Avec le développement du télétravail, de nouveaux risques menacent les entreprises.

Le télétravail crée pour les entreprises une pression additionnelle sur la sécurité de leurs réseaux.

Les télétravailleurs sont devenus des cibles pour les pirates, pour cause, les points d’entrée au réseau de l’entreprise sont moins protégés au domicile des télétravailleurs.

Il est aujourd’hui possible d’anticiper nombreux des risques d’atteinte à la sécurité.

C’est pourquoi nous recommandons de :

  • rédiger des chartes de bonne pratique du télétravail applicables en interne et aussi pour vos partenaires
  • rédiger et négocier des contrats adaptés avec tous les prestataires impliqués dans la sécurité de l’entreprise, qu’il s’agisse des sociétés de conseils en sécurité, les prestataires Cloud, les éditeurs de solutions, ect…

Les nouveaux risques :

Les réseaux Wi-Fi domestiques, partagés par tous les membres de la famille, parfois même les voisins, les objets connectés personnels sont moins protégés que les réseaux d’entreprises.

Et la 5 G qui arrive, la domotique, les smart cities, les smart building, l’IA, ect…

Le changement comportemental :

  • plus de téléconférences, l’utilisation d’outil pas toujours sécurisés (souvenez vous de l’outil Zoom et ces failles de sécurité).
  • moins de vigilances : plus d’escroquerie au phishing : « les cybercriminels privilégient l’envoi massif de courriels frauduleux, faussement attribués à l’administration (service des Impôts, Assurance Maladie, Caisse d’allocations familiales), à une banque, à une société reconnue (opérateur téléphonique, opérateur d’énergie, site de e-commerce, etc.) ou encore l’envoi de messages électroniques prétendant provenir d’entreprises légitimes et comportant des informations sur le coronavirus. L’objectif est d’obtenir des informations sensibles, en tirant profit des sentiments de crainte et de panique éprouvés par la population durant une situation de crise sanitaire, qui incite plus d’utilisateurs que d’habitude à cliquer sur des pièces jointes ou des liens infectés. »

Une sensibilisation des télétravailleurs indispensable :

Il est indispensable de sensibiliser, de former, les télétravailleurs au risque Cyber et de mettre en place des bonnes pratiques, telles que :

  • chiffrage des données pour garantir leur confidentialité
  • sécurisation des device avec le renforcement de l’authentification
  • mise à jour régulière du système, du réseau et des applications pour empêcher les pirates d’exploiter des vulnérabilités connues
  • installation et mises à jour des logiciels de sécurité
  • mettre en place les reflexes pour éviter la perte ou le vol de son matériel informatique
  • création de plusieurs comptes utilisateurs (famille, professionnel, personnel, etc.) si les employés travaillent sur un ordinateur familial partagé par exemple,
  • connaitre les activités d’escroquerie en ligne pour augmenté la vigilance

Assurer la sécurisation des passerelles :

Pour limiter les risques d’atteinte aux données – confidentialité, intégrité – et aux applications critiques, il faut mettre en place une organisation, des pratiques et des outils adaptés, par exemple :

  • organiser la disponibilité des données sensibles et en limiter l’accès. Utiliser des outils automatisés d’analyse des appareils et des applications afin de détecter des pics anormaux de trafic ou des requêtes inhabituelles.
  • sécuriser la communication par l’utilisation d’outils tels que le VPN ou le Cloud. Un VPN (Virtual Private Network ou réseau privé virtuel) permet d’ouvrir un tunnel sécurisé entre le poste de travail et le réseau de l’entreprise, et donc de garder les données privées même lorsqu’elles sont partagées sur des réseaux publics.
  • assurer une stratégie de sauvegarde régulière des données critiques
  • protéger les données des employés en télétravail et sécuriser leurs appareils : mettre en place des systèmes d’authentification forts pour les identités des utilisateurs et  l’indentification des appareils à divers points de contrôle.

Anticiper et sécuriser juridiquement la mobilité et le télétravail :

L’entreprise doit sécuriser juridiquement la pratique du télétravail, qu’il soit autorisé à domicile ou plus largement.

En effet la sensibilisation et les actions de sécurisation tant matérielle, logicielle que comportementale diffère selon que le salarié travaille à son domicile ou n’importe où ailleurs hors des locaux de l’entreprise (hôtel, transports, cafés, locaux clients, partenaires, sous traitants, filiales…) .

Au-delà de la BYOD, les entreprises doivent adapter les contrats de travail, le règlement intérieur et surtout leur charte informatique.

Nous recommandons la rédaction d’une charte de bon usage du télétravail qui traitera de toutes ces nouveautés et anticipera les différentes hypothèses pour devenir un réel outil au service de la sécurité

Anticiper et sécuriser vos contrats avec vos prestataires :

On le sait, la sécurisation passe aussi et surtout par l’installation et le déploiement d’outils efficaces et aussi de services de professionnels de la sécurité informatique et réseaux.

Les entreprises doivent sécuriser leurs contrats d’achats de licences, de matériels, de services, leurs contrats Cloud, ect…

Intégrer les bonnes clauses adaptées à votre SI, votre organisation, celle de vos télétravailleurs est important, vos contraintes de sécurité ne sont pas les mêmes que celles de votre prestataire.

Nous recommandons d’intégrer :

  • une charte de bonne pratique du télétravail dans vos contrats d’achats de prestations IT, notamment les contrats de développements, d’intégration et de maintenance
  • un PRA aux contrats stratégiques tels que les contrats Cloud ou encore les contrats d’externalisation des services de sécurité.

 

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats, expert Contrats IT et négociations 

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que les projets cloud dans sa dimension multiple.

Nous avons également créé une formation spécifique pour les contrats cloud

Nous contacter

 

Article intéressant à lire ici

 

Nous contacter