La généralisation accélérée du travail à distance depuis deux ans, a imposé de nombreux défis aux chefs d’entreprise et managers. Équiper les salariés, se familiariser avec de nouveaux outils, maintenir le lien entre les collaborateurs, … Autant de questions auxquelles les entreprises ont dû répondre sans y être forcément préparées pour la plupart. Très vite, les professionnels de la sécurité informatique ont alerté sur les risques liés à ces nouveaux usages. Comment protéger les informations sensibles sur un parc informatique de plus en plus nomade ? Comment sécuriser les connexions à distance ?
Remontons un peu le temps jusqu’en mars 2020. La France se confine et les entreprises qui peuvent poursuivre leurs activités précipitent leurs collaborateurs dans le télétravail. Jusqu’à 41% des salariés se retrouvent ainsi à devoir travailler depuis chez eux. Deux ans après le tout premier confinement et d’autres qui ont suivi ensuite, chacun peut sentir à quel point le recours au télétravail a profondément changé nos habitudes de travail.
Le travail hybride, la nouvelle norme
Toutes les études portant sur le télétravail en France convergent vers le même constat. Tous ceux qui ont gouté au travail à distance veulent le poursuivre. Selon une étude de la CGT réalisée à l’été 2021, 98% des salariés interrogés souhaitent continuer le télétravail. Le gain de temps dans les transports et un meilleur équilibre vie professionnelle – vie personnelle sont sans surprise les deux principales motivations.
Même constat du côté des entreprises. Elles souhaitent aussi l’installer durablement. Deux jours par semaine est la moyenne qui convient au plus grand nombre. Toutes les tailles d’organisations sont concernées. Les TPE n’échappent donc pas à la tendance. Près d’un quart des salariés de TPE télétravaillent aujourd’hui et les trois-quarts souhaitent le maintenir.
Autre constat notable, la nouvelle génération d’actifs a déjà intégré le télétravail. Ainsi, 61% des millenials (les 18 – 34 ans) se disent prêts à travailler 100 % à distance selon l’étude menée début juillet 2021 pour le cabinet de recrutement Nicholson Search & Selection.
Le flex office
Le Flex Office était déjà en vogue dans les grandes organisations. C’est le cas chez Axa France, Peugeot, Saint Gobain, Suez, Natixis ou encore Air Liquide. Près d’une personne sur cinq travaillant dans les métropoles n’a déjà plus de bureau attitré dans les locaux. La généralisation du télétravail n’a fait qu’accentuer cette tendance. Nombreuses sont les entreprises qui ont profité de la crise sanitaire pour réduire la taille de leurs locaux. Voire même pour certaines les supprimer totalement pour des questions évidentes de coûts. La notion même de « bureau » est alors totalement remise en question.
La grande flexibilité laissée aux collaborateurs pour s’organiser a pour conséquence le développement du travail en dehors des horaires habituels du bureau. Durant les soirées, les week-ends et parfois même pendant les congés, la tentation est forte d’ouvrir le PC ou le téléphone portable professionnel pour traiter un mail ou avancer sur un projet.
Etant désormais incités à travailler ailleurs que dans les locaux de l’entreprise, nous adoptons naturellement de nouveaux lieux de travail : la maison, chez des clients ou des fournisseurs, dans des espaces de co-working, des espaces publics comme les cafés, dans les transports (gares, aéroports, trains, …) et même les parcs ou jardins publics. Tous ces lieux ont un point commun : pour travailler efficacement, nous devons nous connecter à des réseaux que l’entreprise ne maitrise pas. Ces réseaux sont par conséquent sont réputés non sécurisés.
Travail à distance, quelles conséquences pour les RSSI ?
Le télétravail et les nouvelles habitudes de travail engendrent inévitablement une hausse des comportements à risque. Les frontières entre la vie personnelle et professionnelle s’estompent de plus en plus. Les RSSI devaient déjà faire face à la tendance du BYOD (Bring Your Own Device). C’est-à-dire le fait d’utiliser des équipements personnels (tablette, PC, smartphone) pour accéder aux ressources informatiques de l’entreprise. Avec le télétravail, ce sont les équipements professionnels qui sont utilisés pour des usages personnels. C’est le cas par exemple pour le téléchargement, les services de streaming ou encore les jeux en ligne. Un casse-tête de plus donc …
Plus inquiétant encore, les RSSI ont noté une nette propension des collaborateurs à choisir la productivité au détriment de la sécurité de l’entreprise. Les consignes de sécurité sont perçues comme une perte de temps et sont ainsi souvent contournées voire totalement ignorées. Le baromètre de la cybersécurité des entreprises 2021 publié récemment par le CESIN montre qu’encore 30 % des collaborateurs ne respectent pas les recommandations en matière de sécurité informatique.
La tâche est donc ardue pour les RSSI et cela d’autant plus qu’en France, 70 % des responsables sécurité et des dirigeants attribuent les récentes cyber-attaques ayant des répercussions sur l’activité* aux vulnérabilités des technologies mises en place pendant la pandémie.
Les VPN ayant fait partie des solutions de cybersécurité les plus utilisées en 2021, ne sont pas épargnés par les pirates. Trois VPN de grands éditeurs figurent ainsi dans le top 10 des vulnérabilités 2020 établi par l’ANSSI. Tous ces VPN ont un point en commun : ils utilisent le protocole TLS/SSL alors que l’ANSSI, mais aussi la NSA, recommandent l’usage du protocole IPsec jugé plus robuste et sécurisé.
Une forte disparité entre les organisations
La crise sanitaire et l’organisation du travail à distance ont révélé de grandes disparités entre les organisations. Pour simplifier, il y a celles qui avaient déjà commencé à mettre en œuvre la sécurisation du nomadisme parmi leurs équipes. Elles ont donc augmenté les capacités de leur architecture d’accès à distance. Et d’autre part, celles qui ont été totalement prises au dépourvu. Elles ont dû dans l’urgence déployer des nouvelles technologies comme le VPN et faire évoluer leurs infrastructures.
Après l’urgence de la prise en charge du travail à distance pendant la pandémie et l’évolution vers un mode de travail dit « hybride », les organisations prennent maintenant conscience de certaines limites de leurs systèmes existants. Par conséquent, elles réfléchissent à la manière de faire évoluer leur architecture de sécurité. Toutes souhaitent préserver les avantages du télétravail. Tant en termes de productivité que d’attractivité, tout en limitant autant que possible les risques d’attaque.
* Ces données proviennent de l’étude « Au-delà des frontières : l’avenir de la cyber-sécurité dans le nouveau monde du travail » menée par Forrester Consulting à la demande de Tenable auprès de plus de 1 300 responsables sécurité, dirigeants et employés en télétravail, dont 153 personnes en France.
Quels principaux défis à relever pour les RSSI ?
Toutes les tailles d’organisation, qu’elles soient publiques ou privées, sont concernées par le nomadisme digital et le télétravail. Pour rendre leurs ressources disponibles 24 heures sur 24 et 7 jours sur 7 tout en offrant une expérience utilisateur optimisée et sécurisée, elles se doivent de pérenniser leurs infrastructures d’accès à distance.
Au-delà du souci de pérenniser, les RSSI font face à deux autres enjeux majeurs : la conformité réglementaire et les impacts financiers. Ces dernières années, les réglementations nationales et internationales ont proliféré. Par exemple le règlement européen sur les données personnelles (RGPD) impose à toute organisation publique ou privée qui collecte ce type de données, d’en assurer la protection.
Les règles en vigueur
Avec le télétravail, les collectivités territoriales comme les mairies, manipulent de plus en plus à distance les données personnelles de leurs administrés. Les RSSI doivent donc veiller à la sécurité des connexions distantes pour prévenir tout risque d’interception ou altération de ces données.
La loi de programmation militaire (LPM) et la directive européenne NIS contraint les opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) à sécuriser les accès à leur SI en utilisant des solutions de chiffrement des communications. La révision de la directive NIS va encore élargir le nombre d’organisations concernées. En effet, de nouvelles activités et secteurs seront inclus. A ce sujet, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a prévenu lors du dernier FIC (Forum International de la Cybersécurité) qu’il pourrait y avoir plusieurs milliers d’OSE en France avec la version 2 de directive NIS.
Les enjeux financiers sont également de plus en plus lourds, en particulier pour les PME. Un chiffre sidérant illustre bien cela : 60 % des PME victimes d’attaques déposent le bilan dans les six mois. Un cas emblématique est celui du groupe Lise Charmel. La célèbre marque de lingerie a subi une attaque par rançongiciel début novembre 2019 et s’est retrouvée devant le tribunal de commerce pour demander un redressement judiciaire à la fin février 2020. Les coûts directs d’une attaque se voient rapidement : activité stoppée entrainant une baisse du chiffre d’affaires, arrêt de la facturation, coût de la remédiation et de la reprise d’activité … mais il y a aussi les coûts invisibles : la perte de confiance des clients et des fournisseurs, la prime d’assurance qui s’envole … Certains vont jusqu’à estimer que les dégâts immatériels représenteraient plus de 40 % du montant de la facture totale d’une attaque.
Sécuriser les communications distantes
En 2018, l’ANSSI avait déjà publié un guide sur le nomadisme numérique alertant sur les risques liés au télétravail et donnant des recommandations pratiques pour sécuriser les SI. Le chiffrement des communications à commencer par les flux d’administrations fait partie des mesures prioritaires à prendre. Privilégier les solutions disposant d’un visa ANSSI est fortement conseillé. Même son de cloche du côté de la CNIL qui recommande l’usage d’un VPN pour les connexions distantes et la sécurisation des données personnelles.
Cybermalveillance.gouv.fr a également réalisé un petit guide pratique contenant des consignes similaires. Ce guide insiste en outre sur l’importance d’accompagner les collaborateurs en télétravail et de les sensibiliser sur les menaces.
Car la première des vulnérabilités demeure l’humain. Le général Marc Watin-Augouard, le fondateur du FIC, l’a encore rappelé sur BFM TV juste avant l’ouverture du salon que « 85% des cyberattaques sont liées à une erreur humaine, comme l’ouverture d’une pièce jointe ».
Travail à distance, comment bien choisir son VPN d’entreprise ?
Tous les VPN ne se valent pas. Pour bien choisir son VPN, trois principaux critères sont à regarder de près :
-
Le niveau de sécurité
C’est le critère non négociable surtout pour les organisations ayant des SI homologués DR (Diffusion Restreinte). Bien sûr choisir la version la plus à jour du produit pour disposer d’un algorithme de chiffrement à l’état de l’art et d’un système d’authentification robuste, est fortement recommandé. Les VPN IPsec disposant d’un visa de sécurité sont ceux offrant le niveau de sécurité le plus élevé.
-
Interopérabilité
Elle permet de garder la maitrise sur des choix en équipements. Ce qui signifie être en capacité de revoir ses choix et de changer de fournisseurs sans difficulté. Nombreuses sont les entreprises qui ont des équipements hétérogènes. Il est alors important que le VPN s’intègre facilement dans une architecture de sécurité souvent complexe.
-
Simplicité d’utilisation
Pour les utilisateurs finaux d’abord. Pas de sécurité si le tunnel VPN n’est pas monté. Il doit donc être le plus transparent pour eux, c’est-à-dire requérant le minimum d’interactions. Pour l’administrateur également. Le Client VPN doit lui permet de configurer facilement sa politique de sécurité. Et le déploiement doit rester simple.
TheGreenBow est un éditeur de logiciel français qui s’est engagé depuis de nombreuses années dans un processus de certification de ses Clients VPN afin d’offrir le niveau de sécurité le plus élevé possible. La gamme complète des clients VPN pour Windows, Linux, Android, iOS et macOS est disponible en téléchargement pour un test gratuit de 30 jours sur le site www.thegreenbow.fr.
Retrouvez notre dernière vidéo Youtube de TheGreenShow qui traite du sujet suivant : « Cybercriminalité : comment la ComCyberGend combat aux côtés des entreprises ? ».
Cher lecteurs, nous sommes au terme de cette présentation. Nous espérons que ces quelques lignes vous ont plu. N’hésitez pas à nous faire partager votre avis sur le sujet !
