Quels sont les bons réflexes de sécurité à adopter en télétravail ?
Tout d’abord, il faut être conscient que l’on est exposé et que le fait d’être connecté au système d’information (SI) de son entreprise peut représenter un risque. En effet, on a tendance à penser que ce n’est pas quelque chose qui nous concerne directement, notamment lorsqu’on travaille depuis chez soi, dans un environnement familier et paisible. On peut se sentir un peu loin de ce type de préoccupations ! En télétravail, le collaborateur est de fait isolé, ce qui rend le terrain plus favorable aux attaques cyber (baisse de vigilance, d’attention, etc.). Il faut donc autonomiser les équipes en ce sens.
De plus, il faut prendre le réflexe de s’équiper de bons outils : disposer d’un dispositif de protection de la connexion entre son ordinateur et le bureau. On utilise généralement un VPN pour cela (Virtual Private Network), ce qui permet de chiffrer et de protéger la communication entre son domicile et les serveurs de l’entreprise. Il est aussi important de bien paramétrer sa box et de s’assurer que l’accès à celle-ci se fait bien avec un mot de passe complexe. Cela permet d’éviter que n’importe qui ne tente de s’y connecter.
Comment bien organiser son espace virtuel ?
L’idéal est d’éviter de cumuler sur un même équipement (ordinateur, tablette, etc.) des éléments professionnels et des éléments personnels. Si une entreprise met à disposition de ses salariés le matériel nécessaire, siloter ce qui relève du professionnel et ce qui relève de la sphère privée permet de limiter des répercussions possibles en cas de problème : perte de données, problème de sauvegardes, infection de fichiers, etc. Mais ce n’est pas tout, le collaborateur lui-même peut adopter une posture proactive et comprendre les outils qui sont à sa disposition. Quels sont ceux qui sont réellement nécessaires ? Les a-t-on choisis de façon réfléchie ? On peut, par exemple, réaliser un comparatif des services de visioconférences qui existent et identifier les spécificités de chacun (le gratuit qui collecte les données, le payant qui garantit l’anonymat des utilisateurs, le modèle qui met la sécurité comme priorité, etc.). Un choix éclairé des outils est crucial pour les particuliers.
Il faut aussi soigner son « déconfinement numérique », car l’on prend des habitudes et des réflexes en télétravail, qui peuvent ne plus être compatibles ou adaptés une fois revenu au bureau, dans l’écosystème de l’entreprise. Il faut donc préparer cela et réintégrer les fichiers, les équipements du cadre professionnel, en s’assurant que la manière dont on se reconnecte à l’entreprise est bien sécurisée (pas de fichier infecté, etc.). Il faut soigner cette étape !
Comment peut-on bien se prémunir des campagnes de phishing ?
Le collaborateur doit être attentif aux messages qu’il reçoit. Il est plus courant de manquer de vigilance lorsqu’on est seul à la maison, que lorsqu’on évolue dans son environnement professionnel et que l’on peut interroger ses collègues sur le bien-fondé de tel ou tel email. C’est un phénomène que l’on voit clairement apparaître : les campagnes de phishing utilisent des prétextes d’organisation, de livraison, de systèmes de visioconférence, etc., afin de piéger les salariés. Les campagnes de phishing ne datent pas d’hier, mais restent un moyen très efficace pour les pirates de parvenir à leurs fins, qui réalisent ce type d’opérations de façon massive (des milliers d’emails malveillants peuvent être envoyés simultanément) pour toucher un maximum de cibles et capter les identifiants, les données personnelles, les données bancaires… Les mots d’ordre sont donc vigilance et précaution : il ne faut pas hésiter à vérifier l’adresse de l’expéditeur de l’email, à contrôler la véracité de l’information contenue dans l’email via un autre canal (site Web de l’entreprise, réseaux sociaux, appel téléphonique, etc.), voire même à passer un coup de fil à un collègue afin de recouper l’information.
Et les mots de passe dans tout ça ?
Idéalement, il faut que le couple « identifiant + mot de passe » soit unique, car les pirates ont accès à de nombreuses bases de données qui agrègent des milliers de combinaisons « identifiant + mot de passe », qu’ils testent avec des outils sur tous les réseaux possibles et imaginables (et notamment les réseaux sociaux, les services de messagerie, etc.). Si une même combinaison est utilisée pour plusieurs sites différents, alors les pirates seront en mesure d’accéder à l’ensemble de ces services.
Par ailleurs, il est important de disposer de mots de passe complexes : ils doivent être alphanumériques (comprendre des chiffres et des lettres), avoir des caractères spéciaux, des majuscules et des minuscules, et être le plus long possible. Il faut aussi éviter d’intégrer aux mots de passe des données facilement accessibles comme les dates de naissance ou les prénoms de ses enfants… Mais plutôt privilégier ce qu’on appelle des « phrases de passe » et utiliser un vers d’un poème, une strophe d’une chanson, et autres formules élaborées plus faciles à mémoriser. Enfin, il faudrait pouvoir fonctionner avec des mots de passe temporaires, et les changer régulièrement. C’est une contrainte, oui, mais il faut se protéger !
