Comment protéger ses données en télétravail
Si le télétravail a sauvé la mise de nombreuses entreprises au début de la pandémie, son utilisation prolongée a mis en lumière quelques-uns de ses défis, dont la protection des données.
Selon le rapport Cost of a Data Breach, réalisé par IBM en 2020, une fuite de données engendrerait des coûts moyens de 5,7 millions de dollars pour les entreprises canadiennes. Alors que le travail à distance s’est largement accru au cours des dernières années, avec ses défis de partage et d’accessibilité des données, de quelle manière les entreprises peuvent-elles s’assurer de protéger adéquatement leurs données?
Miser sur l’humain avant la technologie
Pierre-Martin Tardif, professeur au Département de systèmes d’information et méthodes quantitatives de gestion de l’Université de Sherbrooke et membre du Groupe de recherche interdisciplinaire en cybersécurité (GRIC), est sans équivoque : « Peu importe les logiciels ou les technologies, c’est sur la cyberhygiène et le comportement des personnes qu’il faut se concentrer. »
Ces notions devraient être apprises à l’école. Comme ce n’est pas encore le cas, le professeur recommande aux entrepreneurs d’offrir une formation de base à leurs employés. « Il faut leur indiquer ce qu’on attend d’eux, de quelle manière ils devraient se comporter sur Internet, reconnaître les possibles tentatives d’hameçonnage et les éviter, etc. ».
Un réseau privé virtuel (RPV, ou VPN en anglais) peut contribuer à augmenter le niveau de protection, selon Pierre-Martin Tardif. Toutefois, cela n’apporte pas une garantie totale et le comportement de l’usager demeure déterminant. Par ailleurs, il est important de bien configurer son RPV. « L’une des faiblesses répandues que l’on retrouve chez les entreprises, ce n’est pas qu’elles n’ont pas les bons outils, c’est qu’elles les ont mal déployés », poursuit le professeur.
Choisir le bon fournisseur de services infonuagiques
Protection, accessibilité et partage des données : l’infonuagique offre plusieurs atouts pour les entreprises, notamment quand leurs employés travaillent à distance. Mais, tout comme pour les compagnies proposant des RPV, il est important de choisir diligemment son fournisseur de services infonuagiques. « Il y a des firmes qui ont fait leurs preuves, telles qu’Apple, Google, Microsoft, Oracle, SAP ou Salesforce. Cependant, même si elles sont performantes et très sécurisées, ces compagnies ne sont jamais entièrement à l’abri de cyberattaques et d’une possible brèche », mentionne M. Tardif.
Pour les entreprises qui auraient un budget plus modeste, il existe d’autres fournisseurs qui proposent des services infonuagiques similaires. La clé pour bien choisir selon M. Tardif : « On devrait toujours vérifier leur réputation en appelant des clients actuels. Il est également important de connaître les conditions d’utilisation, les termes de service et les politiques de divulgation responsable d’une entreprise offrant des services infonuagiques, pour déterminer jusqu’à quel point nos données sont en sécurité et à quels services nous aurions droit si le pire survenait. »
Quelques conseils pour protéger les données de l’entreprise
Voici quelques bonnes pratiques à implanter au sein de votre entreprise.
Pour l’employeur :
- Aborder les bases de la cyberhygiène
En premier lieu, il est primordial de sensibiliser son équipe à la sécurité des données et aux bonnes pratiques à appliquer : utilisation d’un antivirus, implantation de mots de passe, détection de courriels douteux et mesures à adopter le cas échéant, etc.
- Catégoriser les types d’accès
Tous les employés n’ont pas nécessairement besoin d’avoir accès à l’intégralité des données. Il est important de gérer les profils et de donner l’accès seulement aux données nécessaires au travail de chaque employé.
- S’assurer de fournir le matériel nécessaire
Si l’entreprise ne fournit pas le matériel informatique avec les protections incluses, l’employeur doit tout de même s’assurer que ses employés ont les outils nécessaires pour effectuer leur travail, quitte à les défrayer. Par exemple : acheter un logiciel antivirus plus performant.
- Mettre à jour les systèmes
Aussi banal que cela paraisse, l’employeur doit s’assurer que les mises à jour de sécurité nécessaires sont effectuées dans les temps.
- Assurer le suivi de son personnel
Lorsqu’un employé quitte l’entreprise temporairement ou de façon permanente, ses accès informatiques autant à l’interne qu’à l’externe doivent être suspendus ou révoqués.
Rappels à faire aux employés :
- Vérifier l’état de l’antivirus et activer le pare-feu.
- Utiliser le système informatique virtuel en réseau (VNC) ou le réseau privé virtuel (VPN) pour avoir accès aux données de l’entreprise.
- Désactiver la fonction de partage de fichiers sur les ordinateurs.
- Éviter de travailler à partir d’un réseau Wi-Fi public.
- Se connecter avec un mot de passe pour ouvrir une session.
- Toujours éteindre l’ordinateur en fin de journée.
- À la fin de la journée, supprimer les données qui ne sont plus nécessaires.
Des outils pour vous aider :
- L’authentification à deux facteurs : Après avoir inscrit son nom d’utilisateur et son mot de passe, l’usager doit confirmer son identité en fournissant un code numérique reçu par courriel ou par message texte. Il pourra accéder à son compte seulement lorsque cette seconde validation est effectuée.
- L’outil de gestion de mots de passe : Il s’agit d’un logiciel permettant d’enregistrer ses mots de passe à un seul endroit et de façon sécuritaire. L’usager peut ensuite se connecter sans avoir à saisir chaque fois son mot de passe. La plupart de ces logiciels valident la robustesse d’un mot de passe, sa compromission et sa réutilisation (qui doit être évitée).
- Le réseau privé virtuel (RPV, ou VPN en anglais) : On fait référence ici à un service qui protège le trafic Internet de l’usager, en chiffrant les données qui transitent sur le réseau.
- Le système informatique virtuel en réseau (ou VNC en anglais) : Il s’agit d’un logiciel qui donne la possibilité d’utiliser l’environnement de bureau d’un ordinateur à distance, comme s’il était devant nous.
Bien que la mise en place des recommandations ci-dessus réduira grandement les probabilités d’une perte de données ou d’un cyberpiratage, le risque zéro n’existe pas.
Il est donc crucial pour un employeur de se doter d’un plan d’action en cas de fuite de données :
- identifier rapidement les données exposées ou volées ainsi que les risques rattachés,
- mettre en place les protections nécessaires pour colmater la fuite,
- communiquer avec les instances concernées, etc.
Désigner une personne responsable de mettre en application un tel plan si une situation de la sorte se produisait peut également contribuer à minimiser les dégâts.
Veiller à la sécurité des données d’une entreprise, c’est l’affaire de toute une équipe!