Lorsqu’un nouvel employé est recruté, il rejoint une multitude d’applications RH, financières, de veille de la productivité ou encore nécessaires à la collaboration avec son équipe. En effet, une structure comptant entre 2000 et 4000 collaborateurs utilise en moyenne 204 applications. Il est possible que ces dernières lui soient déjà familières mais, dans de nombreux cas, il ne connaîtra pas encore ces outils. Le nouveau collaborateur va donc s’inscrire à de nouveaux services et recevoir de fait une grande quantité d’emails de confirmation de création de compte.
Un employé consciencieux se tournera sûrement vers un collègue pour lui demander si ces emails sont légitimes. A contrario, quelqu’un d’un peu moins soucieux, ou peu confiant, supposera que ces derniers font partie du processus d’intégration de l’entreprise et qu’ils ne présentent donc pas de danger. Ainsi, il est essentiel que les nouveaux arrivés soient accompagnés dans ces étapes d’enregistrement, afin de s’assurer que tout est clair, et qu’ils ne rejoignent que les outils souhaités. Les emails de confirmation d’inscription ne contiennent en effet que peu d’informations et peuvent parfois être déroutants.
Faciliter le processus de présentation des outils
Dans un environnement professionnel, le service informatique est ainsi tenu d’indiquer clairement aux nouveaux employés la liste des services cloud utilisés et les étapes à suivre afin de s’y inscrire. Cependant, de nombreuses équipes IT sont en sous-effectif et se retrouvent noyées sous les activités, négligeant alors cette étape de présentation des outils. Le processus d’inscription peut donc s’avérer fastidieux pour les nouveaux arrivants. Dans ces cas-là, les outils cloud access security broker (CASB) peuvent être une solution intéressante afin de surveiller les activités et signaler tout risque pris : les utilisateurs se connectent à des douzaines d’applications où sont stockées une variété de données professionnelles, voire personnelles ; mettre en place des processus permettant la protection de ces données est par conséquent indispensable.Par ailleurs, avant de signer toute collaboration, les entreprises devraient veiller à ce que les fournisseurs d’application cloud précisent les étapes à suivre depuis la création d’un compte jusqu’à sa confirmation. Souvent, les emails de confirmation ne contiennent qu’un simple logo inconnu et un bouton « cliquez ici » qui redirige l’utilisateur vers une page web exigeant uniquement une adresse électronique et un mot de passe. A titre d’exemple, les fournisseurs pourraient ajouter une simple phrase telle que « vous recevez cet email parce que votre collaborateur X vous a inscrit, vous êtes invité à confirmer cette démarche ».
Former les nouveaux collaborateurs
En outre, il est pertinent d’expliquer au nouveau collaborateur ce qui est attendu de lui. Une formation de base à la sécurité informatique devrait ainsi être dispensée dès le premier jour, avant que celui-ci n’ait accès aux systèmes informatiques et aux données de l’entreprise. Cette initiation doit lui apprendre les bonnes habitudes à adopter : éviter de saisir les identifiants sur toutes les pages d’inscription, ou encore ne pas utiliser ses identifiants professionnels pour accéder à des applications en ligne personnelles.D'un point de vue technologique, outre l’utilisation de l’authentification multifactorielle, les entreprises devraient adopter une protection constante pour lutter contre les emails de phishing, et qui soit aussi efficace pour le trafic web que pour les applications SaaS. Une main peu vigilante peut en effet permettre aux hackers d’infiltrer les systèmes et paralyser toute une entreprise. Or, le risque que les nouveaux utilisateurs inexpérimentés finissent par confirmer chaque demande entrante qu’ils reçoivent, y compris des demandes malveillantes, est bien réel. Cette menace est par ailleurs croissante depuis que les appareils professionnels sont utilisés à des fins personnelles.
Finalement, en mettant en place à la fois un processus d’intégration qui présente les règles de sécurité de l’entreprise, des formations aux bonnes pratiques de sécurité IT et une surveillance continue des systèmes, les entreprises réduisent leur risque de cyberattaque et pérennisent ainsi leur activité.
Par Paolo Passeri, Cyber Intelligence Specialist chez Netskope
