Cybersécurité, les défis d’une nouvelle ère #Télétravail

Le télétravail - les bonnes pratiques de sécurité - OVHcloud

Cybersécurité, les défis d’une nouvelle ère #Télétravail

La crise de la Covid-19 a remis en question plusieurs aspects de notre vie quotidienne. Mais une question clef reste en suspens : l’ère du bureau a-t-elle pris fin ? Avec un cinquième des effectifs travaillant désormais à distance, cette épidémie est une leçon sur le déploiement du télétravail. Fujitsu a déjà déclaré qu’il allait réduire la surface de ses bureaux de moitié, en mettant en place un système de travail flexible.

Mais mener ces nouvelles transformations est plus facile à dire qu'à faire. Le déploiement du télétravail fut un baptême du feu pour les directions des entreprises, ainsi que pour leurs équipes informatiques. Si travailler à distance offre des avantages (tels qu’une augmentation de la productivité, un meilleur équilibre entre vie professionnelle et vie personnelle, ou une réduction des dépenses liées aux locaux), cela induit aussi un coût : la sécurité. Avec les échanges et informations partagés via les réseaux, les entreprises ont dû s’appuyer sur les systèmes IT afin de garder en sécurité leurs données sensibles. Dans cet article, nous formulons des recommandations pour vous aider à mettre en œuvre des solutions proactives et fiables.

 

Working from home - security tips -OVHcloud

Les nouveaux défis en matière de sécurité et comment les surmonter

L’urgence causée par la Covid-19 a provoqué un grand risque de maladresses. Positionner les équipes sur des réseaux sécurisés, installer de nouveaux logiciels, sensibiliser les salariés aux bonnes pratiques du travail à distance… autant de processus qui prennent du temps. Et la plupart des entreprises étaient obligées de mettre en place des solutions provisoires, avant de pouvoir proposer une infrastructure adaptée et sécurisée pour le télétravail.

Ce dilemme a inévitablement entraîné un grand pic d’activités malveillantes en ligne. Elles ont notamment pris la forme de tentatives d’arnaque, en capitalisant sur l’épidémie. Une multitude d’hameçonnages (phishing), d’usurpations d'identité et d’impostures ont alors propagé une quantité massive de logiciels malveillants, comme des ransomwares et des chevaux de Troie. Ces activités étaient dirigées en majorité par des groupes cybercriminels, ainsi que par des pirates de haut vol connus sous le nom d’APT (advanced persistent threat). Les ingénieurs IT avaient donc eu fort à faire. Ils ont dû gérer dans l’urgence l’installation d’une infrastructure de télétravail et, en même temps, rester vigilants quant aux menaces accrues directement liées à la crise.

Astuces de sécurité pour les télétravailleurs

Quand vos clients vous confient des données sensibles, il est de votre responsabilité d’assurer leur sécurité en permanence, surtout lorsque vous travaillez à distance. Voici donc 10 astuces à suivre lorsque vous êtes en situation de télétravail :

cyber security work from home – OVHcloud
  1. vérifiez que les logiciels de votre appareil sont toujours à jour ;
  2. utilisez votre appareil et/ou votre bureau virtuel sécurisé uniquement à des fins professionnelles ;
  3. activez votre VPN lorsque vous vous connectez aux systèmes internes ;
  4. changez vos mots de passe régulièrement, sans oublier celui de votre routeur ;
  5. n’installez pas de logiciels ou d’applications non autorisés ;
  6. ne partagez pas d’informations confidentielles dans des e-mails non chiffrés ;
  7. pendant vos vidéoconférences, assurez-vous que votre environnement visuel est sécurisé et ne divulguez pas de données confidentielles par accident ;
  8. lors des échanges téléphoniques, veillez à identifier votre interlocuteur et, et, en cas de doute, ne divulguez aucune information ;
  9. soyez prudent concernant vos publications sur les réseaux sociaux (par exemple, des photos de votre bureau personnel peuvent divulguer des informations confidentielles) ;
  10. enfin et surtout, respectez les directives de votre équipe responsable de la sécurité… tout en restant vigilant !

Comment faire face aux menaces

Bien que les menaces soient dynamiques et, souvent, adaptées au secteur d’activité, il existe des techniques fondamentales pour promouvoir les bonnes pratiques de cybersécurité. Ces recommandations, même si elles ne peuvent garantir une immunité totale, fournissent une base utile pour les entreprises qui cherchent à réduire les risques et sécuriser leurs opérations.

Limiter l’exposition du système informatique

Le manque de préparation et l’urgence sont au cœur des problèmes de sécurité posés par la crise de la Covid-19. Nous avons régulièrement vu des entreprises exposer des services RDP (Remote Desktop Protocol), SSH (Secure Shell) et SMB (Server Message Block) directement sur Internet. Cela représente une solution provisoire, pour que les salariés puissent travailler sans VPN. Entre-temps, les équipes IT ont alors la possibilité d’installer un VPN fonctionnel ou des bureaux à distance sécurisés.

Il est cependant indispensable de limiter l’exposition de ces services uniquement aux salariés. Configurer des adresses IP autorisées, au niveau du pare-feu, permet de bloquer les robots qui balayent Internet en continu. Même s'il est donc possible de réduire les dangers associés, les protocoles RDP et SMB restent très vulnérables. En conséquence, installer un VPN pour ses salariés aussi rapidement que possible est un impératif. Dès que celui-ci est prêt, conseillez à vos utilisateurs de définir un mot de passe fort (de préférence, une série longue et aléatoire de chiffres, de lettres et de caractères spéciaux) et, si possible, configurez la double authentification.

Sensibiliser vos travailleurs - Astuces de sécurité OVHcloud

Sensibiliser vos salariés

Vos équipes peuvent être soit le maillon faible, soit le maillon fort de votre entreprise au sujet de la sécurité. Les cybercriminels emploient souvent des attaques d'ingénierie sociale afin d’accéder à vos données ou votre infrastructure. Ces tentatives malveillantes sont destinées à prendre au dépourvu les salariés peu méfiants, via des techniques visant à gagner leur confiance ou créant un sentiment d'urgence. Intégrer un protocole de tests et de formation sur la sécurité devient ainsi essentiel :

  1. vos salariés sont une première ligne de défense et, par conséquent, ils doivent savoir à quel point leurs actions sont importantes pour maintenir la sécurité de vos opérations ;
  2. assurez-vous que vos équipes peuvent signaler les e-mails malveillants, les tentatives d’hameçonnage ou toute autre attaque qu’ils identifient ;
  3. mettez-les à l’épreuve, en vérifiant leur niveau de vigilance ainsi que leur manière de réagir face aux situations inhabituelles ou stressantes (organiser une formation sur la sécurité de temps à autre n’est pas suffisant).

Une bonne tactique consiste à envoyer de faux e-mails d’hameçonnage occasionnellement, afin d’évaluer la réponse de vos salariés. Par ailleurs, les formations et tests de sécurité doivent devenir des pratiques courantes.

Détecter les comportements inhabituels

Plus difficile à mettre en place, la détection des activités inhabituelles est un élément clef afin de prévenir une menace… ou l’arrêter avant qu'il ne soit trop tard. Cette pratique consiste à garder un œil sur les activités de l’infrastructure, au niveau des utilisateurs comme à celui des machines. Si quelque chose cloche, cela mérite alors une vérification. Voici quelques bonnes pratiques en matière de détection :

  1. réaliser un suivi de tout incident lié à un utilisateur qui se connecte pendant la nuit ou durant le week-end ;
  2. réaliser un suivi si un utilisateur se connecte via un fournisseur d’accès à Internet (FAI) inhabituel ou non autorisé ;
  3. surveiller les utilisations CPU inhabituellement intenses hors des heures de travail, qui peuvent indiquer qu’une machine est infectée.

Nous vous conseillons de recueillir des données concernant les méthodes, les horaires et les localisations utilisés par vos salariés pour se connecter à votre système d’information. Ces informations peuvent être utilisées afin de détecter plus efficacement les anomalies. Ainsi, vous limiterez les éventuels dégâts suite à une tentative de nuire à votre système. En 2019, le délai moyen pour identifier une intrusion était de 56 jours — ce qui est bien trop long dans un contexte de menaces élevées.

Les outils essentiels pour cette nouvelle ère

Les protocoles de sécurité doivent être bien intégrés à l’ensemble de vos opérations, ainsi qu’à votre culture d’entreprise. Chez OVHcloud, nous encourageons cette culture auprès de nos salariés et de nos fournisseurs. De plus, nous intégrons un principe de « security by design » au niveau de nos infrastructures et de nos ressources ; cela signifie que la sécurité est prise en compte dès la phase de conception. Nos outils font donc autant partie de notre ligne de défense que nos employés et nos partenaires.

Les solutions logicielles, telles que la visioconférence et les outils collaboratifs, représentent également un véritable défi sécuritaire. Le fait de compter sur ces services rend les entreprises plus vulnérables aux problèmes de sûreté, de confidentialité et de divulgation. Par conséquent, leurs informations sensibles sont exposées. Un exemple récent concerne Zoom, le désormais célèbre service de visioconférence. Celui-ci a été sous le feu des projecteurs à cause de problématiques de sécurité et de confidentialité, suite au pic de nouveaux utilisateurs.

Open Trusted Cloud

Open Trusted Cloud

Pour nous, la sécurité est un effort commun. Nous nous efforçons donc de travailler avec des partenaires qui respectent nos exigences en la matière. Quant à nos clients, la plupart utilisent plusieurs fournisseurs pour diverses raisons. Nous encourageons cette approche, avec nos valeurs de transparence et d’interopérabilité. Nous avons toutefois la conviction que chaque acteur doit adopter des principes unifiés sur la sécurité, car tout maillon faible sape l’objectif global. C’est pourquoi nous avons lancé une nouvelle initiative, qui regroupe des partenaires partageant cette vision : Open Trusted Cloud.

L’ambition est de co-construire un écosystème de services SaaS et PaaS, dont les principales valeurs sont le respect de la liberté, la confiance et la sécurité des utilisateurs. Le programme Open Trusted Cloud fournit un label aux partenaires, qui confirme leur engagement envers ces principes communs — avec une attention particulière sur la protection des données. En effet, dans un contexte où les informations sensibles sont plus que jamais menacées, il est indispensable de maintenir leur sûreté.

    Pour OVHcloud, cela implique un strict respect des lois européennes, afin de garantir que les données ne peuvent pas être interceptées ni analysées par des autorités étrangères. Cela assure également que les bonnes pratiques en matière de sécurité sont intégrées à tous les niveaux. Nos clients doivent avoir la certitude que leurs données sensibles — comme des informations stratégiques, financières ou juridiques — sont en sûreté.

    En voici une sélection ci-dessous.

    • Citadel Team : une application de messagerie instantanée fiable et intuitive, adoptée par des millions d’utilisateurs. Elle fournit une technologie de chatbot, afin d’intégrer les applications métier en respectant les normes de sécurité les plus strictes. Chaque communication est chiffrée : les messages, les appels, les partages de fichiers…
    • Cryptobox : la solution cloud considérée comme la plus sécurisée pour le travail collaboratif et l’échange de documents. Elle a reçu la qualification standard de l’ANSSI, ainsi que l’agrément diffusion restreinte et la certification CC EAL3+. Tous les fichiers échangés et stockés sont chiffrés de bout en bout, comme si chaque correspondant utilisait un VPN sécurisé.
    • Tehtris : des solutions françaises de cybersécurité capables d'anticiper et de neutraliser les menaces, dont l'espionnage et le sabotage d'entreprises (spywares, ransomwares, etc.). Elles s’appuient sur de nombreux modules, comme leur EDR (Endpoint Detection Response).

     

    Le travail à domicile - Astuces de sécurité d’OVHcloud

    L’activité professionnelle va être réinventée suite à la Covid-19. Il est probable que les usages liés au télétravail seront conservés, au moins dans une certaine mesure. Bien que ceux-ci présentent des avantages, ils introduisent de nouvelles responsabilités pour les entreprises et leurs équipes IT. Les nouvelles menaces sécuritaires exigent donc une réponse proactive : protection accrue des systèmes d’information, sensibilisation et formation des salariés, mise en œuvre de meilleures techniques de détection… En outre, les équipes IT doivent réévaluer les outils qu’ils utilisent, en mesurant leurs niveaux de sécurité et de praticité. Entreprises et fournisseurs doivent enfin travailler main dans la main, afin d’apporter une réponse commune aux défis posés par cette nouvelle ère. Avec à la clef une collaboration accrue, ainsi qu’une meilleure compréhension mutuelle.