Télétravail et cybersécurité : ce que disent les experts

Un grand nombre d'entreprises ont dû adopter une nouvelle manière de fonctionner à une vitesse sans précédent, afin de respecter les directives de la santé publique quant à la propagation de la COVID-19. Outre la gestion des ressources humaines, l'implantation du télétravail à grande échelle présente aussi des enjeux importants sur le plan de la cybersécurité. Vol d'identité ou de renseignements confidentiels, les pirates informatiques profitent de ce contexte de transition pour exploiter des failles dans les systèmes informatiques en multipliant les tentatives d'hameçonnage. Nous avons discuté avec Steeve Fillion, directeur et chef de la sécurité informationnelle au Fonds de solidarité FTQ, et Yan Bisson, directeur TI d'une firme de services numériques de Montréal, afin de vous aider à cerner les principaux enjeux et les pistes de solution à garder en tête.

Utiliser du matériel sécurisé

Antivirus, gestion des mots de passe, outils d'inventaire à distance… les ordinateurs des entreprises sont habituellement soumis aux mêmes configurations et protocoles de sécurité, qu'ils soient utilisés à l'intérieur ou à l'extérieur du bureau. Là où il faut faire attention, selon les experts, c'est lorsque les employés utilisent leurs équipements personnels. « Les hameçonneurs savent que les employés n'ont pas toujours les mêmes outils de sécurité sur leurs équipements personnels. S'ils reçoivent un courriel avec un virus, ils ne sont donc pas protégés par l'entreprise », explique Yan Bisson.

Il est ainsi dans l'intérêt de l'entreprise d'équiper ses employés avec du matériel sécurisé. « Au Fonds, nous sommes environ 800 personnes à avoir fait la transition vers le télétravail en deux ou trois semaines », dit Steeve Fillion. Certains employés n'avaient jamais fonctionné ainsi et étaient moyennement équipés, raconte-t-il. Son équipe s'est donc assurée que les équipements informatiques fournis aux employés par le Fonds étaient configurés correctement afin de maintenir le même niveau de sécurité qu'à l'interne. « Si les employés travaillent à partir de leur réseau personnel, grâce à nos configurations, leur poste de travail devient tout de même isolé. Si un virus était présent dans leur réseau personnel, il aurait peu de chance d'infecter les postes ou le réseau du Fonds », explique-t-il.

Établir une politique officielle de télétravail

Le télétravail est propice à des changements en ce qui concerne les procédures de travail et de collaboration entre collègues. Il peut arriver, par exemple, que des employés se transfèrent des documents à l'aide de connexions non sécurisées ou de plateformes non permises telles que les médias sociaux.

Comment s'assurer que les bonnes pratiques en matière de sécurité des données soient respectées dans ce cas? L'adoption d'une politique officielle de télétravail peut être une solution, explique Steeve Fillion. « Au Fonds, on a choisi d'encadrer cette transition avec des directives claires, telles que l'interdiction d'envoyer des fichiers de travail d'un ordinateur sécurisé à une boîte de courriel personnelle », dit-il.

Yan Bisson, directeur TI, nous rappelle qu'en plus de représenter un risque pour la protection des données, le non-respect des politiques de manipulation des données sensibles peut mettre les entreprises en rupture de contrat en vertu de l'entente de confidentialité établie avec leurs clients. Des rappels fréquents sur les meilleures pratiques à adopter et la distribution de guides pour accompagner et sensibiliser les employés peuvent être de bons moyens de prévenir des fuites d'informations confidentielles et de s'assurer que la politique de télétravail est claire pour tout le monde.

Respecter les procédures de sécurité habituelles

En temps de crise, certaines entreprises peuvent être appelées à mettre en place de nouveaux processus technologiques de manière hâtive, sans avoir les capacités de base nécessaires, ce qui peut leur causer préjudice. Selon les deux experts, il est ainsi très important de prendre le temps de bien réfléchir à la configuration des systèmes et à la sécurisation des données afin d'éviter les brèches de sécurité. « Au Fonds, on s'est assuré que toutes nos données sont chiffrées, en cas de perte d'équipement, et que chaque ordinateur est joignable à distance par l'équipe de TI afin que nous puissions maintenir nos processus, même en télétravail », dit Steeve Fillion.

Selon le directeur et chef de la sécurité informationnelle du Fonds, il ne faut toutefois pas céder à la panique. « Chez nous, la transition a duré trois semaines. On s'y est pris de manière progressive, en envoyant les gens en télétravail par groupes ». Tout est une question d'organisation et de prudence, afin de poser des actions réfléchies qui ne présentent aucun risque pour l'organisation.

Savoir demander de l'aide

Les besoins en sécurité informatique peuvent varier d'une entreprise à l'autre et il se peut que vous ayez besoin de faire appel à des experts. « Si vous n'avez pas les connaissances à l'interne, il est important que vous soyez bien accompagnés », explique Yan Bisson. Assurez-vous de faire affaire avec un partenaire technologique de choix, afin de protéger vos données et celles de vos clients de manière professionnelle, conseille-t-il.

Steeve Fillion est du même avis, mais il fait appel à la prudence. De nombreux fournisseurs de service peuvent en effet profiter de l'incertitude causée par la crise actuelle pour vendre des solutions coûteuses qui ne sont pas toujours adaptées à vos besoins. « Il faut analyser les offres de service des firmes et comprendre dans quoi on s'embarque », dit-il. Il est préférable selon lui de faire appel à des fournisseurs de confiance qui connaissent votre entreprise et vos besoins et qui sont ainsi mieux placés pour vous conseiller.

La comparaison avec d'autres entreprises de votre secteur d'activité peut aussi être une bonne manière d'évaluer l'efficacité de vos processus à l'interne et de vous entraider en partageant vos meilleures pratiques.

La situation actuelle changera certainement la façon dont plusieurs travailleront à l'avenir. Certaines entreprises ont été initiées au télétravail et pourraient y être plus favorables dans le futur. D'autres, plus familières avec le concept, pourraient quant à elles adopter progressivement un mode de travail hybride. Peu importe votre situation, cette pratique doit toutefois être instaurée avec prudence, afin de garder un haut niveau de sécurité et accompagner vos employés de la meilleure façon qui soit. Assurez-vous également d'être réactif et flexible afin d'ajuster vos processus en fonction de l'évolution de vos besoins et des risques de cybermenaces.