Depuis ses prémices, le télétravail pose la question de la protection des données. Le télétravail représente en effet de nombreux risques pour l’entreprise : impossibilité pour les employés d’accéder aux ressources dont ils ont besoin pour travailler, virus informatiques et hameçonnage, logiciel malveillant ou malware, vol de données sensibles…
Pour rappel, le télétravail désigne toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l’information et de la communication (article L. 1222-9 du Code du travail).
En raison du confinement, nombre d’entreprises ont dû s’adapter et organiser le télétravail et ce, parfois dans la précipitation et sans avoir eu le temps de sécuriser leurs données. Avec l’obligation de télétravailler, l’utilisation de plateformes, applications, outils de travail numériques et solutions de visioconférence a explosé. Dans le même temps et profitant de cette situation de vulnérabilité, la cybercriminalité a augmenté de façon spectaculaire.
Les principales cyberattaques que peuvent subir les entreprises et leurs télétravailleurs sont le phishing, le ransomware, le vol de données et les faux ordres de virement.
Le phishing ou hameçonnage est une technique utilisée par des fraudeurs qui consiste à se faire passer pour une entreprise ou une administration dans le but d’obtenir des données personnelles. Souvent, les fraudeurs envoient des e-mails, SMS, chat qui semblent provenir d’un domaine convaincant afin de gagner la confiance de leurs victimes. Ces dernières sont ensuite invitées à cliquer sur un lien et renseigner leur identité, identifiants, mots de passe, coordonnées bancaires, etc.
Les ransomware ou rançongiciels est une technique utilisée par les hackers consistant à chiffrer les données d’une entreprise ou empêcher leur accès et réclamer une rançon pour les libérer. Pour ce faire, les pirates informatiques peuvent s’introduire dans le réseau de l’entreprise en compromettant l’équipement d’un télétravailleur par exemple ou encore en passant par les accès à distance de l’entreprise.
Le vol de données est une cyberattaque qui consiste à une intrusion du cybercriminel sur le réseau de l’entreprise et/ou sur ses hébergements externes (par exemple, sur le cloud) afin de lui dérober des données. Le but de cette attaque est souvent de pouvoir revendre les données ou encore de les diffuser afin de nuire à l’entreprise.
Autre cyberattaque possible, les faux ordres de virement (FOVI). Il s’agit d’une escroquerie par laquelle le cybercriminel usurpe l’identité d’une personne, souvent le dirigeant ou président de l’entrepris, au moyen d’un piratage de compte de messagerie par exemple, pour demander un virement bancaire confidentiel et crucial pour l’entreprise.
Les conséquences de telles cyberattaques liées au télétravail sont l’arrêt de l’activité de l’entreprise, la fuite ou la perte de données, l’atteinte à l’activité et l’image de l’entreprise et une perte financière pour l’entreprise.
Les entreprises et leurs télétravailleurs doivent donc redoubler de vigilance et mettre en oeuvre toutes les mesures nécessaires qui n’ont pas été prises à temps au moment du passage au télétravail ou alors renforcer ces mesures pour celles qui avaient déjà franchi le cap du télétravail afin de ne pas tomber dans les nombreux pièges disposés par les cybercriminels.
L’usage du numérique ne vas pas, en effet, sans cybersécurité….
Certaines mesures sont à adopter par les entreprises et d’autres par leurs télétravailleurs.
Pour apporter un niveau de garanties de sécurité suffisantes de leurs données, les entreprises ayant organisé le télétravail peuvent mettre en place un certain nombre de mesures : identification des vulnérabilités, failles de sécurité et utilisateurs à risque, sécurisation des accès et du réseau, authentifications, mise en place de mesures à destination des salariés et des collaborateurs, souscription à une protection juridique contre les cyberattaques...
Le télétravail implique l’ouverture des données de l’entreprise dans un lieu qui n’est pas maîtrisé (par exemple, domicile du salarié en période de confinement) et qui n’apporte pas toujours les niveaux de garanties de sécurité suffisants. Or, certaines activités ne sont pas compatibles avec le télétravail : non pas parce que le télétravail est matériellement impossible, mais parce que le niveau de sensibilité des données qui sont concernées par l’activité est trop élevé par exemple. Il est donc important, pour les entreprises, d’identifier précisément quels sont les employés qui sont éligibles au télétravail et ceux qui ne le sont pas.
Parmi ces niveaux de sensibilité, il conviendra d’ajuster les solutions de sécurité mises en place en fonction de l’utilisateur. En effet, les mécanismes de sécurité qui devront être mis en place ne seront pas les mêmes selon que les données utilisées par le télétravailleur représentent un haut degré de sensibilité ou un degré moindre. Dans ce cadre, les entreprises devront également s’assurer de restreindre l’accès aux données sensibles au minimum de télétravailleurs.
Bien sûr, il est important de sensibiliser les télétravailleurs aux risques encourus par l’entreprise mais également par les télétravailleurs eux-mêmes à titre individuel. Cette sensibilisation pourra par exemple être effectuée au moyen de sessions de formation à la protection des données réalisées à distance ou non.
Cybermalveillance.gouv.fr propose notamment un kit de sensibilisation visant à sensibiliser aux questions de sécurité du numérique, à partager les bonnes pratiques dans les usages personnels, et de manière vertueuse, à améliorer les usages dans le cadre professionnel.
Dans la mesure du possible, les entreprises veilleront à sécuriser les équipements d’accès. L’équipement utilisé dans les locaux de l’entreprise (par exemple, ordinateur de bureau) n’est pas forcément le même que celui utilisé par le télétravailleur en dehors des locaux (par exemple, ordinateur portable, smartphone, tablette).
Afin de maîtriser complètement les équipements d’accès sur lesquels les télétravailleurs se connectent, il est pertinent de fournir le matériel dédié au travail aux télétravailleurs. Sur ces équipements, des solutions de sécurité du système informatique et pare feu pourront être installés. Au demeurant, le matériel fourni pourra être programmé pour restreindre certaines fonctions et utilisations (par exemple, impossibilité d’installer n’importe quelle application, désinstallation de certains services non nécessaires tels que le bluetooth, filtrage de la navigation sur internet, etc.).
Par ailleurs, il pourra être utile de mettre en place un VPN (« Virtual Private Network » ou réseau informatique virtuel) pour chaque télétravailleur. Ce service permet ainsi au télétravailleur de se connecter depuis un ordinateur distant sur le réseau de l’entreprise via une simple connexion internet. Il permet de renforcer la sécurité et la confidentialité des actions effectuées par l’utilisateur distant, c’est-à-dire par le télétravailleur.
D’autres services pourront éventuellement être mis en place. Par exemple, le RDP (« Remote Desktop Protocol » ou Protocole de Bureau à Distance) qui permet de gérer à distance les ordinateurs. Contrairement au VPN, le RDP n’autorise pas le transfert de fichiers entre l’appareil distant utilisé par le télétravailleur et les appareils de l’entreprise. Avec le RDP, le télétravailleur peut se connecter directement à son ordinateur du bureau. Tout se passe comme si le télétravailleur était assis dans son bureau à travailler sur son ordinateur dans les locaux de l’entreprise.
Autre service, le RDS (Remote Desktop Services » Services de bureau à distance). Avec le RDS, l’utilisateur ne se connecte pas à un ordinateur spécifique du bureau tel qu’avec le RDP mais directement au serveur de l'entreprise.
L’authentification des accès à distance permet à l’entreprise de s’assurer que le télétravailleur est bien connecté sur un appareil maîtrisé et lui permet de vérifier l’identité et les droits d'accès de ce dernier. En cas de cyberattaque, l’authentification permet alors de s’assurer que le fraudeur ne pourra pas accéder facilement aux données de l’entreprise.
L’authentification peut se faire de diverses manières. Il peut notamment s’agir d’une authentification à double facteur, c’est-à-dire une authentification qui repose sur deux secrets (par exemple, le télétravailleur se connecte en indiquant son mot de passe, puis un code qui lui a été envoyé par SMS).
Diverses recommandations d’ordre général doivent être faîtes à l’attention des membres de l’entreprise et de ses collaborateurs. Pour se faire, l’entreprise pourra notamment fournir à ses employés et collaborateurs une feuille de route à suivre en cas de cyberattaque. Ce document permettra au télétravailleur qui soupçonne ou qui subit une cyberattaque d’être rapidement guidé et de connaître le comportement à adopter (par exemple, qui contacter, que faire en cas d’urgence, etc.).
La mise en place du télétravail est aussi l’occasion d’encadrer contractuellement l’usage du numérique. À ce titre, l’élaboration d’une charte du télétravail ou encore d’une Charte de l’informatique est opportune. Une telle charte permet alors à l’entreprise d’organiser le fonctionnement du télétravail et l’utilisation des outils informatiques. Il pourra s’agir de créer des règles et des devoirs à la charge des télétravailleurs. Par exemple, il pourra être prévu l’obligation pour le télétravailleur de rendre ses équipements disponibles pour la réalisation de contrôles réguliers de la cybersécurité. De plus, la charte pourra également et de manière utile proclamer et reconnaître expressément des droits aux télétravailleurs (par exemple, le droit à la déconnexion). La rédaction d’un tel document pouvant s’avérer complexe, il pourra être utile de faire appel à un juriste ou un avocat spécialisé en droit du travail.
Les risques de piratage sont une réalité pouvant mettre en péril la survie des entreprises qui en font l’objet et leurs systèmes informatiques. Les conséquences de la cybermalveillance sont en effet désastreuses : paralysie de l’entreprise, vol de données sensibles, virus, demande de rançons, atteinte à l’image et à la réputation de l’entreprise, perte financière…
Pour protéger l’environnement numérique de l’entreprise et pérenniser ses activités, le recours à un service d’assistance et de protection juridique est indispensable. En effet, s’assurer contre les cyber-risques permet à l’entreprise une prise en charge des frais engagés pour la reconstitution des données et la restauration du système d’information qui a été corrompu. Avec l’assistance et la protection juridique, l’entreprise peut alors bénéficier d’un accompagnement juridique dans la gestion de la crise et d’une couverture adaptée.
Il existe également des assurances spécialisées dans le cyber-risque permettant à l’entreprise qui y souscrit de bénéficier d’une meilleure compréhension des risques et de la menace informatique (les contrats d’assurance traditionnels ne protègent généralement pas les entreprises en cas d’attaques informatiques). Une assurance en cyber-risque permet en effet de bénéficier d’une assistance avec des experts en gestion de crise et d’être protégé en cas de pertes financières liées à une cyber attaque.
Du côté des télétravailleurs également, de nombreuses mesures peuvent être mises en œuvre pour prévenir les attaques malveillantes, sécuriser ses données et se protéger contre les menaces.
Parmi les règles à destination des télétravailleurs qui intéressent la sécurité informatique et la protection des données confidentielles de l’entreprise, on retrouve notamment des règles relatives à l’utilisation des mots de passe, à la sécurisation des appareils et à la sauvegarde des données.
Les télétravailleurs veilleront à utiliser un mot de passe différent pour chaque site : les mots de passes utilisés devront être différents pour chaque site concerné, c’est-à-dire entre les sites professionnels et les sites privés mais également entre les différents sites professionnels utilisés et les différents sites privés. En effet, en cas de perte ou de vol de l’un des mots de passe, seul le service concerné sera compromis et non l’ensemble des services pour lesquels l’utilisateur a utilisé le même mot de passe.
Ils veilleront également à choisir un mot de passe suffisamment long, complexe et difficile à deviner (par exemple, éviter les suites logiques comme « abcdef » ou « 12345 »).
Les mots de passe devront impérativement être maintenus confidentiels. Cela signifie qu’il est nécessaire de changer de mot de passe au moindre doute concernant sa confidentialité, que les mots de passe ne doivent pas être notés à un endroit facilement piratable (par exemple, ceux-ci ne doivent pas être directement notés sur l’ordinateur ou sur le téléphone de l’utilisateur) et qu’ils ne devront jamais être communiqués à un tiers.
Lorsque c’est possible, il conviendra d’activer la double authentification (par exemple, au moyen d’un code unique envoyé par SMS).
En vue de sécuriser au maximum les appareils utilisés, les télétravailleurs s’assureront, lorsque c’est possible, de bien séparer leur utilisation des appareils professionnelle et privée. Les appareils à usage professionnel doivent en effet servir uniquement au télétravail et non à un usage privé et inversement pour les appareils à usage personnel afin d’éviter que les appareils infectés ne contaminent un appareil sain.
En outre, les télétravailleurs veilleront à ne pas se connecter un réseau Wi-Fi public ou inconnu. Ce type de réseau peut en effet être facilement piraté et contrôlé par un cybercriminel qui peut ainsi récupérer les données personnelles de l’utilisateur. Les télétravailleurs veilleront également à sécuriser leur réseau Wi-Fi personnel, en renforçant par exemple leur mot de passe.
Également, l'installation d’une solution de sécurité contre les virus et logiciels malveillants est une mesure indispensable. Il existe de nombreuses solutions de sécurité pour les ordinateurs de bureau mais également pour les appareils mobiles (smartphones et tablettes informatiques). Bien sûr, les télétravailleurs vérifieront régulièrement à effectuer les mises à jour de la solution d’antivirus installée. Les objets connectés peuvent également faire l’objet d’une attaque informatique : les utilisateurs veilleront donc à utiliser la dernière version du système d’exploitation disponible et à ne pas pas stocker d’informations personnelles sur ces derniers.
De plus, seules les applications officielles provenant de sites officiels devront être installées sur l’ordinateur. Le téléchargement d’application ou logiciels provenant de sites internet suspects sont à bannir.
Pour se prémunir du risque de piratage, les télétravailleurs essaieront de limiter au maximum l’usage de périphériques externes (clés USB et disques dur) pour transférer des données d’un appareil à un autre afin d’éviter qu’un équipement contaminé puisse compromettre d’autres appareils.
Il conviendra également de se méfier des emails, SMS, chat, spam inattendus, demandant de vérifier ou renouvellement un identifiant de connexion ou mot de passe, même lorsque ces messages semblent provenir d’une source fiable. De même, il convient de ne pas cliquer hâtivement sur un lien sans vérifier l’identité de l’expéditeur ou la nature du site internet car il pourrait s’agir d’un site web frauduleux ou encore télécharger un logiciel ou une pièce jointe d’un courriel provenant d’une source non officielle car il pourrait s’agir de malwares (logiciel malveillant).
Enfin, les télétravailleurs veilleront à déconnecter et verrouiller leurs appareils après utilisation.
Les données stockées sur un appareil, qu’il s’agisse d’informations personnelles ou professionnelles, doivent faire l’objet de sauvegardes régulières. Certaines données peuvent être essentielles pour l’entreprise et irrécupérables en cas de vol ou de pertes. Il convient donc de sauvegarder en priorité pour éviter que celles-ci ne soient hackées.
