Les employeurs doivent donner des instructions claires et actualisées à l’ensemble de leurs télétravailleurs à propos de la cybersécurité de leur entreprise. (Photo: Miguelangel Miquelena pour Unsplash)
TÉLÉTRAVAIL. Vous êtes en télétravail depuis maintenant plusieurs semaines, et vous allez vraisemblablement le demeurer pendant encore un bon bout de temps. À tout le moins de manière épisodique — peut-être une, deux ou trois fois par semaine — vu que 59 % des employeurs canadiens entendent désormais encourager leurs employés à travailler de chez eux « de manière quasi permanente », selon un récent sondage du cabinet-conseil en ressources humaines Aon.
De toute évidence, cela va poser un défi de sécurité. Car il n’est plus possible de se contenter des mesures improvisées rapidement, dans les jours qui ont suivi la décision de la haute direction de tous télétravailler afin que les activités puissent se poursuivre tant bien que mal. À plus forte raison lorsqu’on découvre les résultats nord-américains de l’enquête mondiale menée en avril par OneLogin, une firme californienne spécialisée dans la gestion des identités numériques et des accès informatiques, sur les « mauvaises » habitudes des télétravailleurs en matière de cybersécurité :
- Près de 1 télétravailleur sur 5 partage le mot de passe principal de ses appareils électroniques avec ses proches (ex.: conjointe, enfants, etc.);
- 17 % des télétravailleurs se servent de leur laptop du travail pour aller sur des sites réservés aux adultes;
- 37 % des télétravailleurs se servent de leur laptop du travail pour jouer à des jeux d’argent en ligne;
- 37 % des télétravailleurs n’ont pas changé le mot de passe de leur wi-fi dans les six derniers mois.
« L’ennui, c’est que de tels comportements individuels — insouciants, pour ne pas dire irresponsables — mettent directement en péril la sécurité de toute l’entreprise, a expliqué Alexa Slinger, directrice, opérations d’activation de la clientèle, d’OneLogin, à l’occasion de la divulgation de l’enquête. Des personnes mal intentionnées peuvent ainsi aisément accéder aux données du télétravailleur imprudent — après avoir cliqué, par exemple, sur un lien ou un document corrompu —, puis à celles de l’ensemble du réseau de l’entreprise, et enfin tout paralyser. Ce qui peut se révéler catastrophique. »
Certes, les employés se doivent de faire preuve de prudence, à plus forte raison lorsqu’ils travaillent de chez eux. Mais ils ne sont pas les seuls à porter le blâme lorsque survient un bris de sécurité : les employeurs se montrent, en général, chiches en ce qui concerne les programmes de formation à ce sujet.
De fait, un sondage mené l’an dernier au Canada par Scalar Decisions, une entreprise torontoise spécialisée dans les services en technologies de l’information (TI), a montré que près de 3 employés sur 5 n’avaient jamais reçu la moindre formation en cybersécurité. Pourtant, 79 % de ceux qui en avaient eu une ont indiqué que cela leur avait permis de détecter et d’éviter des attaques via Internet (ex.: virus, maliciel, hameçonnage, etc.).
Comment améliorer la situation ? C’est bien simple, les employeurs se doivent de donner des instructions claires et actualisées à l’ensemble de leurs télétravailleurs. Par exemple en s’inspirant de celles préconisées par l’Agence de l’Union européenne pour la cybersécurité (Enisa), dont les sept principales sont les suivantes :
- À la maison, utilisez le matériel informatique du bureau pour le travail et celui qui est à vous pour vos activités personnelles. N’intervertissez pas les deux, à moins que votre employeur n’ait veillé à ce que l’utilisation du matériel personnel pour le travail soit sécuritaire. Bref, ne combinez pas travail et loisirs sur un même appareil.
- Quand vous télétravaillez, connectez-vous à Internet via des réseaux sécurisés ; évitez les réseaux ouverts/libres. Votre wi-fi, s’il est assez récent, l’est sûrement. Mais ceux d’ailleurs ne le sont peut-être pas (ex.: wi-fi gratuit dans un jardin public, à la terrasse d’un café, dans un magasin, etc.). Le risque, c’est que quelqu’un à proximité en profite pour espionner votre activité en ligne et pour saisir ainsi de précieuses données.
- Évitez l’échange d’informations sensibles sur l’entreprise — notamment par courriel — via des connexions potentiellement non sécurisées.
- De manière générale, doutez de la légitimité de tout courriel, surtout s’il vous incite fortement à effectuer une action inusitée. Car il peut s’agir d’une tentative d’hameçonnage ou d’escroquerie. En cas de doute, contactez le responsable de la sécurité de l’entreprise.
- Prenez l’habitude de sauvegarder vos données (ex.: clé USB, disque dur externe, etc.). Cela les protégera contre le vol, ou la perte, d’un appareil électronique.
- Veillez à ce que l’antivirus de votre matériel électronique soit régulièrement mis à jour.
- Ne partagez pas les URL de vos réunions virtuelles sur les médias sociaux et autres canaux publics. Car cela permettrait à des personnes mal intentionnées d’accéder à vos réunions confidentielles tout comme à de précieuses données.
Ces recommandations sont sommaires. Et donc, insuffisantes pour garantir une véritable sécurité lorsque quelqu’un effectue du télétravail. Jean-Philippe Racine, le président fondateur du Groupe CyberSwat, une firme montréalaise spécialisée dans la cybersécurité, en a apporté l’illustration lors d’un récent webinaire : « Il appartient à chaque employé de minimiser les risques encourus par l’entreprise lorsqu’il travaille à la maison, tout particulièrement en cette période de pandémie du nouveau coronavirus, a-t-il dit. Et donc, d’aller au-delà des mesures qui sont généralement préconisées par les employeurs. »
En voici quatre exemples révélateurs, selon lui :
- Antivirus. « Avoir le réflexe de se doter d’un antivirus pour tous ses appareils – travail comme vie privée -, c’est bien, a-t-il indiqué. Mais il ne faut surtout pas faire des recherches du type « antivirus gratuit », car on risque alors de tomber directement… sur un virus. »
- Mot de passe. « Il est bon d’avoir un ou des mots de passe pour le travail, et un ou des mots de passe différents pour les loisirs, a-t-il dit. Comme ça, si l’un est piraté ou compromis, l’autre ne l’est pas. »
- Wi-fi. « Le protocole de votre wi-fi à la maison est-il WPA2, ou mieux WPA3 ? a-t-il demandé. Vérifiez ça, car ça vous indiquera s’il est bien sécurisé, ou pas. Idem, demandez-vous quelle est la dernière fois que vous avez changé le mot de passe de votre wi-fi. Car mieux vaut qu’il le soit régulièrement. »
- Cellulaire. « On accède souvent aux courriels du travail par notre cellulaire. Or, celui-ci n’est souvent bloqué que par un code à quatre chiffres. Ce qui est ridicule comme sécurité. D’où la nécessité de le protéger avec un code à 8 chiffres – ce qui est un peu mieux -, ou encore par notre empreinte digitale », a-t-il conseillé, en ajoutant que « dans le même ordre d’idée, il est toujours bon de crypter nos communications avec nos collègues, à l’aide par exemple de l’app Signal ».
On le voit bien, chaque télétravailleur est un rouage crucial de la sécurité des données et du matériel informatique de l’entreprise. C’est à chacun de veiller au grain, mais pour que cela soit efficace, il convient d’être formé en ce sens. Inévitablement.
La bonne nouvelle, c’est que des programmes gratuits voient le jour çà et là depuis l’avènement de la pandémie. À l’image de ces deux initiatives :
Une trousse virtuelle pour les entreprises
CyberEco est une coalition de Desjardins, de la Banque Nationale, de Deloitte et du Groupe RHEA née en 2018, à laquelle se sont ajoutés IBM, Polytechnique de Montréal, l’Université de Sherbrooke, l’Université Concordia et l’Industrielle Alliance. Sa mission : sensibiliser employeurs comme employés à la cybersécurité. Elle est justement en train de mettre au point une trousse virtuelle destinée aux entreprises ayant à coeur d’apprendre les rudiments de la cybersécurité à leurs employés. Le premier programme concerne l’hameçonnage, il permet d’apprendre en ligne à éviter ce type de piège. Suivront trois autres programmes sur les mots de passe, la fraude à la personnification et le travail à distance.
Une aide technique pour 30 PME
La Ville de Montréal vient d’accorder une enveloppe de 39 000 $ à l’organisme de réinsertion professionnelle Insertech Angus afin que celui-ci puisse offrir à 30 PME un service de diagnostic complet en matière de cybersécurité. Le but est de permettre un meilleur déploiement du télétravail pour ces PME-là. À noter que celles-ci disposeront de surcroît de services d’accompagnement d’une durée de 20 heures.
« En cette période très difficile, bon nombre de PME font face à des enjeux de taille, notamment en ce qui a trait à la poursuite de leurs activités. D’où la décision de Montréal de soutenir différentes initiatives, comme celle d’Insertech Angus, visant à répondre aux besoins immédiats en soutien technique d’enteprises en difficulté, en complément à l’aide octroyée par d’autres paliers gouvernementaux », dit Luc Rabouin, responsable du développement économique et commercial et du design au comité exécutif de la Ville de Montréal.