Vos employés mobiles sont-ils la plus grande menace pour votre sécurité informatique ?

Selon ComputerWeekly et le dernier rapport de sécurité mobile de la firme internationale iPass, experte en connectivité mobile, les employés itinérants et mobiles constituent la plus grande menace pour la sécurité des données de votre entreprise. Dans une enquête menée auprès de 500 DSI et décisionnaires en informatique au Royaume-Uni, aux Etats-Unis, en Allemagne et en France, 57 % des organisations pensent que leurs employés mobiles ont subi une attaque ou ont sont à l’origine d’une brèche de sécurité ces douze derniers mois.

Voici les éléments clés de ce rapport : 

• Plus de la moitié des organisations craignent que leurs employés mobiles aient été piratés.
• 81 % des participants ont connaissance d’un incident de sécurité lié au Wifi ayant eu lieu durant ces douze derniers mois.
• Bien que la plupart des participants aient déjà mis en place des politiques relatives au BYOD, 94 % des DSI et des professionnels en sécurité informatique affirment que le BYOD a augmenté les risques de brèches de sécurité sur les appareils mobiles.
• Les risques de brèche de cybersécurité vont de pair avec la tendance à la hausse du travail mobile. En effet, selon le rapport de McAfee sur les menaces mobiles au premier trimestre 2018, seize millions d’utilisateurs ont été infectés de malware mobile pendant le troisième trimestre 2017.

Raghu Konka, vice-président de l’ingénierie à iPass a déclaré dans ComputerWeekly que « …nous ne pouvons pas nier que les menaces liées à la sécurité mobile sont en augmentation et, même si c’est vraiment bien que les employés mobiles aient de plus en plus l’opportunité de travailler depuis des cafés, des hôtels ou des aéroports, rien ne peut garantir que les points Wifi qu’ils utilisent soient parfaitement sécurisés. »

Un sondage Gallop, récemment mentionné dans un article sur Tech.co, rapporte que 43 % des employés ont eu recours au télétravail en 2016. Par ailleurs, une étude internationale menée par Polycom en 2017 confirme que la tendance au télétravail continue son ascension : 62 % des 25 000 employés qui ont participé à l’étude ont rapporté profiter régulièrement des conditions de travail flexibles qui leur sont proposées dans leur entreprise.

Cependant, à cause des menaces provenant des employés mobiles auxquelles les entreprises doivent faire face, comme le malware, le phishing, l’usurpation d’identité, le ransomware ou pire encore, cette tendance pourrait malheureusement bien s’inverser.

Retour dans la box… ?

Ce rapport sonnerait-il la fin de la liberté des employés mobiles ? Tous ces guerriers de bureau qui campent à Starbucks sont-ils désormais une chose du passé ? La tenue quotidienne des employés à domicile en survêt et tee-shirt va-t-elle disparaître au profit du combo traditionnel pantalon-chemise ? Les employés vont-ils à nouveau être obligés d’aller s’amasser dans leur « champ de box » de 9h à 17h chaque jour ? Ne nous emballons pas, de nombreux salariés sont plus productifs lorsqu’ils ont recours au télétravail avec leur ordinateur portable, emmitouflés sous un plaid, un paquet de Pépito sous la main (trop d’infos ?).

Ce qu’il est important de retenir, c’est qu’il est essentiel d’établir des règles de conduite auxquelles les employés qui travaillent à distance doivent se soumettre et que les RSSI doivent faire respecter, afin de garantir un « périmètre » de sécurité pour les réseaux des entreprises, leurs biens et leurs ressources de valeur.

Dans un entretien avec Dan Patterson de TechRepublic’s, Neill Feather, président de la société de sécurité web SiteLock, évoque les défis uniques inhérents au maintien de la sécurité d’une entreprise qui autorise le télétravail. Il énumère quelques-unes des règles principales à prendre en compte, auxquelles nous avons ajouté quelques normes et nouvelles pratiques que nous pensons tout aussi importantes.

•  
• Mettre en place une politique de cybersécurité lors de déplacements.
• Considérer l’interdiction d’utiliser des points Wifi ouverts et gratuits, sauf si la création d’un compte est requise et qu’ils sont fournis par des réseaux fiables ayant recours à des identifiants d’entreprise et qui se retrouvent dans la plupart des grandes métropoles internationales (AT&T, Verizon, BT, parmi d’autres).
• Imposer l’utilisation d’un VPN lorsque vos employés se connectent à un réseau Wifi.
• Utiliser un système d’authentification multifactorielle pour utiliser et accéder aux applications, ressources, outils et données de l’entreprise.
• Mettre en place une solution d’authentification pour les appareils et les utilisateurs.
• Enseigner à vos équipes mobiles l’importance de la cybersécurité, que ce soit au bureau ou à l’extérieur.
• Miser sur la formation, la formation et encore la formation.

Vous êtes probablement d’accord avec tous ces éléments, mais est-il vraiment possible d’empêcher tous vos employés mobiles de se connecter aux points Wifi gratuits ? Certains salariés itinérants sont prêts à tout pour se connecter à Internet, peu importe l’impact sur la sécurité de leur entreprise. Les RSSI vous diront qu’il est difficile d’interdire complètement l’utilisation de points Wifi publics et gratuits. Au lieu de cela, il est préférable de faire comprendre aux employés l’importance de se connecter uniquement aux points Wifi approuvés par l’entreprise qui assurent une connexion sécurisée (ou auxquels vous faites confiance). L’utilisation d’une solution VPN robuste implémentée par l’entreprise va évidemment de soi.

Feather ajoute :

[e]vitez d’utiliser les réseaux Wifi publiques, tels qu’on les trouve dans les cafés et les restaurants, car ils ne sont absolument pas sécurisés. N’utilisez que des points Wifi que vous connaissez et auxquels vous faites confiance. Le café du coin, par exemple, dans lequel on vous a donné un mot de passe pour vous connecter au Wifi. Vérifiez systématiquement que vous êtes connecté au bon réseau car les pirates créent souvent de faux points Wifi à proximité de points Wifi publiques et légitimes. N’utilisez jamais les points Wifi sans Firewall. Ne visitez pas de sites non sécurisés qui commencent par HTTP au lieu de HTTPS.

Voici d’autres recommandations à prendre en compte : 

• Faire l’inventaire des applications et des ressources auxquelles les employés accèdent (vous pouvez également définir quelles applications et ressources ils peuvent utiliser sur des appareils approuvés ou depuis chez eux). Assurez-vous de mettre en place les bons protocoles pour chacune de ces applications, afin de renforcer la sécurité de l’environnement de vos employés.
• Créer un plan de réponse en cas d'incident de cybersécurité, afin que l’intégralité du personnel puisse savoir quoi faire en cas d’attaque (et c’est plus qu’une probabilité !)
• Sécuriser le routeur privé de vos employés : dans un article récent sur SecurityBrief, Trend Micro stipule que le routeur est le point central de connexion pour les appareils utilisés dans un bureau à domicile, tels que les ordinateurs, les smartphones et d’autres points terminaux utilisés par les employés.

Si une sécurité renforcée n’est pas appliquée à ce stade critique, les employés qui utilisent leur réseau privé pour travailler peuvent s’exposer à des risques considérables. Pire encore, un appareil infecté à la maison pourrait avoir des répercussions sur le réseau de l’entreprise si son propriétaire l’emmène sur son lieu de travail. Les attaques via le protocole RDP peuvent être également utilisées pour obtenir par force brute les identifiants des appareils privés.

Sécuriser le routeur privé de vos employés

Tout comme pour les réseaux d’entreprises, les réseaux privés doivent être protégés. Trend Micro souligne trois problèmes majeurs inhérent au télétravail auxquels les équipes informatiques sont confrontées :

• Les réseaux mal configurés : plusieurs facteurs peuvent en être la cause mais, ce qu’il faut retenir, c’est qu’un réseau privé mal configuré peut être une porte ouverte pour les individus malveillants.
• Les mots de passe faibles ou par défaut : ne pas changer les identifiants pour se connecter à son routeur et garder le mot de passe par défaut ou utiliser un mot de passe facile à deviner revient à servir aux pirates les clés de chez soi sur un plateau d’argent. Il est essentiel de changer les identifiants par défaut pour les remplacer par des mots de passe forts dès l’installation du routeur.
• Les mises à jour de logiciel : ne pas installer les derniers correctifs disponibles sur les appareils peut également créer des vulnérabilités qui peuvent être facilement exploitées et causer des brèches de sécurité ainsi que d’autres problèmes.

Par ailleurs, nous manquerions à nos responsabilités si nous ne parlions pas des certificats numériques qui permettent non seulement de sécuriser utilisateurs et machines, mais aussi d’authentifier les ordinateurs, e-mails, documents et appareils mobiles. L’authentification avec un certificat, se différencie par le fait qu’à l’inverse d’autres solutions qui fonctionnent uniquement pour les utilisateurs, tels que la biométrie ou les mots de passe à usage unique, ils peuvent être utilisés pour tous les points terminaux, que ce soit les utilisateurs, les machines, les appareils et les millions de points terminaux qui composent l’Internet des Objets.

Il est temps d’affronter la réalité ! En 2016, le nombre de déplacements professionnels était de 16 645, un volume qui a de fortes chances d’augmenter. A nous de prendre nos responsabilités pour garantir un maximum de sécurité, juste au cas-où votre tee-shirt Superman ne suffirait pas !

Documentation complémentaire :

• Livre blanc : l’authentification au moyen de certificats pour le contrôle des accès
• 10 façons de renforcer les connaissances de vos utilisateurs sur la cybersécurité par TechRepublic’s
• Les dix meilleurs VPN