Les temps de crise et d’incertitudes constituent des terrains de prédilection pour les cybercriminels, qui essayent de profiter du désarroi et de la perte des repères habituels. Voici quelques conseils aux managers pour mieux assurer la sécurité des actifs de l’entreprise.
Le télétravail est le meilleur moyen d’enrayer la propagation du covid-19, de protéger les employés et les personnes les plus vulnérables. Alors que des millions de télétravailleurs s’apprêtent à œuvrer de chez eux, les cybercriminels et les officines gouvernementales de cyberespionnage entendent bien profiter des failles que leur dévoile la situation chaotique actuelle. D’ailleurs, les éditeurs et fabricants de produits de sécurité ont noté une augmentation vertigineuse du nombre de sites piégés sur le thème du Covid-19 et des campagnes d’ingénierie sociale en cours.
De leur côté, les agences gouvernementales ont lancé de vastes campagnes de sensibilisation aux risques cyber du télétravail. Sachant que beaucoup de télétravailleurs utilisent leur matériel domestique pour accéder aux ressources de l’entreprise, l’ANSSI a publié une série de documents sur les bonnes pratiques. De son côté, le site de veille sécuritaire gouvernemental (Cybermalveillance.gouv.fr) publie une série de conseils à mettre en œuvre pour renforcer les mesures de sécurité.
Conseils et bonnes pratiques à l’usage des managers
Pour les entreprises, le changement de paradigme dans le mode de travail des employés est le moment propice pour entreprendre une série d’initiatives à différents niveaux pour assurer les meilleures conditions de sécurité possible et se préparer au mieux pour traiter d’éventuelles crises.
1Pas de précipitation
Dans des situations d’urgence, il est souvent néfaste de confondre vitesse et précipitation. Sachez que des milliers de cyberprédateurs n’attendent que le faux pas pour bondir sur leurs proies. Il vaut mieux accepter de perdre quelques jours à mettre au point les outils et les procédures de sécurité adéquates, que d’avoir à courir après le temps pour colmater une brèche ou récupérer ses données odieusement chiffrées.
2Impliquez les salariés, communiquez
La communication et la sensibilisation sur le comportement à adopter sont les premiers remparts contre les comportements à risque. Il s’agit non seulement de rappeler les règles de sécurité, mais aussi de ne pas laisser le salarié livré à lui-même, et surtout d’éviter qu’il prenne des initiatives personnelles pour sécuriser son propre matériel. Beaucoup de produits de sécurité gratuits sont en fait des malwares insidieux. Certaines entreprises de la Tech mettent gracieusement à disposition des outils sécurisés pour les accès distants. N’hésitez pas à faire appel à elles, mais assurez-vous d’abord que c’est bien une institution légitime et reconnue pour cela.
Si l’entreprise a mis en place des procédures d’urgence, c’est le moment d’en rappeler les étapes et la conduite à suivre, et les personnes à contacter. Dans le cas où l’entreprise a mis en place des procédures spécifiques au télétravail, c’est encore mieux. Celles-ci seront mieux adaptées à la situation à condition que les employés sachent ce qu’ils doivent faire et qui contacter en cas de sinistre.
3Revisitez vos politiques de sécurité et mettez-les à jour
Beaucoup d’entreprises mettent en place des politiques de sécurité et des stratégies de réponse aux cyberattaques. C’est le moment de les repasser en revue pour déterminer si elles répondent aux exigences du moment. La mise en place ou le renforcement de la politique BYOD sont des impératifs dans la situation actuelle. Les entreprises qui n’ont ni l’un ni l’autre doivent mettre en place quelques règles pour sécuriser les accès distants aux systèmes d’information de l’entreprise.
4Revoyez vos plans de gestion de crise
Dans le meilleur des cas, l’entreprise dispose de plans de gestion de crise en cas de violation du système d’information. Mais souvent, ces plans n’intègrent pas le télétravail ou ne le prévoient pas à une grande échelle, touchant la plupart sinon tous les employés. Comme indiqué dans le conseil n° 2, les salariés doivent être tenus au courant des procédures à suivre, et ce d’autant plus qu’elles risquent d’être modifiées ou renforcées à la suite de leur révision. Assurez-vous de pouvoir adapter ces plans en fonction de l’évolution de la situation et prévoyez des procédures d’informations en cas de modifications, pour que tous sachent ce qu’ils doivent faire.
Sources : diverses