Télétravail : sécuriser sans paralyser
Par Bertrand Lemaire | Le | Digital workplace
A l’occasion de la réunion du CPI-B2B du 19 octobre 2022, les participants ont pu rappeler les bonnes pratiques sur la sécurisation du télétravail.
La crise sanitaire Covid-19 a généralisé une pratique jadis rare voire marginale : le télétravail. Sa définition est assez large : il s’agit, selon les participants de la réunion « Sécurité et télétravail » du CPI-B2B (Club de la Presse Informatique B2B) du 19 octobre 2022, de toute forme de travail à distance avec un accès aux applications, aux données, etc. du système d’information de l’entreprise. Le télétravail n’est pas nécessairement à domicile : il peut être pratiqué en déplacement, en clientèle… Les utilisateurs, c’est à dire les collaborateurs en télétravail, attendent une expérience similaire à celle qu’ils rencontrent au bureau : l’usage du SI doit être simple, sécurisée, sûre, complète (tous les applicatifs, toutes les données), efficace (notamment rapide). Même une fois la crise sanitaire pour ainsi dire terminée, la généralisation du télétravail a entraîné une tendance lourde dans l’évolution des pratiques professionnelles : de plus en plus, les collaborateurs ne souhaitent venir au bureau que pour se socialiser, collaborer physiquement avec des collègues. Mais disposer d’un accès plein au SI à partir de n’importe n’est pas sans poser de questions, notamment en matière de cybersécurité.
On ne doit plus considérer que l’on télétravaille mais juste que l’on travaille, le lieu important peu.
« On ne doit plus considérer que l’on télétravaille mais juste que l’on travaille, le lieu important peu » a ainsi martelé Stéphane Brovadan, responsable avant-vente chez Bitdefender France. Pour Benoit Meulin, consultant cybersécurité chez WithSecure France, « ceux qui se sont préparés avant la crise sont évidemment dans une situation très différente de ceux qui ont dû s’adapter en urgence. Dans beaucoup de cas, cette urgence a amené à ouvrir toutes les vannes et à refermer les robinets au fur et à mesure. » La continuité d’activité était en effet plus importante que la cybersécurité. Bien sûr, la plupart des entreprises ont (re)mis de l’ordre en adoptant une approche de type « zero trust ». Parfois, il y a quelques excès, par exemple quand, au très insuffisant couple identifiant/mot de passe, on ajoute non pas un mais de multiples autres facteurs d’identification (dongle (clé physique), SMS, application mobile…).
Ne pas oublier la praticité
Or cette multiplication des dispositifs est non seulement nuisible à l’expérience collaborateurs mais constitue aussi une lourdeur procédurale pour l’entreprise. C’est d’autant plus vrai que les entreprises recourent de plus en plus à des indépendants ou à des collaborateurs temporaires. Si l’entrée en fonction et la création des droits nécessaires au travail (onboarding) sont généralement gérées, ce n’est pas toujours le cas des fins de fonction et donc de la suppression des droits accordés (offboarding). Des accès inappropriés peuvent donc demeurer, constituant autant de failles. Et tous les chiffrements du monde, que la clé soit la propriété d’un prestataire spécifique, de l’éditeur du service ou de l’entreprise, n’empêcheront alors pas quelqu’un d’utiliser ces accès obsolètes s’il en possède les clés toujours valides.
Il faut tout monitorer et contrôler !
Dans le cadre de l’approche « zero trust », il faut donc, bien sûr, veiller à valider les identités et pas se contenter de constater que la personne s’est correctement identifiée. Et c’est là, entre autres choses, le rôle de l’IA via l’analyse comportementale. Le « syndrome superman » désigne le fait qu’un individu se connecte dans un pays puis, quelques minutes plus tard, dans un autre pays, preuve d’une usurpation d’identité. Il faut vérifier aussi que les actions de chaque personne sont conformes à leurs rôles et leurs habitudes. « Il faut tout monitorer et contrôler » a insisté Benoit Meulin, consultant cybersécurité chez WithSecure France. Mais, à l’inverse, le vol ou la perte d’un dongle ou d’un smartphone ne doivent pas entraîner une impossibilité longue de travailler. Autrement dit : le cas doit être prévu et une procédure avoir été créée pour le traiter. Un autre cas à anticiper est celui du déplacement imprévu : un avion de retour de vacances qui ne part pas et c’est du télétravail depuis l’étranger… si le SI accepte la connexion.
Ne pas être l’esclave du télétravail et de ses outils
Cependant, si le télétravail relève souvent d’un désir et d’un choix, il convient de se méfier de certaines dérives et notamment de l’abus de certains outils. Même François Familiari, ingénieur avant-ventes chez Zoom France, a indiqué : « Zoom n’a plus de bureaux physiques en France mais nous veillons à ne pas être en vidéoconférence en permanence, du matin au soir. Il faut savoir ne pas organiser une réunion inutile dont l’objet peut être traité par un simple mail. Il faut savoir préférer un appel téléphonique en marchant. » Bruno Buffenoir, directeur général chez Nutanix France, a confirmé : « oui, le téléphone peut être meilleur qu’une application de vidéoconférence. »
De gauche à droite, sur la photographie :
- Bruno Buffenoir, directeur général chez Nutanix France ;
- François Familiari, ingénieur avant-ventes chez Zoom France ;
- José Diz (animateur) ;
- Erwan Montaux, directeur commercial Entreprises, secteur public et Cloud Service Providers chez Intel ;
- Benoit Meulin, consultant cybersécurité chez WithSecure France ;
- Stéphane Brovadan, responsable avant-vente chez Bitdefender France.