Certains employés ne retourneront peut-être jamais travailler au bureau. Dès la fin du confinement, des employés, comme ceux de Square et de Twitter, se sont vu offrir la possibilité de travailler à domicile de façon permanente. Le mode de vie du télétravail a ses avantages et ses complications, mais il est indéniable qu’il présente également un risque accru en matière de perte de données.
Partout à travers le monde nous voyons des collaborateurs, qui pour beaucoup n’ont jamais été formés pour télétravailler dans des conditions réelles qui permettent la sécurité des données, intéressés à l’idée d’adopter une nouvelle façon de vivre et de travailler. Bien que l’économie ait montré quelques signes d’amélioration, l’incertitude règne toujours en maître. Cela pourrait inciter des employés, incertains sur ce que leur réserve l’avenir, à subtiliser des données sensibles pour s’en servir à une date ultérieure.
Dans de nombreux scénarios, les ingénieurs ayant accès à des données et à des systèmes informatiques très sensibles télétravaillent avec moins de supervision que jamais. À cette fin, l’accès au partage de données du réseau d’entreprise et aux outils de collaboration approuvés (des services généralement présents dans les bureaux qui sont conçus pour protéger les données les plus sensibles) a été réduit pour de nombreux employés.
Il est crucial de respecter les meilleures pratiques en matière de cybersécurité, en particulier dans le cadre du télétravail. Cela implique de rechercher et de suivre des conseils fiables concernant la sécurisation des réseaux Wi-Fi domestiques, l’utilisation de réseaux privés virtuels (VPN) approuvés et la garantie d’appliquer tous les correctifs aux logiciels utilisés à l’échelle de l’entreprise.
Les employeurs peuvent faire appel à d’autres stratégies pour limiter le risque de perte de données à l’ère de la COVID-19. Voici trois mesures que les responsables de la sécurité peuvent adopter pour améliorer la protection des données de leur entreprise :
Les organisations doivent disposer de protocoles pour partager les données sensibles, qu’elles concernent les collaborateurs, l’entreprise elle-même, ou ses clients. Il est important, pendant cette période, de réitérer ces politiques et de rappeler aux employés les limites du courrier électronique, des logiciels comme Slack ou de tout autre outil populaire au sein de l’organisation. Les entreprises, via des rappels de politique de gouvernance des données, peuvent souligner l’importance d’utiliser uniquement des applications, des services de stockage cloud et des clés USB approuvés et certifiés par les autorités compétentes. En cas d’abus, toutes les entreprises ne disposent pas de la technologie nécessaire qui permet de détecter et de bloquer immédiatement toute activité jugée non conforme.
Si votre organisation gère des données très sensibles, réglementée par le droit de propriété intellectuelle (notamment des formules, du code source), ou tout simplement des informations financières ou médicales soumises à des réglementations nationales de conformité : assurez-vous qu’elles soient étiquetées comme telles. L’identification claire des données et l’existence contrôlée de politiques permettant d’empêcher les tentatives d’accès non autorisé peuvent grandement contribuer à dissuader d’éventuelles pratiques abusives. Les organisations peuvent déployer une technologie en filigrane pour rappeler aux utilisateurs qu’ils accèdent à des informations protégées et, dans certains cas, empêcher un employé de les utiliser à mauvais escient. D’autres technologies permettent de labelliser automatiquement les fichiers pour piloter les programmes de protection des données et servir au final de briques de base pour permettre la sécurité des données.
En surveillent les accès aux fichiers et aux répertoires ou disques sensibles, les entreprises sont plus à même de savoir ce qui est consulté et à quel moment. Il est important d’évaluer périodiquement les besoins des « employés » concernant cet accès et de le limiter pour ceux qui n’en ont pas besoin. Les organisations doivent élaborer des politiques et des procédures officielles concernant les personnes ayant accès. Dans de nombreux scénarios, en fonction du niveau de sensibilité des données, l’accès n’est accordé que si un besoin clair est établi. Surveillez l’accès au réseau pour accéder aux données confidentielles ou aux comportements suspects, aux pics inhabituels de téléchargement ou au trafic irrégulier, et effectuez un suivi si nécessaire.
À ce stade, il est clair que cette pandémie s’inscrit sur le long terme. Alors que certains bureaux ont rouvert leurs portes aux collaborateurs en suivant des directives sanitaires gouvernementales, pour une grande partie des français le télétravail est une option qui se généralise et progresse dans les usages. Et bien que cette liste ne soit en aucun cas exhaustive (nous n’avons même pas abordé l’importance de l’authentification à deux facteurs, de la sensibilisation à l’hameçonnage et d’une bonne hygiène des mots de passe), ce sont là des premières étapes importantes que les chefs d’entreprise doivent mettre en place, si ce n’est pas déjà fait, de sorte à sécuriser les données de l’entité, dès aujourd’hui et pour l’avenir.