Télétravail : comment sécuriser son système d’information ?

Véritables freins au télétravail, la protection des données sensibles, l’usage d’applications critiques à distance et l’ouverture des accès au système d’information, en dehors des locaux de l’entreprise, deviennent des enjeux indispensables pour l’entreprise.

En effet, depuis de le début de la pandémie, 93% des entreprises françaises ont enregistré une hausse des cyberattaques, et ce, en raison de plusieurs problématiques[1] :

  • Identifier les nouveaux appareils personnels sur leurs réseaux (29%)
  • Assurer la surcharge des systèmes d’information liées à la saturation des VPN (21%)
  • Faire face à la recrudescence des failles de sécurité liées aux visioconférences (15%)

Le risque zéro n’existe pas, certes, mais il existe plusieurs actions et bonnes pratiques à mettre en place pour lever les freins techniques à la généralisation du télétravail.

#1 - Protéger les données sensibles

En dehors des obligations légales de la RGPD, les données sensibles, liées aux données de l’entreprise et de ses collaborateurs sont souvent la cible d’attaques. Ces données peuvent fortement compromettre l’activité de l’entreprise si elles sont volées. Afin de se prémunir au mieux des actions malveillantes, plusieurs pratiques sont possibles :

  • Cartographier les données sensibles
  • Chiffrer les données sensibles
  • Limiter les droits d’accès aux données aux seules personnes concernées
  • Tracer les accès aux données sensibles
  • Sauvegarder régulièrement les données sensibles
  • Sensibiliser régulièrement les collaborateurs aux usages des données sensibles

#2 – Améliorer la sécurité des accès au système d’information

Le télétravail implique de fournir un accès à distance aux collaborateurs sur les applications et serveurs de l’entreprise. L’accès à un serveur ou une application, cloud ou local, inclue des risques liés aux vols de données, d’accès malveillant à des applications et serveurs critiques. Les conséquences peuvent aller de l’usurpation à l’arrêt total de l’activité opérationnelle.

Ces actions de mitigation de base permettent de renforcer la sécurité des accès :

  • Référencer les droits d’accès par groupe d’utilisateurs
  • Renforcer la politique de gestion de mots de passe
  • Généraliser l’utilisation d’un outil de gestion de mots de passe ou du SSO
  • Favoriser des accès par VPN sur les serveurs et applicatifs sensibles
  • Intégrer la double authentification systématiquement (si le SSO n’est pas actif)
  • Interdire la copie de fichiers et données en dehors du système d’information de l’entreprise
  • Surveiller les accès aux applications et serveurs sensibles via les journaux d’évènements
  • Mettre en place un service de support réactif pour aider et sensibiliser les collaborateurs à la cybersécurité

#3 – Définir une politique de sécurité du télétravail

L’acteur principal de la sécurité reste l’Humain. Tous les efforts peuvent être investis sur la technique, mais sans politique concrète ni sensibilisation aux bonnes pratiques, un collaborateur peut facilement entretenir des habitudes risquées pour la sécurité des données, et ce, avec les actions les plus anodines[2] :

  • Près de 86% des salariés français utilisent un matériel personnel à des fins professionnelles
  • 19% des employés entre 20 et 25 ans préfèrent leurs outils aux outils fournis par l’Employeur contre 6% des employés de plus de 45 ans
  • 42% déclarent mettre à jour régulièrement leur système de sécurité personnel

Bien que le risque zéro n’existe pas, plusieurs actions de sensibilisation peuvent être mises en place pour réduire les risques humains :

  • Fournir une fiche de bonnes pratiques à appliquer en dehors du bureau
  • Utiliser un filtre de protection écran pour l’ordinateur
  • Verrouiller l’ordinateur professionnel au bout de quelques minutes d’inactivité
  • Interdire l’usage des clés USB ou autres supports amovibles
  • Supprimer tout mot de passe inscrit sur un papier ou un bloc note
  • Limiter l’installation d’applications personnelles sur le smartphone professionnel
  • Ne pas se connecter sur des WIFI publics
  • Séparer l’usage des équipements professionnels (ordinateur, messagerie, logiciel, etc.) des équipements personnels
  • Sensibiliser régulièrement aux messages suspects sur les différents types de messagerie (email, SMS, chat…)
  • Faciliter la remontée d’incidents et d’anomalies dans les usages à distance (activité suspecte, bug trop récurrent etc.)

En plus des bénéfices sur la productivité et la QVT, le télétravail est une opportunité pour l’entreprise d’améliorer la maîtrise de son système d’information en intégrant des bonnes pratiques de sécurité. C’est à l’issu de ces actions constantes et régulières que les collaborateurs développeront une culture de la sécurité, ce qui lèvera les freins de l’entreprise face au télétravail sur la question de la sécurité.


[1] Source “When The World Stayed Home”, Tanium 2020

[2] Source Symantec 2020


Identifier les mesures de sécurité à mettre en place grâce à notre dernière checklist : https://asgora.com/checklist-securite-systeme-information-teletravail/