La pandémie de COVID-19 a bouleversé le quotidien de millions de personnes. Avec autant de personnes travaillant à domicile pour rester en sécurité, le « cours normal des affaires » est très différent de ce qu'il était avant le confinement. Si le télétravail pose divers défis, le risque accru pour la cybersécurité des entreprises dont les employés travaillent à distance est souvent négligé. La plupart des organisations n'étaient pas préparées au passage au télétravail, et certaines ont été victimes d'escrocs qui profitent du chaos. Les attaques d'ingénierie sociale fonctionnent mieux lorsque les employés baissent leur garde, et le fait de travailler dans le confort de leur propre maison a conduit même les employés les plus avertis en matière de technologie à commettre des erreurs de sécurité.
Les employés partent souvent du principe que le service informatique de leur entreprise a sécurisé leur environnement de travail numérique. Cette perception de sécurité favorise souvent la réussite des tentatives d'hameçonnage et met en danger les données de l'entreprise. Si le maintien d'un environnement de travail sécurisé peut s'avérer difficile, même sur le lieu de travail, il est encore plus important de souligner l'importance de la cybersécurité lorsque l'on travaille à domicile.
Les tentatives d'hameçonnage visant les employés travaillant à domicile aboutissent trop souvent pour trois raisons principales :
- Manque de connaissances techniques
- Absence de protocoles et de processus adéquats, ou protocoles et processus difficiles à mettre en œuvre
- Manque de formation à la sensibilisation à la cybersécurité
Nous avons demandé à nos partenaires de Global Learning System, leader dans le domaine de la formation à la cybersécurité, où ils voyaient les plus grandes faiblesses en matière de sécurité du télétravail et quelles mesures les employeurs et les employés pouvaient prendre pour éviter les tentatives d'hameçonnage et les cyberattaques. Voici ce qu'ils nous ont répondu :
Risque n° 1. La COVID-19 : un environnement idéal pour les attaques par hameçonnage
Le phishing est un cybercrime dans lequel des escrocs incitent des personnes à fournir des informations sensibles en se faisant passer pour une personne légitime par e-mail ou par téléphone. La pandémie de COVID-19 a donné aux escrocs qui mènent des attaques de phishing l'occasion idéale de contrôler leurs victimes en jouant sur l'urgence et la peur de passer à côté de quelque chose. Les attaques de phishing courantes liées à la COVID-19 comprennent des appels à l'action tels que « Découvrez où se trouvent les nouveaux cas près de chez vous ! » et « Un nouveau vaccin est disponible, procurez-vous-le dès maintenant ! ».
De plus, avec davantage de personnes confinées chez elles, on constate une augmentation des escroqueries téléphoniques liées au COVID-19 visant à la fois les lignes fixes et les téléphones portables. Parmi les exemples de ces escroqueries, on peut citer les auteurs qui proposent de désinfecter votre domicile, se font passer pour un client ayant besoin d'informations ou même se présentent comme le service d'assistance technique de votre entreprise. Les employeurs doivent former leurs employés à être particulièrement vigilants face à ces e-mails et appels téléphoniques liés au COVID-19.
Expliquez clairement comment votre organisation communiquera aux employés les informations relatives à la pandémie, afin qu'ils puissent faire la distinction entre les communications réelles et les tentatives d'hameçonnage. Donnez aux employés des exemples d'e-mails ou d'appels frauduleux afin qu'ils puissent comprendre le schéma et savoir ce qu'ils doivent rechercher. Conseillez-leur de filtrer les appels provenant de numéros inconnus. Assurez-vous que tout le monde sait qu'il doit signaler les tentatives d'hameçonnage à votre équipe de sécurité ou à la direction, afin que tous les membres de l'organisation restent informés.
Risque n° 2. Augmentation des SMS dans le cadre des communications professionnelles
Avec l'augmentation des conversations quotidiennes à distance, les SMS liés au travail ont également augmenté. Les employés utilisent désormais les SMS comme moyen de communication avec leurs collègues et leurs clients. Les escroqueries par SMS exploitent cette tendance en demandant aux utilisateurs de cliquer sur un lien qui les redirige vers un site web pour obtenir plus d'informations ou télécharger un document. Une fois que les utilisateurs ont cliqué sur le lien, un logiciel malveillant s'installe sur leur téléphone et les informations stockées sont accessibles à tous.
Pour lutter contre les escroqueries par SMS, les entreprises peuvent exiger l'utilisation d'applications de messagerie cryptées qui fournissent un cryptage de bout en bout pour les communications professionnelles. Créez des protocoles spécifiques pour l'utilisation des SMS dans le cadre professionnel, par exemple en interdisant l'envoi de mots de passe ou de toute autre information sensible par SMS. Apprenez à vos employés à ne jamais cliquer sur des liens ou transférer des fichiers par SMS.
FORMATION GRATUITE SUR LA SÉCURITÉ DU LIEU DE TRAVAIL À DISTANCE
Risque n° 3. Utilisation accrue des réseaux sociaux sur les appareils professionnels
Avec des employés confinés chez eux et nombreux à rechercher des interactions sociales, l'utilisation des réseaux sociaux a augmenté. Les réseaux sociaux ont toujours été une voie privilégiée pour les attaques de phishing, et les employés qui utilisent leurs appareils professionnels pour accéder à leurs comptes personnels sur les réseaux sociaux peuvent mettre vos données en danger. Un quiz Facebook anodin peut révéler des informations susceptibles d'être utilisées pour pirater des mots de passe. Une photo Instagram amusante de votre bureau à domicile peut révéler des informations sur votre entreprise à travers l'écran en arrière-plan ou les documents posés sur le bureau.
Pour éliminer ce comportement risqué, il est préférable de ne pas autoriser les employés à accéder à leurs réseaux sociaux personnels sur les appareils fournis par l'entreprise. Les employés doivent toujours utiliser un appareil personnel sur lequel aucune information de l'entreprise n'est stockée pour accéder à leurs réseaux sociaux personnels. Vous pouvez également utiliser un système de gestion des terminaux pour surveiller l'utilisation des appareils par les employés.
Risque n° 4. Multitâche pendant le télétravail
Le multitâche est inévitable lorsque l'on travaille à domicile. S'éloigner de ses appareils professionnels pour s'occuper des enfants ou des tâches ménagères peut entraîner des risques de sécurité imprévus. Les protocoles de sécurité de votre organisation doivent inclure les mesures appropriées pour sécuriser les appareils et les données lorsqu'un employé quitte son espace de travail, et les mêmes règles s'appliquent au bureau à domicile.
Il est essentiel de former les employés à verrouiller l'écran de leur appareil chaque fois qu'ils quittent leur poste de travail. Le respect d'une politique de « bureau rangé » et l'obligation d'utiliser des rangements verrouillables dans les bureaux à domicile permettront également de minimiser les risques liés à la sécurité. Les employés doivent également éteindre ou mettre en mode silencieux les appareils intelligents tels qu'Amazon Alexa ou Google Home afin d'éviter toute fuite involontaire d'informations confidentielles.
Risque n° 5. Téléchargement d'applications non approuvées sur les appareils professionnels
Donner aux employés un accès administrateur sur les appareils fournis par l'entreprise signifie qu'ils peuvent télécharger et installer librement des applications. Dans le cadre du télétravail, les employés peuvent être tentés de télécharger de nouveaux logiciels, plugins ou extensions de navigateur pour faciliter leur travail. Cela peut entraîner le téléchargement de logiciels malveillants et le vol de données.
Pour assurer la sécurité des équipements et des informations de l'entreprise, ne donnez jamais aux employés un accès administrateur aux appareils. Formez-les plutôt à la procédure de demande de nouveaux logiciels et fournissez-leur une liste des applications approuvées. Donnez-leur accès à des options SaaS (Software-as-a-Service) sécurisées et interdisez-leur de connecter les appareils professionnels à du matériel externe, tel qu'une imprimante ou un support amovible.
Protégez vos données en réduisant les risques
La liste ci-dessus des risques potentiels en matière de sécurité n'est malheureusement pas exhaustive. Avec la sophistication croissante des attaques par hameçonnage et le contexte lié à la COVID-19, il est plus important que jamais de revoir la configuration des employés travaillant à distance et d'atténuer les risques potentiels.
Offrir à tous les employés une formation complète sur la sensibilisation à la sécurité, incluant un volet sur le télétravail, renforcera votre « pare-feu humain » et réduira le risque de violation de données. Cette formation est dispensée en ligne et peut aider à prévenir les incidents courants qui conduisent à des menaces telles que les logiciels malveillants, l'hameçonnage et les ransomwares.
——————————————–
Global Learning Systems propose diverses ressources gratuites pour aider les organisations à se mettre à niveau en matière de cybersécurité dans cette nouvelle ère. Cela comprend un cours en ligne gratuit, des articles de blog et des documents à distribuer aux employés.
Note de l'éditeur : cet article a été publié à l'origine sur Syntrio.com. En janvier 2024, Mitratech a acquis Syntrio, un fournisseur de premier plan de formations en matière d'éthique et de conformité, de prévention du harcèlement au travail et de solutions de signalement anonyme par hotline. Le contenu a depuis été mis à jour pour refléter l'élargissement de nos offres de solutions, l'évolution des réglementations en matière de conformité et les meilleures pratiques en matière d'éthique et de gestion des risques.
