Le télétravail demeure, mais les entreprises sécurisent-elles déjà suffisamment ?

Le télétravail est devenu un aspect essentiel de la vie professionnelle depuis l’année 2020, année maudite. Bien que de nombreuses entreprises acceptent cette situation, la sécurité en ligne reste insuffisante. En effet, trop souvent, les entreprises espèrent que les anciennes techniques fonctionneront également dans ce nouveau contexte.

Depuis les confinements Covid-19, le WFA (« Working From Anywhere », ou Travailler de partout) est devenu bien plus qu’une bande d’hipsters écrivant leur scénario sur un ordinateur portable dans un café tous les jours. Le télétravail est un phénomène persistant et de nombreuses entreprises adoptent ce concept si c’est possible.

Mais ces situations de travail hybrides posent de nouveaux défis, notamment au niveau de la sécurité. Après la publication d’un nouveau rapport de Fortinet sur ce sujet, nous avons parlé à Patrick Commers, directeur du développement commercial de la cybersécurité MESH & SASE chez Fortinet Belgium.

Le pour et le contre

Comme tout le reste de la vie, le télétravail comporte à la fois des avantages et des inconvénients. Chaque entreprise doit les comparer. Voici une liste de ces avantages et inconvénients à la verticale.

Avantages

Productivité plus élevée
Moins d’utilisation des bureaux, donc moins de frais pour l’entreprise
Meilleur équilibre entre vie professionnelle et vie privée
Les employés ont plus tendance à rester
Bonus pour l’embauche de nouveaux talents

Inconvénients

Risque accru en matière de sécurité (largement le premier)
Moins de contrôle
Plus d’investissements pour faciliter le télétravail
Investir dans une infrastructure informatique solide

Le monde à l’envers

Pour avoir une perspective globale de la sécurité pour le travail hybride, Fortinet inverse la question : et si l’on revenait en arrière ? Que faire si le problème de sécurité est si important que tout le monde doit recommencer à travailler à plein temps au bureau ?

« Attend une révolution interne majeure ! », prévoit Commers. « Personne ne l’accepte plus, du point de vue des ressources humaines ». Pourtant, des employeurs en subiraient également les conséquences financières. Commers étaye son propos par quelques chiffres : « Si les employés ne travaillent à domicile que la moitié du temps, cela se traduirait par une économie d’environ 11 000 dollars par an et par employé. »

Selon Commers, une entreprise belge moyenne (d’un millier d’employés) peut économiser facilement plusieurs millions d’euros par an, en donnant à son personnel le choix de travailler de chez lui. Il y a de nombreux facteurs qui y contribuent, comme la réduction de la consommation, le gain de temps ou un espace de travail plus petit.

Il est donc important de déterminer comment une entreprise peut améliorer sa sécurité, tout en intégrant l’élément hybride.

Le télétravail comme cible

En réalité, les cybercriminels connaissent bien le télétravail depuis quelque temps déjà. Commers les appelle les méchants ou les vilains acteurs. Ils savent parfaitement que de plus en plus de personnes travaillent à domicile, qu’il y a moins de contrôle social et que, par conséquent, les heures de bureau sont devenues un concept plus flexible. L’équipe informatique d’une entreprise n’est pas toujours active quand un employé est devant son ordinateur, note Commers. Pour ces raisons, les types les plus louches font de plus en plus attention aux employés d’une entreprise. On le voit, par exemple, dans les nombreuses campagnes d’hameçonnage.

Le rapport Verizon DBIR 2022 indique que sur l’ensemble des incidents relatifs aux données qu’il couvre, 82 % sont dus à un facteur humain. Selon Commers, cela peut comprendre une mauvaise configuration, mais l’hameçonnage et le fait de cliquer sur des liens ou des pièces jointes dangereux restent des raisons principales.

Selon le rapport de Fortinet, Cybersecurity Skills Gap 2023, 81 % des attaques étaient des tentatives d’hameçonnage, des vulnérabilités de mot de passe ou des attaques de maliciels. Même après des campagnes de sensibilisation intensives, où les organisations imitent une tentative d’hameçonnage, jusqu’à 10 % des employés se laissent encore piéger (contre environ la moitié au début de ces campagnes, d’après les chiffres de KnowBe4).

Cela se produit en cliquant sur quelque chose, mais aussi en partageant (sans le savoir) des informations. Dix pour cent, un chiffre bas, mais il ne faut qu’un maillon faible pour qu’une chaîne se brise.

Commers décrit les défis que pose le télétravail à une entreprise : « Nous savons que les pirates cherchent de plus en plus à piéger les employés, car il y aura toujours un certain pourcentage d’entre eux qui cliquera sur un lien. Quand des pirates accèdent au réseau d’une organisation grâce à l’accès à distance d’un employé, il n’est pas facile de les détecter. »

Étant donné qu’il est maintenant plus complexe pour les entreprises de détecter une telle menace, on voit aussi une augmentation des coûts. Commers est clair : « C’est tout simplement la réalité. » Il ajoute toutefois sans hésiter la question la plus importante : « Comment allons-nous renforcer la sécurité de cet employé qui n’est plus au bureau ? »

Télétravail pour tous

Le rapport mondial de Fortinet montre que 60 % des 570 entreprises pratiquent le travail hybride d’une manière ou d’une autre et soutiennent les employés dans le travail à domicile. « Mon intuition me dit qu’en Belgique, le pourcentage d’organisations qui disent que tout le monde devrait revenir au bureau est beaucoup plus faible », remarque Commers. « Ces jours-ci, quand je visite des clients, je leur demande toujours quelle est leur politique en matière de télétravail », précise Commers. Même au sein du gouvernement, deux ou trois jours de télétravail par semaine est presque la norme : « Personne ne parle vraiment de cela. »

« Auparavant, le télétravail était surtout réservé aux informaticiens ou aux cadres supérieurs. Aujourd’hui, on constate très clairement, quel que soit le poste, la fonction ou le titre, que de nombreuses personnes peuvent travailler chez elles. Donc ce n’est plus pour les heureux élus. »

Ce mélange de travailleurs à domicile explique largement les risques liés au télétravail. Le rapport révèle que plus de 60 % des entreprises ont indiqué qu’un incident de données survenu au cours des trois dernières années était partiellement ou entièrement lié à une personne qui ne travaillait pas au bureau.

Défis

« Le travail hybride a donc énormément élargi la surface d’attaque des entreprises et des organisations », explique Commers. « Le réseau interne a maintenant de nouveaux points d’entrée, y compris ceux qui sont accessibles à distance par le télétravail. Les connexions des employés sont un danger sérieux. »

Le travail hybride a donc énormément élargi la surface d’attaque des entreprises et des organisations

Pour son étude, Fortinet a demandé aux entreprises concernées à indiquer les principaux défis liés au blocage des cyberattaques ciblées sur les télétravailleurs. Les réponses suggèrent que la sensibilisation des employés est encore trop limitée et que l’hygiène cybernétique de base est insuffisante. Par exemple, la réutilisation des mots de passe. Ce dernier aspect s’applique à la fois à la vie privée et à la vie professionnelle, précise Commers.

La sécurité contre les ransomwares est un défi qui concerne de nombreuses entreprises. Un facteur très important est que les organisations n’ont aucun contrôle sur le réseau des employés hybrides et sur ce qu’ils utilisent pour se connecter aux systèmes de leur employeur. « Ce réseau peut être celui de leur domicile, d’un hôtel ou d’un café, etc. », précise Commers. Le plus grand défi consiste donc à assurer la sécurité de ces réseaux.

Risques de WFA

Outre les défis auxquels les employeurs sont confrontés en matière de télétravail, l’enquête de Fortinet aborde également les risques encourus. Selon Commers, ils découlent entièrement de ce que nous avons déjà constaté. Là encore, le réseau est le facteur clé.

« Comment cet employé a-t-il sécurisé son réseau domestique ? Ou bien l’a-t-il sécurisé ? », Commers identifie le facteur le plus important. Pour lui, la cyberhygiène déjà mentionnée joue également un rôle décisif : « Le fait qu’un employé utilise un bien de l’entreprise à des fins privées, pour télécharger des choses ou surfer sur des sites web douteux, c’est le début des problèmes. C’est aussi simple que cela. »

Commers s’étonne que les entreprises identifient les risques les plus importants, mais ne semblent pas adopter les solutions connues et existantes. « Cela signifie peut-être qu’elles ne les connaissent pas. » dit-il. Il semble pourtant fortement douter de cette possibilité.

Nouer des contacts

« Les réseaux d’entreprise ont énormément changé par rapport à il y a cinq ou six ans », rappelle Commers. Les bases – données, utilisateurs, appareils – sont les mêmes, mais le concept de « réseau » est devenu fluide. « Il s’étend, il se contracte », explique-t-il, « où commence le réseau, où s’arrête-t-il ? Il est en constante évolution. »

« Ce réseau a obtenu beaucoup de nouveaux points d’entrée », précise Commers. Il fait la distinction suivante :

Le siège, le site central
Sites distribués (environnements de production, bureaux de vente)
La TO (technologie opérationnelle) est interconnectée avec la TI
Environnements cloud et applications SaaS
Employés à distance

« Tous ces points du réseau sont des points d’accès », explique Commers. Tout étant tellement interconnecté, une organisation ne peut plus dire qu’elle considère qu’un élément particulier de son réseau est moins important, poursuit-il. « Par le passé, il était bien possible de voir la sécurité de cette façon. L’environnement de production n’était pas connecté à l’informatique, c’était complètement étanche. Personne ne s’inquiétait de la sécurité. Aujourd’hui, tout cela a changé. »

Personne ne s’inquiétait de la sécurité. Aujourd’hui, tout cela a changé.

Il fait la comparaison avec le réseau d’un travailleur à domicile : « Un pirate peut facilement voler les informations d’identification d’un employé pour accéder au réseau de l’entreprise ». Selon Commers, une entreprise faut absolument assurer la sécurité de ses employés à distance.

Travail d’équipe

Un autre problème est la pénurie persistante de talents informatiques. Le télétravail pose aussi des problèmes et les télétravailleurs veulent toujours avoir la possibilité de contacter leur équipe informatique. Cette équipe sent donc le poids. Ces équipes ont donc besoin d’outils spécifiques pour aider au mieux leurs collègues qui travaillent à domicile.

Dans cette nouvelle réalité, comment peut-on aider les équipes informatiques en évitant que cela ne devienne une irritation ou ne leur donne plus de travail ? Selon Commers, c’est un aspect très important de la sécurisation du travail hybride.

NAC pas à pleine force

Dans son étude, Fortinet a posé trois questions aux entreprises concernant la sécurité de leurs travailleurs à domicile :

Quelle est la technologie la plus importante pour eux ?
Les ont-ils déjà appliquées ?
Si non, ont-ils l’intention d’investir dans ce domaine ?

La technologie que beaucoup d’entreprises considèrent comme la plus importante est plutôt inattendue. « Pour moi, c’était un peu surprenant de lire NAC, Network Access Control (contrôle d’accès au réseau) », dit Commers. Il comprend la logique de faire identifier un appareil pour accéder à un réseau, quand on est sur place, sur le réseau de l’entreprise.

Mais il ne comprend pas tout de suite que le NAC soit utilisé pour sécuriser l’accès à distance. « Je pense qu’il existe d’autres solutions », poursuit-il. « Les entreprises veulent aller plus loin parce qu’elles ont mis en œuvre le NAC pour leur sécurité sur site », estime-t-il.

Une deuxième technologie importante qui est ressortie de l’enquête est le traditionnel antivirus. Sur ce point, Commers est très explicite : « Avec tout le respect, si vous n’avez pas encore d’anti-malware sur votre ordinateur portable, je ne sais pas ce que vous avez fait en termes de sécurité au cours des dix dernières années. »

Si vous n’avez pas encore d’anti-malware sur votre ordinateur portable, je ne sais pas ce que vous avez fait en termes de sécurité au cours des dix dernières années.

L’authentification multifactorielle complète les trois premières technologies. Un trio frappant, selon Commers : « Tous les éléments mentionnés par les entreprises comme étant les plus importants sont le minimum absolu. C’est l’essentiel. Ce sont des choses qu’il faut déjà appliquer, peu importe la politique hybride. »

Une saine méfiance

La liste dévoile un autre fait étonnant, selon Commers. « Zero Trust Network Access » (ZTNA) n’arrive qu’en 16ᵉ position dans le classement des technologies de sécurité importantes pour les organisations interrogées. Ce résultat est bien trop faible, selon Commers.

Pour lui, cette mesure ajoute une valeur absolue. Il est clairement ennuyé par le fait que ZTNA soit traité comme une belle-mère, surtout dans le domaine de l’accès à distance.

Un agent tout-en-un

On entre doucement dans le vif du sujet. Commers récapitule les points clés du télétravail : absence de contrôle sur le réseau, faiblesses humaines permanentes, sécurité moindre du réseau domestique. Que faut il alors faire comme organisation pour maintenir une sécurité cohérente dans tous les aspects de votre réseau ?

Commers veut aborder tous ces facteurs et risques ensemble, dans une solution totale unique par client. Dans ce cas, un télétravailleur aura un petit agent unifié sur son ordinateur, prenant en charge à la fois la protection des points finaux (EDR), ZTNA et SASE.

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.