Télétravail et cybersécurité : comment protéger les données de votre entreprise ?

La crise sanitaire a entraîné dès 2020 le déploiement massif du télétravail au sein d’entreprises n’y étant pour beaucoup pas suffisamment préparées. Et notamment en matière de sécurité informatique. Or la connexion hors des murs de l’entreprise, via l’ordinateur et le mobile de chaque collaborateur concerné, démultiplie la surface d’attaque des postes de travail non assez sécurisés. Un risque dont de nombreuses entreprises ont fait les frais depuis 2020, et dont la prévention passe par la sensibilisation des salariés et l’adoption de bonnes pratiques au niveau collectif.

Cyberattaques : aucune entreprise n’est à l’abri, quelle que soit sa taille !

Théoriquement, les cibles privilégiées des cyberattaquants sont les grandes entreprises et les multinationales, auxquelles peuvent être demandées des rançons très élevées.

Pour autant, ce type d’entreprise est aussi celui qui dispose de moyens importants en matière de sécurité informatique, à la différence des TPE-PME souvent moins protégées. Des structures dont la vulnérabilité s’est d’autant plus accrue avec le travail à distance de leurs collaborateurs, et qui sont devenues elles aussi des cibles courantes d’attaque : «75% des victimes de ransomware sont désormais des petites et moyennes entreprises qui manquent de ressources dédiées », selon le dernier rapport d’Orange Cyberdéfense ⁽¹⁾.

Déjà en 2019, 41 % des entreprises françaises de moins de 9 salariés avaient subi au moins une tentative d’attaque informatique ⁽²⁾. Des incidents au coût médian de 7000 € pour les TPE (pour 19 % d’entre elles sous forme de rançon) ⁽³⁾.

Un ransomware, appelé aussi rançongiciel, est un des principaux modes d’attaque informatique : un logiciel malveillant prend en otage vos données (base clients, comptabilité, contrats, données RH, transactions financières, mails, notes internes etc.). Objectif : vous en bloquer l’accès, voire vous menacer de les diffuser, dans l’attente du paiement d’une rançon.

Le phishing, ou hameçonnage, consiste pour sa part à infecter un système informatique notamment pour en récupérer des données (coordonnées bancaires, identité etc.).

Autres modes d’attaques courantes : l’attaque par déni de service distribué (DDoS), qui envoie massivement des requêtes sur les sites internet pour les rendre inaccessibles, letéléchargement furtif (Drive by Download) à l’occasion de visites sur des sites pirates ou de l’affichage de fenêtres pop-up, ou encore tout simplement l’attaque des mots de passe afin de s’infiltrer dans le système informatique.

Les vecteurs de ce type d’attaques sont nombreux, au-delà de la qualité de votre système informatique lui-même :

• emails contenant des pièces jointes ou des liens malveillants ;
• pages web, applications ou pop-ups infectées ;
• propositions frauduleuses de mise à jour de logiciels ou de navigateurs ;
• sécurité insuffisante de la connexion internet ou du cloud utilisés…

Autant de points d’entrée qui concernent principalement les utilisateurs de votre système informatique, c’est-à-dire vos collaborateurs. Et ce d’autant plus s’ils télétravaillent sur du matériel et avec une connexion non assez sécurisées.

> À lire aussi : TPE-PME : comment encadrer le télétravail de vos collaborateurs dans la confiance

Quels moyens pour sécuriser vos données en cas de télétravail de vos salariés ?

Face à la multiplication des cyberattaques, le gouvernement a créé un site internet ressource, https://www.cybermalveillance.gouv.fr/, afin d’aider notamment les entreprises à lutter contre ce fléau moderne. Une de ses pages est d’ailleurs dédiée à la sécurisation du télétravail : une pratique qui suppose l’ouverture sur l’extérieur du système informatique de l’entreprise, et qui l’expose ainsi à davantage de risques.

Parmi ses principales recommandations :

• équiper si possible vos collaborateurs en télétravail de matériel informatique sécurisé, maîtrisé par votre entreprise ;
• protéger l’accès extérieur à votre système par un pare-feu et des antivirus régulièrement actualisés ;
• utilisez un VPN (Virtual Private Network, ou réseau privé virtuel), si possible avec double authentification, pour communiquer à distance afin que vos échanges soient chiffrés ;
• mettre systématiquement à jour vos logiciels et votre matériel dès que leur actualisation est disponible. Et ce sur pour tous les équipements utilisés (ordinateur mais aussi mobile et tablette) ;
• choisir des mots de passe longs, complexes, toujours uniques, et en changer régulièrement ;
• et enfin, sensibiliser vos collaborateurs pour qu’ils adoptent des pratiques les plus sûres possible.

Quelles recommandations faire à vos salariés en télétravail, pour préserver la sécurité informatique de vos données ?
- ne jamais utiliser les réseaux Wifi publics, très risqués, et sécuriser au maximum leur connexion Wifi personnelle : mot de passe long et complexe, chiffrement en WPA2 (code de sécurité alphanumérique), mise à jour régulière de leur box internet ;
- éviter d’utiliser à des fins personnelles leur matériel informatique professionnel (messagerie personnelle, sites de streaming etc.) ;
- installer des applications uniquement délivrées par des éditeurs officiels et éviter les sites internet suspects ;
- ne pas prendre tous les mails pour argent comptant, et vérifier leurs informations avant d’ouvrir leurs pièces jointes ou d’y répondre ;
- passer la souris sur les liens inclus dans les mails douteux au lieu de cliquer, afin de contrôler vers quelle URL ils acheminent ;
- sauvegarder régulièrement leur travail, sur les supports internes mis à leur disposition mais aussi sur un support externe (clé ou disque USB), et éviter le recours aux clouds non sécurisés.

Vous souhaitez recruter en CDI ou CDD ? Vous avez besoin de main-d’œuvre temporaire, en intérim ou en CDI intérimaire ? Vous cherchez à embaucher en alternance ? Nous avons les candidats faits pour vous ! Rendez-vous dans votre agence Adecco ou sur votre portail entreprise Adecco!

⁽¹⁾ Orange Cyberdéfense Security Report 2021.

⁽²⁾ CPME, La cybersécurité des entreprises de moins de 50 salariés, 2019 (enquête conduite auprès de 374 dirigeants).

⁽³⁾ HISCOX, Rapport annuel sur la gestion des cyber-risques, 2020 (enquête conduite auprès de 5569 professionnels).