Archives par mot-clé : Bring your own device

Télétravail : risques de sécurité pour les entreprises

Télétravail  : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.

Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.

Une nouvelle norme

L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.

« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés, déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »

Avantages du télétravail

Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.

Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.

Les opérateurs telcos & FAI : des cibles de choix pour les pirates

Alors que le nombre de clients et d’objets connectés ne cesse de croître, les opérateurs de télécommunications et fournisseurs d’accès Internet (ISP) doivent plus que jamais assurer le service au client tout en protégeant leur système d’information des attaques informatiques. Ces entreprises doivent toujours fournir des services disponibles et très rapides à leurs clients, même lorsqu’ils sont sous une attaque de type DDoS. Cela suppose de posséder une infrastructure performante et sécurisée prenant en charge de nouvelles charges de travail et des applications comme la téléphonie mobile, le BYOD (Bring Your Own Device) et l’Internet des objets. Mais parviennent-ils à répondre à ces attentes ? Quelles sont leurs méthodes ?

On pourrait croire que les opérateurs et FAI sont les entreprises les plus averties et conscientes des enjeux liés à la sécurité de leurs serveurs DNS. Or, l’expérience montre que lors d’une attaque les systèmes de sécurité traditionnels qu’ils utilisent ne sont pas ou plus adaptés aux nouvelles menaces. L’approche traditionnelle des FAI consiste à empiler les serveurs et les équilibreurs de charge pour soutenir l’augmentation du trafic, même s’ils ne connaissent pas vraiment le profil du trafic et ignorent pourquoi il augmente. Les solutions de sécurité DNS traditionnellement utilisées fonctionnent à “l’aveugle” et ne sont pas en mesure de comprendre ce qu’est réellement le profil de trafic sur ces serveurs. Les applications actuelles sont toutes basées sur le protocole IP et si un serveur DNS ne répond pas avec la performance attendue ou si elle est trop faible, toutes les applications seront inaccessibles ! Une cyberattaque a donc un impact négatif très rapide et directe sur l’entreprise, ses utilisateurs et ses clients. Les entreprises de télécommunication et les FAI se rendent compte que la faible sécurité DNS dégrade Internet et la disponibilité mais n’ont pas la bonne visibilité pour
comprendre et gérer cette infrastructure.

Une sécurité DNS mal gérée pour les telcos
De nombreux opérateurs de télécommunications et fournisseurs de services Internet pensent que le blocage du trafic est LA solution aux problèmes de DNS. Malheureusement, les attaques sont de plus en plus sophistiquées et il est de plus en plus difficile de comprendre le modèle, la source ou la cible d’attaque. Toutefois, bloquer simplement le trafic peut conduire à bloquer celui d’un client important, d’une société ou même un pays si l’information nécessaire à la bonne prise de décison n’est pas disponible. Les récentes attaques sur Rackspace ou DNS Simple ont démontré la limite des solutions de sécurité classique et DDoS, pour protéger les services DNS. L’attaque DDoS du fournisseur de services Rackspace a paralysé ses serveurs DNS pendant 11 heures. Pour faire face à cette attaque, l’entreprise a bloqué le trafic qu’il pensait être à l’origine de l’attaque, malheureusement ils ont admis avoir bloqué aussi du trafic légitime venant de leurs clients. Le même mois, DNSimple fait face une attaque similaire et décide finalement de désactiver le mécanisme de sécurité DDoS du DNS pour retrouver un service normal de résolution de noms.

Dans les deux cas, les entreprises ont pris des mesures radicales qui prouvent que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables.

Des attaques aux conséquences lourdes …
La sécurité du DNS est mal gérée dans de nombreuses organisations informatiques et l’écosystème de la menace est apte à lancer des attaques où le serveur DNS peut être la cible ou un vecteur pouvant entraîner :
– Échec ou lenteur de l’accès à des sites Web et des applications
– Reroutage du trafic Web vers des sites Web non-autorisés et potentiellement criminelles entraînant des vols de données, une fraude d’identité, …

Au-delà de ces dommages, les entreprises de télécommunications investissent énormément dans leur infrastructure (pare-feu, load-balancer, monitoring…) pour faire face aux cyberattaques. Or, ce genre d’administration et de dépenses peuvent paraître excessives quand ces solutions ne savent pas exactement ce qui se passe. Quand on ne peut pas voir la source d’une attaque, y répondre s’avère risqué .

… mais contournables
Un fait important : 95% du trafic se focalise sur un minimum de nom de domaines souvent demandés (Ex : google, Facebook, sites d’informations,…). Partant de ce constat, la priorité est d’être réactif pour assurer un accès à ses utilisateurs, quel que soit le cas de figure. On a pu mesurer qu’en moins de cinq minutes, un opérateur peut perdre l’accès à ces 95% de trafic ; un timing limité pour prendre conscience de l’attaque et prendre une décision pour la contrer efficacement.

Heureusement, certains fournisseurs et éditeurs de solutions de sécurité DNS ont développé des technologies pour voir l’attaque de l’intérieur, ils peuvent donc effectuer une analyse plus fine ; une analyse qui permet de proposer une sécurité adaptative ou graduelle. Dans les cas extrêmes, la solution consiste à ne plus répondre qu’avec les données en cache et refuser les requêtes inconnues. C’est 95% du trafic qui est ainsi traité, ce qui constitue une bonne alternative et permet de gagner du temps pour répondre à la menace. Serait-ce la solution miracle pour limiter l’impact d’une attaque ? Il serait alors possible de mettre à la corbeille les multitudes de pare-feu, serveurs et autres équilibreurs de charge, coûteux en terme de gestion et pesant lourd dans le budget des entreprises de télécommunication. (Par Hervé DHELIN, EfficientIP)

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)