Getty Images
Hygiène de cybersécurité : les musts de 2020
L'hygiène de cybersécurité dans l'entreprise doit être une responsabilité partagée entre employés et employeur. Suivez ces étapes pour que les deux parties fassent leur travail.
L'hygiène en matière de cybersécurité a toujours été une composante essentielle de tout programme de sécurité informatique. Tout comme le lavage des mains et le brossage des dents sont importants pour l'hygiène personnelle, l’application des correctifs logiciels et la gestion des mots de passe sont importants pour l'hygiène de cybersécurité – et essentiels pour prévenir la perte de données, les brèches ou le vol d'identité.
De nombreuses mesures d'hygiène de cybersécurité sont bien connues, mais la pandémie de Sras-CoV-2 a provoqué des changements spectaculaires dans l’organisation du travail, et mis en évidence la nécessité de faire entrer l'hygiène de cybersécurité dans le XXIe siècle.
Maintenir la sécurité des actifs de l'entreprise dans le contexte de l'extension récente des frontières de l'entreprise au domicile de chaque employé, combinée à l'explosion de l'utilisation du cloud, s'est avéré difficile pour les équipes de sécurité.
Il est toutefois important de relever que la sécurité de l'entreprise, celle du cloud et celle des employés distants ne s'excluent pas mutuellement, mais s'imbriquent dans un environnement de travail hybride dont l'avenir exige un esprit de responsabilité partagée en matière de sécurité.
Les pratiques de responsabilité partagée suivantes doivent être intégrées dans toute liste de contrôle d'hygiène de cybersécurité, car elles permettront de sensibiliser et de sécuriser les employés et, par conséquent, de sécuriser l’entreprise.
La sécurité, à la maison
Aujourd'hui, presque toutes les organisations doivent de tenir compte de l’explosion de frontière de l'entreprise… et son extension virtuelle au foyer de chaque employé. Pour y faire face, dans ce nouveau cadre de responsabilité partagée, les meilleures pratiques suivantes doivent être respectées :
- Séparation des réseaux domestiques. Les équipes de sécurité doivent apprendre aux utilisateurs – en des termes simples – à construire des sous-réseaux avec des règles de sécurité. La tâche ne sera probablement pas mince pour les administrateurs car il faudra prendre en compte la diversité de routeurs et de pare-feu au domicile des employés.
- Patcher, patcher, patcher. Les ordinateurs portables et les appareils fournis par les entreprises devraient toujours être enrôlés dans le MDM d’entreprise ou équipés d'un agent permettant leur administration – et celle de l’application des correctifs – à distance. Toutefois, comme de plus en plus de travailleurs utilisent leurs propres appareils à des fins professionnelles, il leur incombe de faire leur part. Il est essentiel d'enseigner aux employés l'importance des correctifs et de leur envoyer des rappels. A défaut, il est recommandé d'activer les mises à jour automatiques sur tous les appareils.
- Mots de passe, biométrie, reconnaissance faciale. L'activation des fonctions de sécurité de base peut permettre d'éviter toute usurpation d'identité accidentelle sur un appareil.
- VPN partout. La plupart des entreprises disposent d'un VPN activé par défaut pour l'accès à leur réseau interne. Mais, même en l'absence de cela, les employés feraient bien d'installer un client VPN qui permet des connexions chiffrées pour renforcer la sécurité sur des points d’accès Wi-Fi publics ou des connexions domestiques mal sécurisées.
Proposer un simple point d’accès WiFi prêt à brancher embarquant un client VPN peut simplifier considérablement la mise en œuvre de ces recommandations : le point d’accès n’a qu’à être branché physiquement au modem routeur domestique ; les activités professionnelles ne doivent être conduites qu’à partir de ce réseau WiFi ; et celles-ci passent dès lors par le réseau de l’entreprise. L’expérience utilisateur en est simplifiée, et la sécurité, renforcée.
Cloud : les meilleures pratiques de sécurité
Le cloud est présent dans chaque foyer, personnellement, avec Netflix ou Alexa, et professionnellement, avec Microsoft 365 ou Salesforce. Le Cloud contribue à améliorer la productivité et l’accès aux ressources de l’entreprise hors de ses murs. Mais il présente des risques qu’il faut prendre en compte. Mais là, il faut appréhender la question selon deux angles : la sécurité des données, et celle des applications SaaS.
Les entreprises doivent préciser clairement ce qui peut être fait et ce qui ne doit pas l’être. Par exemple, une entreprise peut utiliser OneDrive pour le partage de documents, mais étant donné l'utilisation répandue de BYOD et du partage de périphériques que proposent Google Drive et Box, il est fort probable que ces services soient préférés par les employés.
Les administrateurs devraient reconnaître que la préférence des utilisateurs est essentielle, mais prendre position sur l'utilisation des applications en mode Cloud du point de vue de la sécurité et fournir une formation courte et éclairante sur la manière d'utiliser le Cloud pour le partage sécurisé des données :
- Ne pas partager de données d'identification.
- Chiffrer autant que possible.
- Etre attentif en donnant des droits d'accès à des documents et des dossiers partagés à des collègues, partenaires, etc.
- Révoquer et supprimer les autorisations sans attendre, dès qu’un partage n’est plus nécessaire ou qu’il n’est plus pertinent d’en laisser les droits à quelqu’un.
Les applications SaaS font partie de notre vie quotidienne. Une véritable hygiène du SaaS est nécessaire, tant au niveau personnel que professionnel :
- Attention à la pollinisation croisée des comptes. Tenez compte du nombre de comptes Google dont disposent les employés. Il est essentiel de s'assurer qu'ils utilisent le bon compte Google Drive – celui prévu pour le travail.
- Exercer son droit à la vie privée et à la confidentialité. Bien qu'ils ne soient pas une priorité pour la plupart des individus, ce sont des priorités pour les entreprises. Des réglementation récentes, telles que le RGPD et la loi californienne sur la protection de la vie privée des consommateurs, prévoient des droits spécifiques en la matière. Par exemple, il est essentiel de veiller à ce que les traces numériques soient effacées lorsque les applications SaaS ne sont plus utilisées ou de procéder à des examens périodiques des données collectées par les applications SaaS des entreprises. Ces tâches nécessitent une formation et des incitations innovantes, telles que la gamification, pour sensibiliser les employés.