Télétravail & Cybersécurité : Risques & Bonnes Pratiques

L’épidémie de la COVID-19 et ses confinements ont bouleversé le monde du travail. Les entreprises ont dû s’adapter à ce changement soudain, et la solution a été d’adopter massivement la pratique du télétravail.

Cependant, cette pratique n’est clairement pas sans risque pour l’entreprise, le télétravail engendrant plus facilement des incidents.

En effet, selon un sondage par Fortinet, 62% des entreprises interrogées ont signalé une fuite de données causée par la pratique du télétravail.

Découvrez dans cet article les risques & bonnes pratiques du télétravail et de la cybersécurité.

Le phénomène grandissant du Télétravail

Le Télétravail est devenu un véritable phénomène, tellement qu’aujourd’hui, fin 2023, de nombreuses personnes recherchent un poste avec au moins un jour de télétravail.

Selon le ministère français du Travail, en 2017, le pourcentage de télétravail en entreprise s’élevait à seulement 8%, ce chiffre est passé à 21% en 2021, et est aujourd’hui, en 2023, à 56%.

En France, la quasi-totalité des salariés du tertiaire souhaitent pratiquer le télétravail, au moins une fois par semaine.

Nous sommes donc ici sur un véritable nouveau phénomène qui a pris une très grosse ampleur et qui entraîne, par conséquent, des effets négatifs, dont celui de la sécurité informatique.

Le manque de préparation

Un des gros problèmes du télétravail étant que les entreprises ont dû se lancer très rapidement et précipitamment à cette pratique.

Mais peu d’entre elles n’étaient prêtes au bouleversement de 2020. En effet, selon Jean Pouly, fondateur du cabinet de conseil ECONUM :

« Dans une situation normale, l’intégration de cette pratique aurait peut-être pris 10 ou 15 ans.  Or la situation actuelle [ici la Covid] génère une intégration culturelle massive et soudaine et nous propulse vers ce nouveau monde du travail ».

Télétravail & Cybersécurité : Des risques de sécurité informatique accrus

Télétravail & Cybersécurité : quelques statistiques

En 2021, un sondage, réalisé par Thalès, a démontré que 82% des employeurs se disent inquiets pour la cybersécurité de leur société à cause du télétravail.

Selon un autre sondage réalisé cette fois par l’entreprise Ellisphere, en 2022, deux entreprises sur trois estiment que la pratique du télétravail engendre une augmentation des cybermenaces.  Cependant, seulement 43% des organisations ont sensibilisé plus de 75% de leurs employés aux cyber-risques.

Selon une étude réalisée par l’Institut Ponemon en 2022, près de 70% des entreprises interrogées ont indiqué que le risque de cyberattaques a augmenté avec le passage au télétravail.

Une autre enquête, menée par la Cybersecurity & Infrastructure Security Agency (CISA), a révélé que 50% des personnes en télétravail aux USA n’avaient reçu aucune formation en cybersécurité.

Avec ces statistiques, on voit très bien que :

• Le télétravail inquiète les employeurs, mais ces derniers doivent aujourd’hui composer avec des salariés de plus en plus exigeants et souhaitant faire du travail hybride.
• Les employés n’ont reçu que très peu, voire aucune, formation en sécurité informatique et cyber-risques.

Le problème du matériel

Qui dit télétravail, dit nécessité de travailler chez soi avec un matériel.

Et ici, deux écoles existent.

La première consistant à demander au salarié d’utiliser son propre matériel, son propre ordinateur par exemple, pour travailler.

Il va de soi que cette façon de travailler peut poser des problèmes : 

• Pour l’employé, cela veut dire ne pas séparer le matériel pour le loisir et celui pour travailler.
• Pour l’employeur, il y a des risques de sécurité informatique concernant les données stockées et émises.

La seconde est de prêter un ordinateur portable par exemple à l’employé. Ainsi, ce dernier ne se servira, théoriquement, de l’ordinateur que pour travailler, et utilisera le sien, le personnel, pour le loisir ou consulter ses mails persos, par exemple.

Mais, ceci est la pratique, et rien n’empêche les employés d’utiliser les ordinateurs professionnels prêtés à des fins personnelles.

Les risques & cybermenaces du Télétravail

En 2020, un rapport de Malwarebytes a démontré que 20 % des organisations ont été victimes d’une cyberattaque causée par un collaborateur en télétravail depuis le début de la pandémie.

Le Phishing

Durant la pandémie de la COVID-19, selon une étude de KnowBe4, une plateforme spécialisée dans la sécurité informatique, les attaques informatiques par phishing ont augmenté de plus de 600% sur le premier semestre de l’année 2020, les personnes ciblées sont les employés en télétravail.

Généralement, les attaques par hameçonnage, ou Phishing, sont des mails imitant une banque, une entreprise ou autre service, vous demandant de saisir des informations personnelles ou confidentielles.

Il est ainsi possible pour les hackers d’accéder à vos comptes personnels et professionnels, et par conséquent, d’infiltrer les réseaux de l’entreprise.

Le vol de mot de passe

Vous connaissez le mythe comme quoi les mots de passe les plus utilisés sont du style « motdepasse1234 ».

Eh bien, sachez que c’est réellement le cas, et les cyber-malfaiteurs se font plaisir en utilisant le Social Engineering et le Brute Force pour trouver et se connecter aux Systèmes d’Information de l’entreprise et dérober les données.

Le vol de données

Grâce au vol de mot de passe et au phishing, les cybercriminels s’introduisent dans les systèmes de l’entreprise et récupèrent un maximum d’informations.

Le but d’un vol de données est, soit de faire une demande de rançon contre divulgation des données, soit de vendre les données dans le Deep ou Dark Web aux plus offrants.

Le Ransomware

Si un collaborateur télécharge une pièce jointe corrompue via une attaque par hameçonnage, les conséquences peuvent être désastreuses.

En effet, le virus que contient la pièce jointe va chiffrer les documents de l’ordinateur, se répandre dans le réseau de l’entreprise et rendre le système ainsi que les données inaccessibles aux utilisateurs.

Et les hackers vont pouvoir alors demander une rançon.

Les bonnes pratiques pour allier Télétravail & Cybersécurité

Selon une enquête menée par l’IFOP, plus d’un tiers des salariés français n’ont pas reçu la moindre formation en cybersécurité.

Voici les bons gestes et bonnes pratiques qu’il faut mettre en place pour protéger son organisation aux cyber-risques du télétravail :

• Une sensibilisation globale des risques en cybersécurité pour les employés.
• Une campagne de sensibilisation aux attaques de phishing pour les employés, campagne réalisée par des professionnels en cybersécurité.
• La création de mots de passe impersonnels et distincts pour chaque application et chaque collaborateur.
• Ne pas prêter l’ordinateur professionnel, et ne pas insérer de périphériques ou clefs USB.
• Toujours vérifier le contenu des mails, l’expéditeur et les liens présents.
• La mise à jour fréquente des logiciels et systèmes.
• Créer un système d’authentification du télétravailleur lorsqu’il se connecte.
• L’utilisation stricte du matériel prêté par l’entreprise à des fins uniquement professionnels.
• L’installation d’anti-virus et de pares-feux protégeant l’ordinateur prêté.
• Les collaborateurs ne doivent se connecter qu’à des réseaux privés et non publiques.
• L’utilisation d’un logiciel de Cyber Threat Intelligence pour détecter les fuites de données.
• L’utilisation de divers logiciels de protection comme un contrôleur d’intégrité et un scanner de vulnérabilité.

Il convient de dire que le milieu du travail a été bouleversé depuis la période du Coronavirus, en favorisant la pratique du télétravail, ou tout du moins du travail hybride, ce qui est une très bonne chose, qui mérite de se développer.

Mais cela peut engendrer des risques cyber pour l’entreprise, c’est pour cela que nous recommandons de faire une classe de sensibilisation pour les employés.