Logo - Les Affaires
Logo - Les Affaires

Des «tracances» cybersécuritaires, c’est possible

Catherine Charron|Publié le 22 août 2022

Des «tracances» cybersécuritaires, c’est possible

Voici quelques conseils pour que votre escapade-travail ne tourne pas au cauchemar. (Photo: Kristin Wilson pour Unsplash)

RHéveil-matin est une rubrique quotidienne où l’on présente aux gestionnaires et à leurs employés des solutions inspirantes pour bien commencer leur journée. En sirotant votre breuvage préféré, découvrez des astuces inédites pour rendre vos 9@5 productifs et stimulants.


RHÉVEIL-MATIN. Tandis que l’été tire à sa fin, le blues des longues et chaudes journées vous fait peut-être déjà rêver à votre escapade à venir, voire à vos prochaines «tracances».

Or, l’escapade du globe-travailleur n’est pas toujours synonyme de détente, du moins pour l’organisation qui permet à son employé de s’évader, surtout en matière de cybersécurité.

Après tout, doit-on le rappeler, la hausse du risque engendré par les «tracances» est bien plus grande que celle observée lorsque les employés ont troqué leur costard pour le vêtement mou au printemps 2020.

Cela ne signifie pas pour autant que l’un est incompatible avec l’autre, assure Alexandre Blanc, chef de la sécurité de l’information à VARS, une division de Raymond Chabot Grant Thornton, surtout si le «tracancier» est bien encadré avant le décollage.

 

Les données sensibles

L’employeur devra d’abord s’attarder aux types de données dont son salarié aura besoin pour accomplir ses tâches.

Selon la législation en place dans son lieu de travail temporaire, certaines informations pourtant utilisées en toute légalité au Québec ne le seraient pas du tout ailleurs dans le monde. «Il faut s’assurer que le pays cible soit compatible avec les activités de l’entreprise. Le règlement général sur la protection des données (RGPD) en Europe est un bon exemple», souligne l’expert. 

Il n’y a pas que les données militaires, soumises à des contraintes géographiques, qui pourraient empêcher un employé de bosser de l’étranger: certaines ententes avec des clients stipulent que les informations les concernant ne peuvent être hébergées à l’extérieur du pays.

Une analyse de risque permettra d’identifier les stratégies de cybersécurité adéquates afin de respecter ses impératifs, assure Alexandre Blanc. La modification du contrat pourrait toutefois être requise dans certains cas, prévient-il.

Le recours à des ordinateurs portables spécialement configurés est possible. Ces appareils souvent cryptés ne peuvent être par exemple utilisés pour stocker des renseignements confidentiels. Une politique peut aussi stipuler que toutes les informations seront effacées quotidiennement de sa mémoire.

L’employé peut avoir recours à une infrastructure de poste de travail virtuel (VDI) lui permettant de se connecter à une machine qui demeurera au Québec. Son organisation pourrait adopter des mesures de prévention de la perte de données (Data loss prevention), lui rendant automatiquement inaccessibles certains renseignements.

«Ainsi, si l’appareil est perdu, les conséquences seront moins grandes. […] Les contraintes techniques vont répondre au niveau de risque, à la fois en fonction du lieu où on se trouve, et la sensibilité des données».

Certes, isolés à distance, ces employés ont plus de chance d’être victimes d’hameçonnage, notamment lorsqu’ils entrent en contact avec le «système de soutien informatique». C’est pourquoi Alexandre Blanc martèle l’importance de les former avant leur départ, afin qu’ils développent des réflexes propres à leur nouvel environnement: «on peut faire face à des menaces contre lesquelles nos mécanismes de défense ne sont pas déclenchés».

 

En rafale

S’assurer que le «tracancier» suive une formation de cybersécurité adaptée à son nouveau contexte avant son départ, que ce soit des contraintes supplémentaires, une meilleure discipline, ou une façon de communiquer avec l’entreprise.

Revoir la gestion des processus et la documentation des procédures de l’organisation qui concernent la manière d’accéder aux systèmes ou aux fichiers depuis l’étranger.

Ajuster les technologies déployées, comme de modifier les contrôles de sécurité qui prend en compte le fuseau horaire ou la localisation de l’employé, afin qu’une connexion en pleine nuit ne déclenche pas le système d’alarme.

Sécuriser l’accès aux appareils, par exemple en prohibant l’utilisation de matériel qui n’est pas fourni par l’entreprise, pour se protéger notamment d’une surveillance moins accrue du travailleur de son ordinateur portable.

Recourir à un agent de sécurité d’accès au nuage (cloud access security brocker), qui contrôle l’accès selon plusieurs critères, et à une prévention de la perte de données, ce qui permettra de détecter si des informations sensibles sont déplacées là où elles ne devraient pas.

La dernière ligne de défense, croit Alexandre Blanc, ce sont les détections et réponses étendues (XDR), qui permettent de centraliser la détection de comportements malveillants dans différentes plateformes, comme le nuage ou le réseau.

 

Pour ne plus rater ce rendez-vous, recevez votre RHéveil-matin dans votre boîte de courriels!