5 mesures pour sécuriser une approche hybride du travail
Les entreprises sont désormais confrontées aux défis de sécurité induits par une approche hybride du travail, entre les collaborateurs qui reviennent au bureau et ceux qui restent chez eux.
Dans les pays où les effets de la pandémie de COVID-19 commencent à s’estomper, l’organisation hybride du travail est en passe de devenir le principal modèle opérationnel de nombreuses organisations. Dès lors, sa mise en place sécurisée est devenue une priorité absolue. Examinons cinq mesures à prendre pour vous assurer la sécurité de son système d’information lorsque les collaborateurs reviennent au bureau.
1. Évaluer les solutions palliatives en matière de conformité et de sécurité
De nombreux RSSI ont pris des mesures radicales lorsque les employés sont soudainement devenus distants. Certaines décisions étaient probablement fondées sur l’opportunité, et plus d’un an après, l’adoption des outils déployés dans ce cadre peut avoir été considérablement étendue. Aujourd’hui, ces plateformes – notamment de messagerie, de téléconférence, de collaboration, de support à distance et d’entreposage de données – doivent être évaluées au regard de la conformité, de la confidentialité des données et des principes de sécurité que sont la confidentialité, l’intégrité et la disponibilité.
2. Garder la sensibilisation à la sécurité en vue à tout moment
Lorsque les employés étaient principalement basés au bureau, il était possible de leur rappeler constamment l’importance de la sécurité au moyen de panneaux, d’avis et d’autres formes de communication visuelle sur le lieu de travail. Pour garantir une organisation hybride du travail sûre, ces rappels doivent être transmis, virtuellement, au domicile des collaborateurs. Par exemple, les entreprises pourraient utiliser la gamification pour renforcer la sensibilisation à la sécurité et la formation aux bonnes pratiques.
3. Étendre le périmètre de risque
Étant donné que de nombreux employés choisissent de travailler à domicile en permanence ou de ne se rendre au bureau qu’occasionnellement, le domicile de l’employé doit faire partie du périmètre de risque de l’organisation. Il est essentiel d’étendre une politique de confiance zéro aux appareils domestiques – comme les haut-parleurs intelligents, les caméras, les appareils de fitness et les téléviseurs connectés. Envisagez l’installation d’écrans verts pour empêcher les personnes extérieures de voir le domicile d’un employé si celui-ci fait une présentation lors d’une conférence virtuelle. Aidez vos collaborateurs à séparer leurs réseaux de sorte que les appareils domestiques se trouvent dans un sous-réseau distinct de celui de leurs ordinateurs portables professionnels. Veillez à traiter le domicile de l’employé comme une extension du réseau de l’entreprise.
4. Établir des politiques uniformes pour les employés à domicile et au travail
Avec une organisation hybride du travail, le périmètre de sécurité physique n’existe plus. Un collaborateur sur site utilisant le réseau de l’entreprise doit être traité avec la même logique de confiance zéro que l’employé travaillant depuis une résidence en location. Cela signifie que le VPN, s’il est déployé, doit toujours être utilisé, quel que soit le lieu. L’authentification à facteurs multiples est également indispensable. Surveillez constamment les caractéristiques des appareils et les habitudes de consommation des utilisateurs afin d’établir une politique cohérente régissant les alertes et les réponses.
5. Sauvegarder, sauvegarder encore et tester
Assurez-vous que les données générées par les télétravailleurs et sur site sont sauvegardées et que les sauvegardes sont régulièrement testées. Cela inclut les données résidant sur les ordinateurs portables des collaborateurs, ainsi que les données stockées dans le cloud. Alors que le nombre des attaques avec ransomware ne cesse d’augmenter, il est essentiel de garantir la continuité des activités. Si votre entreprise a les moyens financiers de le faire, stockez les données primaires et de sauvegarde dans des environnements cloud différents.