Prévenir les fuites de données avec les travailleurs à distance

Malgré les nombreux avantages du recrutement de travailleurs à distance, le risque de menaces internes et de fuites de données liées au travail à distance augmente considérablement. Il s’agit d’un problème permanent même pour les experts dans le domaine des affaires, sans parler des propriétaires de startups qui s’aventurent dans le monde des affaires.

Titan Security Europe opère entièrement à distance depuis une décennie. En tant qu'experts dans le domaine du travail à distance, nous allons vous conseiller du point de vue de la cybersécurité et de la sécurité physique pour protéger votre entreprise contre les fuites de données lorsque vous travaillez avec des employés à distance.

Statistiques

Avant d’aborder ce que vous pouvez faire pour empêcher les fuites de données de vos travailleurs à distance, il est important de connaître les faits.

Voici quelques statistiques sur les menaces de cybersécurité liées au travail à distance, selon Wifi Talents :

• 75 % des professionnels de l'informatique déclarent que les entreprises sont plus vulnérables aux cybermenaces maintenant qu'elles sont passées au travail à distance.
• Plus de 55 % des professionnels de l'informatique pensent que les travailleurs à distance sont plus susceptibles que les travailleurs au bureau de violer les politiques de l'entreprise, ce qui entraîne un risque de fuite plus élevé.
• 95 % des failles de cybersécurité sont dues à une erreur humaine.
• 80 % des travailleurs à distance n’ont PAS de formation adéquate en cybersécurité.
• Les entreprises sont confrontées en moyenne à 22 menaces de sécurité par semaine dues aux travailleurs à distance.

Bien que ces statistiques indiquent un problème majeur avec les travailleurs à distance, ne laissez pas cela vous dissuader d'embaucher des travailleurs à distance pour votre startup. Les avantages l’emportent sur les risques, à condition que vous les gériez avec succès.

Comment lutter contre les problèmes

Lorsqu'il s'agit de travailleurs à distance, un ensemble spécifique de problèmes de sécurité peuvent survenir en ce qui concerne les données. Il existe des mesures qu’une entreprise et ses employés peuvent prendre pour lutter contre ces problèmes.

Matériel non sécurisé et vulnérable

Les employés utilisant des appareils personnels et non sécurisés pourraient entraîner des fuites de données. Ces appareils n'ont souvent pas le niveau de sécurité qu'un appareil d'entreprise aura, et le mélange de fichiers professionnels avec des fichiers personnels peut conduire à des fuites négligentes.

Que pouvez-vous faire?

• Fournissez aux employés un appareil d’entreprise sur lequel les processus ci-dessous sont installés. Si cela n’est pas possible, assurez-vous que les employés installent les éléments suivants sur les appareils sur lesquels ils travailleront :
  • Authentification multifacteur : système qui permet uniquement aux utilisateurs de se connecter à un appareil ou à un serveur en suivant plusieurs étapes. Par exemple, en plus d'un mot de passe, ils doivent envoyer un code à un autre appareil, utiliser leur empreinte digitale, répondre à une question secrète, etc. Des exemples de logiciels MFA incluent JumpCloud, ManageEngine, Cisco Secure et plus encore.
  • Sécurité des points de terminaison : pratique consistant à protéger tous les appareils connectés à un réseau, les plates-formes de protection des points de terminaison examinent tous les fichiers dès qu'ils entrent dans le réseau, permettant ainsi de détecter rapidement les logiciels malveillants et les menaces. Des exemples de sécurité des points finaux incluent Cisco Secure, WatchGuard, Avast Business Security et plus encore.
  • Logiciel de cryptage : les logiciels de cryptage de fichiers et de données installés sur les appareils utilisés pour le travail protègent toutes les données contre toute modification sans autorisation, vol ou compromission. Les logiciels de cryptage incluent Secure IT, Folder Lock et Kruptos 2 Professional.
• Configurez une politique de travail à distance qui stipule que seuls les appareils configurés avec les programmes ci-dessus peuvent être utilisés pour le travail.

Que peuvent faire les salariés ?

• Suivez la politique définie et travaillez uniquement sur les appareils fournis par l'entreprise.
• Dans la mesure du possible, n’utilisez pas les appareils de l’entreprise à des fins personnelles.

Réseaux non sécurisés et vulnérables

L’un des plus grands problèmes de sécurité pour le travail à distance concerne les réseaux non sécurisés et vulnérables. Même si un réseau personnel à domicile convient normalement, un réseau public et non sécurisé laisse les appareils extrêmement vulnérables.

Que pouvez-vous faire?

• En stockant les données sur un serveur plutôt que dans la base de données d'un appareil (en particulier un serveur avec MFA ou des données cryptées), vous pouvez garantir que les données sensibles seront protégées même si un appareil est connecté à un réseau non sécurisé.
• Les données sont conservées séparément de l'appareil, de sorte que même si l'appareil est compromis via un réseau non sécurisé, les données restent en sécurité.

Que peuvent faire les salariés ?

• Évitez les réseaux publics lorsque cela est possible.
• Utilisez des points d'accès personnels ou travaillez hors ligne si vous êtes en public.
• Utilisez des VPN pour sécuriser la connexion.

Moins de surveillance sur la gestion des données

Lorsque les employés travaillent tous à domicile, il est beaucoup plus difficile pour les équipes de sécurité de surveiller le traitement des données. Il y a davantage d’appareils, de serveurs et de réseaux dont ils doivent se préoccuper. Il existe également un risque que les employés voient leur ordinateur portable ouvert en public et que les membres du public voient des données sensibles.

Que pouvez-vous faire?

• Si vos données sont toutes conservées sur un serveur et ne peuvent pas être téléchargées ou partagées, la gestion des données deviendra bien moins risquée.
• Si les données doivent être téléchargées pour être utilisées, imposez dans votre politique que dès que les employés ont fini avec les données qu'ils utilisent, ils les téléchargent à nouveau dans le cloud et les suppriment de leur appareil.
• Implémentez un logiciel de suivi dans les appareils fournis par l'entreprise pour que les travailleurs à distance puissent les utiliser. Cela permettra aux équipes de sécurité de suivre le traitement des données sur des appareils individuels.
• Assurez-vous que les détails de chaque appareil accédant à vos systèmes sont verrouillés, afin que votre équipe de sécurité puisse utiliser le logiciel nécessaire pour effacer sur les appareils tous les mots de passe, données ou documents de l'entreprise au moment où ils sont signalés comme perdus ou volés.

Que peuvent faire les salariés ?

• Signalez un appareil perdu dès que cela se produit.
• Évitez de travailler en public lorsque cela est possible. Dans le cas contraire, assurez-vous que personne d’autre ne peut voir son écran.

Susceptibilité aux escroqueries par courrier électronique et au phishing

Les travailleurs à distance sont, comme tous les travailleurs, exposés au risque de phishing et d'escroqueries par courrier électronique. Être en dehors d'un environnement d'entreprise peut conduire à la négligence et à une perception modifiée, rendant les travailleurs à distance plus vulnérables. Les employés sont également moins en mesure de vérifier si un e-mail provient d'un collègue lorsqu'ils ne se trouvent pas dans la même pièce.

Que pouvez-vous faire?

• Faites circuler la conversation. Organisez des séminaires sur la manière de détecter une arnaque potentielle et sur les mesures à prendre si un employé pense être victime d'une arnaque.
• Tenez les employés au courant des histoires d’escroqueries par phishing.
• Surveillez les e-mails des employés – filtrez toutes les escroqueries potentielles.

Que peuvent faire les salariés ?

• Envoyez immédiatement tout e-mail qu'ils pensent être une arnaque à un supérieur.
• Évitez d’ouvrir des liens provenant de personnes qu’ils ne connaissent pas.
• Ne répondez aux e-mails de collègues et de clients connus que jusqu'à ce qu'un e-mail ait été examiné.
• Ayez les coordonnées non e-mail de tous les collègues, telles que les numéros de téléphone. Utilisez-les pour vérifier si un e-mail a été envoyé par un collègue ou non.

Appareils sans surveillance

Tout comme dans les bureaux, les appareils sans surveillance représentent un risque de sécurité énorme, mais c'est encore plus vrai avec le travail à distance, car n'importe qui, pas même les autres employés, peut accéder aux données contenues dans l'appareil.

Que pouvez-vous faire?

• Le mot de passe protège toutes les données de l'appareil.
  • MFA comme mentionné ci-dessus offre une couche de sécurité supplémentaire.
  • Assurez-vous que les données sont cryptées. Cela mélange les données dans un format illisible à moins qu'une clé numérique très spécifique ne soit utilisée. Cette clé numérique spécifique ne sera connue que des employés qui doivent avoir accès à ces données.
• Assurez-vous que la connexion – avec MFA – est nécessaire à chaque accès aux données, même si ces données n’ont été fermées que quelques instants auparavant.
• Les employés n'auront accès aux données spécifiques dont ils ont besoin qu'en disposant uniquement des mots de passe pour ces données. Les commerciaux, par exemple, n’ont pas besoin d’accéder aux informations sur les ressources humaines.

Que peuvent faire les salariés ?

• Protection par mot de passe – McAfee suggère que les mots de passe doivent inclure des lettres majuscules et minuscules, des caractères spéciaux et des chiffres pour garantir un mot de passe fort. Tous les appareils de travail doivent avoir des mots de passe uniques que les employés ne divulguent à personne d'autre.
  • MFA : les employés doivent disposer d'un appareil fiable auquel envoyer des codes MFA ou d'une question de sécurité personnelle à laquelle ils seuls connaîtront la réponse.
• Ne laissez jamais leurs appareils sans surveillance en public.
• Assurez-vous que les appareils sont verrouillés lorsqu’ils ne sont pas utilisés.

Conformité et réglementation des données

Les équipes de sécurité doivent s'assurer que les pratiques en matière de données sont conformes aux réglementations RGPD.

• Sans politique définie, les employés peuvent facilement enfreindre les réglementations RGPD en matière d'accès et de gestion des données.
• En limitant les données auxquelles les employés ont accès et en mettant en œuvre les mesures de sécurité décrites ci-dessus, il sera beaucoup plus facile de se conformer aux réglementations légales en matière de sécurité.

Jongler entre sécurité et confiance des employés

Il est impératif de vous assurer que les données de votre entreprise sont protégées contre la négligence, voire contre les fuites malveillantes et les attaques internes. Cependant, il est tout aussi important que vous vous assuriez que vos employés savent qu’on leur fait confiance.

Jongler entre sécurité et confiance des employés peut s’avérer délicat. Voici quelques trucs et astuces pour le gérer :

• Informez vos travailleurs. Dites à vos employés exactement quelles mesures de sécurité vous prenez et expliquez-leur pourquoi : il s’agit d’une couverture de sécurité pour protéger les données, pas d’une question de confiance.
• Donnez-leur les faits. Expliquez que la plupart des fuites de données proviennent d'erreurs innocentes et de négligence.
• Autoriser une certaine intimité . Suivez ce que vous devez suivre – bases de données, sites d’entreprise, communications professionnelles, etc. – mais ne suivez pas chaque mouvement effectué sur un appareil. Les employés méritent de ne pas avoir l’impression que chacun de leurs mouvements est surveillé.
• Faites circuler la conversation . Organisez des réunions virtuelles où vous discutez des fuites de données, des menaces et bien plus encore. Envoyez des histoires de fuites de données pour prouver ce qui est avancé. Amenez les employés à parler des fuites de données et de ce qu'ils peuvent faire pour les éviter.

Conclusion

Lorsqu’il s’agit de travailleurs à distance, il est impératif de considérer à la fois les avantages et les risques.

Ils sont efficaces et rentables pour les entreprises en démarrage, car ils vous permettent d'embaucher des travailleurs sans vous soucier de la location d'espaces de bureau. Les travailleurs à distance ont également tendance à être plus motivés et à apprécier l’équilibre entre vie professionnelle et vie privée du travail à distance.

Cependant, vous devez considérer et vous préparer aux fuites de sécurité potentielles. Il ne s’agit pas de faire confiance à vos employés – pas lorsque la grande majorité des fuites sont dues à des erreurs humaines. Il s’agit de prendre toutes les mesures possibles pour garantir que vos travailleurs à distance puissent accéder aux données dont ils ont besoin avec un minimum de risques de fuite.