Danger : L’utilisation des périphériques personnels par les employés
L’utilisation de dispositifs personnels et mobiles au travail est en pleine expansion. Grâce à la commodité du Cloud, vos employés et vous pouvez accéder à presque tout type de données de l’entreprise à distance. Tout ce qu’il faut est un nom d’utilisateur et un mot de passe. Les employés vous demanderont même s’ils peuvent apporter leurs dispositifs personnels au travail (BYOD – Bring your own device) et utiliseront leur smartphone pour à peu près tout.
Cette tendance a considérablement augmenté la complexité à maintenir un réseau et vos données d’entreprise sécuritaires.
En fait, le plus grand danger avec le Cloud n’est pas que votre fournisseur de services ou votre société d’hébergement soient compromis (bien que cela reste une possibilité).
Votre plus grande menace est que l’un de vos employés accède à une application via un dispositif personnel qui est infecté, donnant ainsi accès à l’ensemble de votre réseau à un pirate.
En résumé, si vous laissez vos employés utiliser des appareils personnels, vous devez vous assurer que ces dispositifs soient correctement sécurisés, monitorés et entretenus par un professionnel. Aussi, ne laissez pas les employés télécharger des logiciels ou des fichiers non autorisés. Une des voies d’accès les plus rapides pour les cybercriminels est de duper les utilisateurs peu méfiants à télécharger volontairement des logiciels malveillants en les intégrants dans des fichiers téléchargeables qui paraissent inoffensifs.
Cependant, la plupart des employés ne voudront pas que vous les suiviez et surveilliez leurs appareils personnels. Ils ne voudront pas non plus que vous effaciez leurs appareils à distance en cas de perte ou de vol. Toutefois, c’est exactement ce que vous devez faire pour protéger votre entreprise. Nous suggérons que vous permettiez aux employés d’accéder aux fichiers liés au travail, aux applications Cloud et aux courriels via des appareils appartenant à la société. Ne jamais permettre aux employés d’accéder à ces fichiers sur leurs appareils personnels ou le WiFi public s’ils ne sont pas contrôlés rigoureusement par l’entreprise.
Mettez en place une Politique d’utilisation acceptable (PUA)
Cette dernière décrit comment les employés sont autorisés à utiliser les appareils appartenant à votre entreprise, les logiciels, l’accès à Internet et aux courriels. Nous vous recommandons fortement de mettre en place une politique qui limite les sites Web auxquels les employés peuvent accéder. Aussi, vous devez appliquer cette politique aux logiciels de filtrage de contenus et au pare-feu. Définissez également des autorisations et des règles qui régiront les sites auxquels vos employés pourront avoir accès et ce qu’ils feront en ligne pendant les heures de travail avec des appareils vous appartenant.
Avoir ce type de politique en place est particulièrement important si vos employés utilisent leurs propres appareils ou leurs ordinateurs personnels pour accéder aux courriels et aux données de la société. Avec autant d’applications dans le nuage, un employé peut accéder à une application critique de l’entreprise sur tout appareil avec un navigateur, ce qui vous expose considérablement aux risques.
Si un employé se connecte dans les applications de l’entreprise à partir du Cloud en utilisant un périphérique personnel infecté ou non protégé, cela crée une passerelle pour un pirate et lui facilite l’accès à votre réseau. C’est pourquoi nous ne recommandons pas aux employés de travailler à distance ou à domicile via leurs dispositifs personnels s’ils ne sont pas contrôlés et sécurisés.
Si l’employé quitte ses fonctions…
Êtes-vous autorisé à effacer des données de l’entreprise sur son téléphone ou ordinateur portable personnel ? Si son téléphone est perdu ou volé, êtes-vous autorisé à effacer à distance le dispositif — manœuvre visant à supprimer toutes les photos, les vidéos, les textes de cet employé, etc. — afin de vous assurer que les informations de vos clients ne soient pas compromises ?
De plus, pour les données sensibles de votre organisation, comme des dossiers clients, des informations de cartes de crédit, des informations financières et autres, légalement vous ne pouvez pas autoriser vos employés à utiliser des appareils qui ne sont pas sécurisés. En ce sens, la compagnie a un devoir moral de respecter certaines règles de sécurité puisqu’elle pourrait être poursuivie.
Par ailleurs, vous devez détailler ce que l’employé peut et ne peut pas faire avec les appareils. Il ne doit en aucun cas contourner les mécanismes de sécurité que vous mettez en place, par exemple en ayant recours au rooting (Android) ou au jailbreaking (Apple)[1].
Pour vous aider, nous avons conçu une série d’astuces en sécurité contenant à la fois les meilleures pratiques en entreprise et des services-conseils de base. Pour les recevoir, téléchargez notre rapport GRATUIT. Elles seront envoyées par courriel aux deux semaines et chaque action proposée aidera à améliorer la sécurité de votre organisation. N’hésitez pas à diffuser l’information ou à inscrire vos employés afin de les impliquer dans le processus et à leur faire des rappels régulièrement afin de les garder alertes.
[1] Ces méthodes permettent d’autoriser les utilisateurs de smartphones, tablettes, et autres appareils à effectuer une élévation des privilèges. Elles sont pratiquées dans le but de supprimer les limitations de l’opérateur et de certains constructeurs, ce qui permet alors de modifier ou de supprimer des applications système ou des réglages, de lancer des applications qui requièrent les droits d’administrateur, ou d’effectuer d’autres actions qui sont normalement impossibles pour les utilisateurs. (Source : Wikipédia)
Simon Fontaine
Président — ARS Solutions
[email protected]
418 872-4744 poste 222
www.ars-solutions.ca