibitoire. Mais en réalité, comparé à celui des conséquences d’une attaque de type Ransomware, il est minime [11].
Pour autant, la mise disposition de ces équipements ne suffit pas à elle seule. Elle doit impérativement être accompagnée de sensibilisations du personnel aux risques, de formations aux outils, ainsi que d’exercices et de tests réguliers [12]. En effet, l’être humain est à la fois la clé de voûte de la cybersécurité et son élément le plus fragile .
[1] VIGLIAROLO Brandon. Remote Work Is Here to Stay, Gartner Finds. Techrepublic (site web), 14 juillet 2020. Disponible en ligne [consulté le 07/05/2021] : <https://tek.io/3nTqZ0E>.
[2] DETWILER Bill. Stop Using Your Work Laptop or Phone for Personal Stuff, because I Know You Are. ZDnet (site web), 25 avril 2021. Disponible en ligne [consulté le 07/05/2021] : <https://zd.net/3b8My8h>.
[3] Help Net Security. Security Threats Increasing with 70% Using Personal Devices for Work. Help Net Security (site web), 16 mars 2021. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/3b6UUNM>.
[4] SILVERBERG David et SMALE Will. Home Working Increases Cyber-Security Fears. BBC (site web), février 2021. Disponible en ligne [consulté le 07/05/2021] : <https://bbc.in/3vSUYsB>.
[5] CNIL. BYOD : Quelles sont les bonnes pratiques ? CNIL (site web), 24 mars 2019. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/3hemNaN>.
[6] République Française. CORONAVIRUS – COVID-19 : Appel au renforcement des mesures de vigilance cybersécurité. Cybermalveillance.gouv.fr (site web), 16 mars 2020. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/3b713te>.
[7] CNIL. Salariés en télétravail : quelles sont les bonnes pratiques à suivre ? CNIL (site web), 12 mai 2020. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/2SzjPmQ>.
[8] KLOSOWSKI Thorin. How Your Boss Can Use Your Remote-Work Tools to Spy on You. New York Times (site web), 10 février 2021. Disponible en ligne [consulté le 07/05/2021] : <https://nyti.ms/3vRgPjQ>.
[9] DARA Rozita. La face cachée d’Alexa, de Siri et autres assistants virtuels. The Conversation (site web), 27 décembre 2019. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/2PV0pI0>.
[10] DAVIES Dan. 2021 Will Be the Year of Hybrid Working: How Can CTOs Keep Staff Secure and Productive? Help Net Security (site web), 24 février 2021. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/3tr2ysL>.
[11] Iron Mountain. Cost of Data Breach Rises with Remote Work. Iron Mountain (site web), sans date. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/3esfDOa>.
[12] Help Net Security. Cybercriminals Increasingly Impersonate Business-related Apps. Help Net Security (site web), 5 mars 2021. Disponible en ligne [consulté le 07/05/2021] : <https://bit.ly/3ennrAO>.
Aucun commentaire:
Enregistrer un commentaire