+1 512-347-9300

Conseils de sécurité de la main-d'œuvre distribuée

L'adoption du cloud computing et des applications SaaS a explosé ces dernières années et a permis aux entreprises de fonctionner efficacement avec une main-d'œuvre distribuée. En réalité, près des trois quarts des entreprises gèrent la quasi-totalité de leurs opérations dans le cloud. Ces organisations sont impatientes de tirer parti de la vitesse, de l'évolutivité et de la flexibilité que l'infrastructure basée sur le cloud peut offrir à leurs équipes mondiales. Mais à mesure que le cloud computing gagne en popularité et transforme la manière dont les entreprises collectent, utilisent et partagent les données, il devient également une cible attrayante pour les cybercriminels. En déplaçant les données hors des locaux d'un bureau physique unique et à travers un réseau mondial d'appareils et de points d'accès, la gestion et la sécurité des actifs sont devenues un défi majeur pour les entreprises. Dans un enquête Selon la société de sécurité Wi-Fi iPass, 57 % des DSI ont déclaré soupçonner que leurs employés mobiles avaient été piratés ou étaient à l'origine de problèmes de sécurité. Les entreprises mondiales dont la main-d'œuvre est dispersée géographiquement doivent prendre la sécurité des données au sérieux et mettre en œuvre un plan de sécurité complet pour protéger leurs employés et les données sensibles de l'entreprise.

Les 5 principaux défis et solutions de sécurité pour les équipes distribuées

1. Conformité au RGPD et aux autres lois sur la protection des données

Le Règlement général sur la protection des données (GDPR) est la loi européenne sur la confidentialité et la sécurité des données qui est entrée en vigueur le 25 mai 2018. Cette loi est rapidement devenue une priorité majeure pour toute entreprise qui fait des affaires en Europe, a des clients européens ou emploie du personnel ou des indépendants européens. UN étude par Apricorn a constaté que 30 % des entreprises tenues de se conformer au RGPD estiment que leurs télétravailleurs européens les rendent non conformes. De plus, les entreprises ayant des activités en Amérique du Nord doivent se conformer aux exigences des États-Unis Can-Spam loi et Législation anti-pourriel du Canada. Le respect de ces réglementations reste un défi majeur pour les entreprises dont la main-d'œuvre est dispersée. De nombreux employés distants utilisent leur messagerie personnelle ou leur réseau Wi-Fi public pour envoyer des documents liés au travail. Cela pose d'énormes risques de sécurité des données pour les entreprises. Les hackers tirent parti du RGPD et d'autres lois sur la protection des données pour extorquer aux entreprises non conformes de payer une rançon considérable au lieu de faire face à des amendes gouvernementales. Une étude de Sophos, une société de logiciels et de matériel de sécurité, a révélé que près de la moitié des directeurs informatiques britanniques seraient "certainement" disposés à payer une rançon aux pirates pour éviter de signaler une violation de données et de risquer une amende en vertu des lois européennes sur la protection des données.

Solution : mettre en œuvre des politiques et des procédures de sécurité à l'échelle de l'entreprise

Pour rester conforme aux lois sur la protection des données, clairement définies, documenter et éduquer les employés sur les politiques de sécurité concernant la façon de gérer les données d'entreprise à tout moment. Cela comprend la spécification par écrit de ce que les employés peuvent et ne peuvent pas faire avec les appareils, informations et documents liés au travail. Assurez-vous que toutes les données sont cryptées et définissez des autorisations sur qui peut accéder aux données sensibles de l'entreprise. Enfin, ayez des politiques de travail à distance claires sur la façon dont les employés doivent se connecter au réseau de l'entreprise ainsi que des politiques Wi-Fi domestiques et publiques.

2. Suivi et gestion des actifs dans le cloud

Les grandes entreprises dotées d'équipes réparties sont souvent des entreprises technologiques dotées d'actifs informatiques tels que des logiciels, des données et d'autres informations commerciales pertinentes. La plupart de ces données inestimables sont stockées et accessibles via le cloud. « Le cloud » fait référence aux serveurs accessibles sur Internet, ainsi qu'aux logiciels et aux bases de données qui s'exécutent sur ces serveurs. Les secrets commerciaux, les rapports confidentiels, les informations sur les employés et les clients et même les supports visuels tels que les logos et les illustrations de campagne sont toutes des informations propriétaires sensibles qui sont stockées dans le cloud et doivent être protégées contre toutes sortes de menaces externes. Une petite fuite peut perturber ou arrêter les opérations d'une entreprise. Pire encore, une violation majeure de la sécurité ou une perte de données peut complètement fermer une entreprise. Une étude ont constaté que 93 % des entreprises ayant perdu leurs données pendant 10 jours ou plus ont déposé leur bilan dans l'année et 50 % ont déposé leur bilan immédiatement.

Solution : utiliser des outils de gestion et de sécurité dans le cloud

Afin de sécuriser les données de votre entreprise sans interférer avec le flux de travail et la productivité des employés, utilisez une solution de gestion informatique comme Suite de gestion cloud Syxsense. Cela donne aux employés la possibilité d'utiliser leurs appareils de travail à distance en toute sécurité. Pour l'informatique, Syxsense combine la gestion des terminaux avec des services de surveillance et de sécurité des terminaux en temps réel, prédictifs et proactifs. Pour une protection supplémentaire, utilisez des outils de surveillance de sécurité supplémentaires tels que le géorepérage, surveillance prédictive des actifset systèmes de billetterie pour aider à repousser les cyber-attaques. Ces solutions donnent à l'équipe informatique la possibilité de surveiller et de suivre le trafic cloud pour s'assurer que tous les employés respectent les réglementations de sécurité de l'entreprise.

3. Sécurité réduite sur les appareils personnels des employés

Traditionnellement, les employés utilisaient des appareils de bureau désignés pour le travail qui étaient sécurisés avec des couches de sécurité physiques et électroniques. Aujourd'hui, avec la popularité du travail distribué, de nombreuses organisations adoptent une politique BYOD (apportez votre propre appareil) qui permet aux employés d'utiliser leurs propres ordinateurs portables, tablettes ou smartphones pour le travail. Cela permet aux entreprises d'économiser de l'argent puisqu'elles n'ont pas à acheter de nouvelles technologies et les employés n'ont pas de courbe d'apprentissage puisqu'ils sont déjà familiarisés avec l'appareil. Mais cette augmentation de la flexibilité du travail s'accompagne d'une augmentation des risques de sécurité. L'appareil personnel d'un employé peut ne pas être sécurisé et constituer une menace majeure pour la sécurité des données. De plus, de nombreux employés distants se connectent aux réseaux Wi-Fi publics avec leurs appareils intelligents personnels, ce qui peut exposer leurs données importantes à un cyber-attaquant. Dans une étude d'iPass, 95 % des entreprises admettent que leurs travailleurs mobiles représentent un défi pour la sécurité.

Solution : Chiffrez et sécurisez tous les appareils

Tout d'abord, les employés doivent spécifier les appareils qu'ils utilisent pour le travail, y compris tout téléphone, tablette ou ordinateur personnel, afin que ces appareils puissent être correctement cryptés et sécurisés à l'aide d'un logiciel de sécurité et antivirus certifié par l'entreprise. Des outils de sécurité comme AirWatch vous permet non seulement de sécuriser les appareils des employés, mais également de suivre, de localiser ou d'effacer les appareils à distance en cas de vol de l'appareil. Ensuite, sensibilisez davantage les employés aux éventuelles failles de sécurité des données et éduquez chaque employé sur les meilleures pratiques de prévention des pertes de données. Cela devrait inclure des protocoles et des politiques de sécurité du travail à distance clairs et précis.

4. Systèmes de sauvegarde et de récupération inadéquats

70% d'employés avez subi une perte de données en raison de virus, d'une défaillance du système ou d'une autre catastrophe. De nombreuses organisations ne disposent pas d'un système de sauvegarde et de récupération adéquat pour ce type de perte de données. Pour les entreprises qui ont une politique BYOB, ce problème devient encore plus prononcé. Les employés peuvent utiliser le même appareil intelligent ou ordinateur portable à la fois pour leur travail et leur usage personnel, mélangeant souvent des données professionnelles et personnelles, exposant chacun aux vulnérabilités de l'autre. Par exemple, un employé peut télécharger un film pour un usage personnel sur son ordinateur portable sans se rendre compte que le fichier contient des logiciels malveillants. L'ordinateur portable tombe en panne et les données personnelles et professionnelles de l'employé sont perdues. La récupération de ces données peut être impossible sans un système de sauvegarde et de récupération en place.

Solution : utiliser une solution de sauvegarde dans le cloud

Heureusement, il existe plusieurs façons de résoudre ce problème et d'assurer une sauvegarde et une récupération complètes des données. Une solution simple consiste à demander à l'employé de sauvegarder son ordinateur sur un disque dur local ou externe. Les entreprises peuvent également fournir un programme centralisé de sauvegarde et de récupération des données pour tous les appareils de leur réseau. Ces deux options, cependant, ont des limites car les périphériques de sauvegarde de données et les serveurs sont sujets aux pannes et au piratage. La meilleure option est de choisir une solution de sauvegarde cloud de niveau entreprise. De nombreux fournisseurs SaaS tels que CrashPlan et Veeam  fournir une solution de sauvegarde et de récupération cloud tout-en-un pour toutes vos données.

5. Fuites et piratages de communication

Certaines des plus grandes marques au monde ont connu des fuites de communication et des piratages. Des entreprises comme Apple, Microsoft, Facebook et le studio de cinéma de Sony ont toutes eu des failles de communication coûteuses, permettant à des étrangers de mettre la main sur des informations précieuses. Bon nombre de ces expositions sont dues à des employés qui envoient des fichiers critiques et des messages confidentiels via des canaux de communication non sécurisés. L'utilisation de plates-formes de communication non cryptées pour les e-mails, la messagerie instantanée, les appels audio et les vidéoconférences peut exposer vos informations privées et vous rendre vulnérable aux piratages. Ces failles de sécurité coûtent cher aux entreprises. À l'échelle mondiale, cyber crimes les dommages coûtent aux entreprises 6 XNUMX milliards de dollars par an.

Solution : Utiliser des solutions de communication cryptées de bout en bout

Lors de la recherche d'un nouveau fournisseur de communication ou de la réévaluation des fournisseurs actuels, la sécurité doit toujours être un élément prioritaire de votre recherche. Recherchez une solution qui a fait ses preuves en matière de protection des données de ses clients et qui offre les dernières technologies de sécurité comme le cryptage de bout en bout.  Cryptage de bout en bout (E2EE) est un système de communication sécurisée entre utilisateurs qui empêche les tiers de lire les messages. Les données cryptées de bout en bout garantissent la confidentialité entre l'expéditeur et le destinataire, atténuant les risques et protégeant les données sensibles. Tous les services de communication n'appliquent pas la sécurité et le cryptage, mais Lifesize offre la plus haut niveau de sécurité et chiffrement de bout en bout activé par défaut.

« Il est préoccupant que tout le battage médiatique autour de la cybercriminalité – les gros titres, les avis de violation, etc. – nous rende complaisants. Le risque est bien réel et nous ne pouvons pas nous laisser bercer par un sentiment de fatalité. Nous avons tous un rôle à jouer dans la façon dont nous protégeons nos entreprises contre la menace croissante de la cybercriminalité.

Robert Herjavec, fondateur de la société informatique et de sécurité informatique The Herjavec Group

Meilleures pratiques pour assurer la sécurité des équipes distantes

L'élément humain peut saper les systèmes de sécurité les plus solides du monde. C'est pourquoi il est important que chaque employé comprenne le risque de violation de données et respecte strictement les protocoles de sécurité à l'échelle de l'entreprise. La formation à la sécurité des données doit commencer lors du processus d'intégration d'un nouvel employé. Mettre l'accent sur l'importance de la cybersécurité dès le début contribue à favoriser de bonnes pratiques de sécurité et à sensibiliser les employés à leurs actions. En outre, les entreprises doivent informer régulièrement tous les employés sur les nouveaux protocoles, les risques de sécurité et les meilleures pratiques en organisant des formations, en envoyant des notes d'information et en utilisant modules de formation en ligne. Ci-dessous, nous avons décrit quelques bonnes pratiques de sécurité pour aider à protéger les informations de vos employés et les données sensibles de l'entreprise.

Créer et appliquer une politique de sécurité du travail à distance

Votre organisation doit avoir mis en place une politique complète de sécurité du travail à distance qui aide à se protéger contre la négligence des employés, les violations, les piratages et autres menaces externes. Cette politique doit clairement définir ce qui est et n'est pas acceptable lors de l'envoi et de la réception de fichiers, de la communication avec des personnes à l'intérieur et à l'extérieur de votre organisation et de la gestion des données sensibles de l'entreprise.

Évitez d'utiliser des points d'accès Wi-Fi non sécurisés

Les réseaux WiFi non sécurisés que vous trouvez souvent dans les espaces publics sont une mine d'or virtuelle pour les pirates qui cherchent à voler des informations privées. Un réseau Wi-Fi non sécurisé peut généralement être accessible sans aucun type de fonctionnalité de sécurité comme un mot de passe ou une connexion. À l'inverse, un réseau WiFi sécurisé nécessite qu'un utilisateur accepte les conditions légales, enregistre un compte ou tape un mot de passe avant de se connecter. Cependant, même les réseaux publics sécurisés peuvent être risqués, les employés doivent donc les utiliser avec prudence.

Méfiez-vous du hameçonnage. Les hameçonneurs essaient d'inciter les employés à cliquer sur un lien qui peut entraîner une faille de sécurité. Les liens malveillants peuvent contenir des virus ou des logiciels malveillants intégrés. Souvent, ces liens apparaissent dans une fenêtre contextuelle, un e-mail provenant d'une source non fiable ou toute autre forme de communication que vous n'avez pas initiée. Conseillez aux employés de ne jamais cliquer sur des liens suspects ou d'ouvrir des pièces jointes à partir d'une adresse e-mail qu'ils ne reconnaissent pas.

Créez des mots de passe forts

Le mot de passe faible d'un employé peut compromettre non seulement les données personnelles de l'employé, mais également les données sensibles de l'ensemble de l'entreprise. Chaque année, SplashData publie une liste des 50 pires mots de passe, et chaque année, des mots de passe comme « 123456 » et « mot de passe » sont en tête de liste. Les mots de passe doivent comporter au moins huit caractères et inclure des lettres, des chiffres et au moins un caractère spécial. Évitez d'utiliser votre nom, les noms de vos animaux de compagnie, les noms de vos enfants, les anniversaires de vos enfants et tout ce que les gens peuvent facilement trouver sur votre profil sur les réseaux sociaux. Enfin, les mots de passe doivent être mis à jour tous les un à trois mois pour réduire le risque de piratage de votre compte.

Utiliser l'authentification multifacteur

L'authentification multifacteur (MFA) combine deux ou plusieurs informations d'identification indépendantes afin de se connecter à un compte ou d'accéder à des données. Cela peut inclure le nom et le mot de passe d'un utilisateur avec une vérification supplémentaire comme une empreinte digitale, une question de sécurité ou un code de vérification qui est envoyé dans un message texte sur le téléphone portable d'un employé. MFA crée une défense en couches qui rend plus difficile pour les pirates de pénétrer dans les appareils informatiques, la base de données ou le réseau de l'entreprise. Si un facteur est compromis, les cybercriminels ont encore au moins un obstacle supplémentaire à franchir avant d'accéder avec succès aux données privées.

Méfiez-vous des téléchargements de logiciels

De nombreux employés croient naïvement qu'un téléchargement de logiciel d'une marque de confiance est sûr, mais Internet regorge de sites proposant des téléchargements de logiciels masquant des marques bien connues. Ces téléchargements malveillants peuvent contenir des logiciels malveillants, des chevaux de Troie, des logiciels espions, des vers ou d'autres types de virus. Mettez en place une politique de téléchargement et assurez-vous que chaque employé comprend le protocole de téléchargement de logiciels sur son ordinateur portable et ses appareils intelligents. Pour aider à réduire le risque, le service informatique peut également limiter les téléchargements aux appareils de l'entreprise.

Verrouillez virtuellement et physiquement les appareils, les serveurs et le stockage des données

Les employés doivent verrouiller leurs appareils chaque fois qu'ils les laissent sans surveillance, en particulier lorsqu'ils travaillent dans des espaces publics. Cela signifie verrouiller l'écran lorsque vous vous éloignez et vous assurer que l'appareil physique ne peut pas être volé. Assurez-vous que le paramètre "verrouillage automatique en cas d'inactivité" des appareils est activé et que les programmes sont configurés pour expirer de manière agressive lorsqu'ils ne sont pas utilisés. En plus des appareils liés au travail des employés, les salles de serveurs et les emplacements de stockage de données contenant des informations sensibles doivent également être verrouillés en toute sécurité.

Passer au contenu