Salariés en télétravail et cybersécurité ne font pas toujours bon ménage. Si la digitalisation des entreprises avait déjà entraîné une hausse des cyberattaques, c’est également le cas de la crise sanitaire.
En raison de la cinquième vague de l’épidémie de Covid-19, le protocole national sanitaire en entreprise a été modifié. Le ministère du Travail désormais préconise deux à trois jours de télétravail par semaine. Or, cette organisation peut rendre l’entreprise plus vulnérable aux cyberattaques, des précautions doivent donc être prises.
Salariés en télétravail et cybersécurité : la protection des mots de passe
« On essaye, en amont, d’anticiper le déménagement du collaborateur en dehors du bureau. » Yann Duhayon a l’habitude. Responsable informatique au cabinet CL Expertise, il ne cesse de prêcher quelques bonnes pratiques auprès des salariés de l’entreprise. Il y avait déjà des collaborateurs itinérants, qui les maîtrisaient. Mais avec le recours massif au télétravail pendant la crise sanitaire, beaucoup de collaborateurs, autrefois sédentaires, ont dû intégrer quelques nouveaux réflexes. « Le tout premier conseil est de ne pas pré-enregistrer ses mots de passe sur son ordinateur, comme le proposent les navigateurs aujourd’hui, insiste notre spécialiste. En même temps, pas question non plus de griffonner les mots de passe sur un post-it près de son écran. » Seules alternatives possibles : les apprendre par cœur ou les enregistrer dans un coffre-fort numérique avec un mot de passe unique.
Travailler en TSE
En amont, cependant, l’employeur aura toutefois facilité la tâche de ses employés.
La deuxième recommandation évidente est de travailler en TSE (Terminal Serveur Edition). Cela permet une connexion sécurisée vers un autre ordinateur sécurisé 24 heures sur 24 chez un hébergeur
Techniquement, cette précaution permet de travailler de façon sécurisée d’absolument n’importe quel poste de travail. « À partir du moment où on l’utilise, c’est comme si physiquement on s’était déplacé vers un lieu plus sécurisé. Soudain, d’une certaine manière, la notion de télétravail n’a plus de sens », poursuit Yann Duhayon.
Naviguer en sécurité
Restent quelques conseils habituels à ne pas négliger. « Quand il y a un lien suspect, ne pas cliquer dessus. Ne pas ouvrir une pièce jointe sans certitude. Parce que les pirates sont de plus en plus redoutables, dès qu’un collaborateur a le moindre doute, il peut me transférer le fichier. »
Dans son cabinet, tous les collaborateurs doivent prendre en compte une charte en arrivant. « Et de mon côté, je leur renvoie très régulièrement, et plus particulièrement ces deux dernières années, des informations sur le sujet et des mises en garde. » Ces recommandations, souvent simples et élémentaires, sont aussi celles que l’on retrouve régulièrement sur le site de la CNIL.
Protéger ses données
À charge aussi pour le responsable informatique, de mon côté, d’opérer des vérifications de routine. « Je passe sur chaque machine régulièrement, ajoute Yann Duhayon. Je force les salariés à changer de mot de passe régulièrement. Je vérifie que les mises à jour des programmes ont bien été faites, que les antivirus sont à jour. »
Il surveille aussi régulièrement les accès. « Quand quelqu’un s’en va, je regarde ce qu’il avait en arrivant et ce qui doit disparaître en partant. » La vigilance porte aussi sur les contenus des machines. « On fait aussi des sauvegardes très régulièrement, suffisamment fréquentes pour ne jamais perdre plus d’une journée. Et sur des supports différents pour se protéger en cas de « ransomware », le piratage le plus fréquent depuis les confinements. »
Avoir toujours un référent
Mieux vaut prévenir que guérir. « Vu les données sensibles que l’on manipule dans les cabinets, il y a forcément un responsable de ces questions, souligne Yann Duhayon. Même dans les petites structures, il y a en général un référent qui a des compétences ou une appétence pour ce sujet. Cela peut être un prestataire extérieur mais il doit intervenir régulièrement. C’est essentiel. »