Le saviez-vous ? L’une des raisons pour laquelle votre entreprise est plus vulnérable pendant les congés, c’est surtout parce que salarié•e•s, comme dirigeant•e•s, n’arrivent pas à se déconnecter de leurs outils professionnels. Tout en étant moins attentifs aux risques cyber !

En période de vacances, 9 dirigeant•e•s sur 10 ne décrochent pas complètement de leur activité.

Côté salarié•e•s, il s’agit de 67% des travailleur•se•s français.

Dans cet article nous allons revenir sur les attaques les plus courantes en période de vacances, les bonnes pratiques à mettre en place avant, pendant et après les congés.

#1 — Quels types d’attaques sont les plus courantes en période de vacances ?

Il y a plusieurs modèles de menaces, en fonction de votre niveau hiérarchique dans l’entreprise, mais aussi vos habitudes et destinations de vacances telles que :

  • Le vol physique de matériel : ordinateur, clé usb, disque dur, téléphone…
  • La perte et la dégradation du matériel (“haaa la pina colada renversée sur le clavier…”)
  • L’installation de logiciel espion
  • Le vol de données
  • Le phishing
  • L’arnaque au président
  • L’infiltration d’appareil

#2 — Mesurer les risques

Afin de protéger correctement l’entreprise, quand il y a des départs en congés, il y a plusieurs étapes à suivre afin d’être en mesure de :

  • Mesurer les conséquences des absences
  • Assurer la continuité d’activité et la réponse à incident
  • Sensibiliser l’ensemble de l’entreprise aux bonnes pratiques de sécurité en vacances

L’idéal est qu’en amont, vous ayez défini les modèles de menaces de l’entreprise, c’est-à-dire une cartographie des différents risques encourus en cas d’absence d’une fonction, d’un service, etc.

Pour définir ces modèles de menaces, il y a plusieurs questions à soulever :
  • Quelles sont les données détenues par chaque service ? Par niveau hiérarchique ?
  • Sur quels matériels et logiciels sont-elles stockées ?
  • A-t-on des outils de détection suffisants pour les protéger ?
  • Les équipes accèdent-elles à ces logiciels sur du matériel mobile ? Professionnel ? Ou Personnel ?
  • Les équipes utilisent-elles des logiciels non-référencés par l’entreprise ?
  • Les équipes sont-elles sensibilisées à la sécurité ?
  • Les équipes amènent-elles leur matériel en vacances ?

Une fois ces modèles définis, vous serez en mesure d’en déduire les risques encourus, en fonction de chaque situation, métier et matériel.

#3 — Sensibiliser et…laisser partir en vacances déconnectées !

Nous sommes tous moins vigilants en vacances. C’est pour cela, que le meilleur moyen d’éviter les cyberattaques, c’est de profiter de ses vacances sans :

  • Vérifier ses emails ;
  • Vérifier ses tickets ;
  • Lire les conversations sur Teams ;
  • Répondre aux appels professionnels…

Au-delà des risques cyber, il s’agit aussi de respecter le Droit à la déconnexion. Il est important de faire comprendre aux salarié•e•s qu’ils ne perdront pas leur emploi, pour ne pas avoir répondu aux sollicitations pendant leurs congés ( c’est la loi 😉 )

Et si vous êtes un super dirigeant·e qui applique et respecte le Droit à la déconnexion. Mais que les salarié•e•s ont toujours du mal à décrocher, il faut sensibiliser aux bonnes pratiques de vacances en toute cybersécurité :

  • Réinitialiser ses mots passe avant de partir et au retour de congés
  • Éviter d’annoncer où et quand on part en vacances sur les réseaux sociaux
  • Éviter de géolocaliser ses photos de vacances et/ou de prendre des photos dans des cadres facilement reconnaissables
  • Ne pas se connecter aux logiciels professionnels sur un WiFi Public
  • Ne pas accepter, ni utiliser, de cadeaux type clé USB, disque dur externe, carte SD…
  • Activer la vérification des paiements sur son application bancaire
  • Privilégier l’utilisation d’un VPN, même sur mobile
  • Ranger le matériel professionnel en lieu sûr et clos
  • Éviter au maximum de se connecter aux logiciels professionnels sur du matériel personnel
  • Éviter de stocker ses mots de passe dans les trousseaux des navigateurs ou des téléphones
  • Ne jamais se connecter sur des appareils publics

Nous savons très bien que tout cela est plus facile à dire qu’à faire. Les habitudes mettent du temps à évoluer, surtout en termes de cybersécurité en entreprise. C’est justement pour ça qu’il est essentiel :

  • D’anticiper vos modèles de menace
  • De définir vos risques et les conséquences de ces risques
  • De sensibiliser régulièrement autant les dirigeante·s que les salarié·e·s

En ritualisant de plus en plus ces bonnes pratiques, quelle que soit votre fonction ou votre niveau hiérarchique, vous gagnerez en autonomie, et serez de plus en plus en mesure de savoir comment agir en cas de cybermenace.

Bonnes vacances à tous·tes 🙂 !