Télétravail et sécurité

12/06/2020

On peut dire sans trop se tromper que nous vivons des moments sans précédent. Partout dans le monde, les entreprises doivent mettre au point des solutions de dernière minute afin de concilier télétravail et sécurité IT. Le tout en garantissant une expérience employé cinq étoiles ! Nous nous sommes entretenus (à distance, bien sûr !) avec Mark Herrewijnen et Bart Van Manen, nos experts IT et sécurité, afin de découvrir comment allier sécurité IT, expérience employé et télétravail.

Que peuvent faire les entreprises ?

Commençons par le commencement : chacun de vos collaborateurs devra maîtriser les principes de base de la sécurité IT. L’informatique est loin d’être la tasse de thé de tous vos employés ; vous devrez donc mettre toutes les informations nécessaires à leur disposition. Pour faire simple, suivez ce conseil de Mark : compilez toutes les bonnes pratiques et les erreurs à éviter dans un document d’une seule page. De quoi rappeler à vos équipes de bien enregistrer une sauvegarde de tous leurs fichiers et de ne jamais se connecter à un réseau public, par exemple.

Une astuce en or pour vos collaborateurs qui éviteront ainsi les erreurs de sécurité, mais apprécieront également d’avoir un condensé de toutes les informations essentielles sous la main. Parce que, non, les choses à faire et à ne pas faire, ce n’est pas inné chez tout le monde.

Mais une autre menace majeure pèse sur votre sécurité : face au bouleversement que nous connaissons actuellement, de nombreuses entreprises sont tentées de laisser tomber leurs bonnes pratiques et de repenser l’intégralité de leurs procédures en vue d’assurer leur sécurité IT.

Une stratégie que déconseille Bart : « En implémentant trop de changements en une fois, vous êtes sûrs de décourager et de perturber des travailleurs qui ont déjà suffisamment de choses à gérer pour l’instant. Restez fidèles à vos procédures habituelles autant que possible et, si vous souhaitez adapter certains points, recourez à des modèles de changements ou à des flux de travail de gestion des incidents en prenant soin de documenter chaque étape de leur mise en place. »

Le message est clair : concilier sécurité et expérience employé est déjà un défi en soi, alors ne vous compliquez pas davantage la vie.

Enfin, maintenez une communication optimale entre votre équipe IT et vos collaborateurs. Bien sûr, vous préférerez probablement vous en tenir aux procédures que vous aurez déjà mises en place, mais les circonstances actuelles mettront probablement à mal votre politique en matière de sécurité. Mark conseille de recourir à des moyens de communication agréés et centralisés, comme un intranet permettant à vos collaborateurs de discuter des problèmes techniques qu’ils rencontrent.

Cultivez un réel esprit de communauté. Informez votre équipe que vous serez toujours là pour lui donner un coup de pouce, pour lui distiller vos bons conseils et vos astuces dès qu’elle en aura besoin. Une démarche essentielle pour allier expérience employé de qualité et sécurité IT à l’échelle de votre entreprise.

Quelles pratiques oublier ou adopter ?

Bart explique : « Bien sûr, on évitera les grands classiques, tels que consulter des informations confidentielles dans des lieux publics, discuter de sujets sensibles à distance depuis des applications inconnues ou encore se connecter à un réseau public. »

Mark approuve et ajoute : « N’oubliez pas de rappeler à vos équipes que ce n’est pas parce que tout le monde l’applique qu’une pratique est nécessairement sûre. Longtemps promue au rang d’élément de base des bonnes pratiques IT, la clé USB présente par exemple elle aussi son lot de risques en étant particulièrement exposée aux logiciels malveillants. »

Une règle qui s’applique également aux réseaux VPN. Si certaines entreprises s’empressent de se doter d’un VPN afin de renforcer leur sécurité IT, l’effet sera pourtant inverse. Pourquoi ? Parce qu’un VPN offre une plus grande surface d’attaque aux personnes malveillantes, vous exposant davantage aux failles de sécurité.

Cela dit, si vous ambitionnez de garantir une expérience employé de qualité à vos travailleurs, n’hésitez pas à mettre l’accent sur les bonnes pratiques qu’ils peuvent adopter plutôt que de vous limiter aux gestes qu’ils doivent absolument éviter. Selon Mark, vos collaborateurs doivent absolument unir leurs forces afin de mettre au point un plan d’urgence. L’objectif : trier les équipes, partager la gestion des tâches, mais aussi assigner et dupliquer l’ensemble des fonctions et des codes de sécurité majeurs.

En règle générale, vos collaborateurs devraient systématiquement adresser leurs demandes à leur équipe IT, quelle que soit leur importance. Bart explique : « Votre expérience employé repose essentiellement sur votre capacité à mettre en place un dialogue constant et transparent entre les employés et votre équipe IT. Même vos collaborateurs les plus réticents en matière de technologie doivent pouvoir se sentir particulièrement à l’aise. »

L’expérience employé, ce n’est pas faire le tour du bureau pour veiller à ce que tout le monde ait constamment le sourire. C’est avant tout montrer que vous êtes là pour les autres lorsqu’ils en ont besoin. Dans la majorité des entreprises d’aujourd’hui, le service IT est extrêmement polyvalent, ajoutant une dimension culturelle à ses tâches purement techniques.

D’autres astuces techniques à partager ?

OK, passons aux choses sérieuses : comment assurer concrètement la sécurité IT de votre entreprise lorsque vos collaborateurs travaillent à domicile (je comprends vite que Mark et Bart sont ravis d’enfin rentrer dans le vif du sujet !) ? Suivez ces 9 conseils :

1.Demandez à vos collaborateurs de bien prendre soin du matériel et des logiciels fournis. En effet, il ne vous sera pas nécessairement simple d’envoyer un technicien ou d’effectuer un remplacement sur place.
2.Interdisez à vos enfants d’installer des applications sur les appareils destinés à traiter des dossiers confidentiels. Tournez-vous plutôt vers leur établissement scolaire pour emprunter du matériel ou dépoussiérez un vieil ordinateur portable qui pourrait toujours leur servir.
3.Assurez-vous que votre matériel professionnel dispose d’une solution de sécurité valide et à jour.
4.Évitez de réaliser d’énormes mises à jour logicielles du jour au lendemain. Si vous n’avez plus effectué de mises à jour depuis un moment, vous risqueriez de faire pire que mieux en vous lançant dans de bonnes résolutions informatiques maintenant. Sans oublier qu’il vous sera plus difficile de communiquer tout changement alors que la majorité de vos collaborateurs travaille à domicile. Limitez-vous donc autant que possible à des mises à jour mineures et à l’installation de correctifs de sécurité essentiels.
5.Ne reliez pas l’intégralité du réseau de votre entreprise à un seul VPN. Un seul appareil infecté pourrait compromettre l’intégralité de vos services. Connectez plutôt vos collaborateurs travaillant à distance à une application individuelle. De par son fonctionnement, un réseau VPN pourrait permettre à du matériel potentiellement indésirable ou infecté d’accéder au réseau interne de votre entreprise.
6.Évitez les ennuis et ne demandez pas à vos collaborateurs de modifier leur mot de passe pour l’instant. S’il était suffisamment efficace quand ils travaillaient depuis leur bureau, il y a fort à parier qu’il l’est toujours maintenant qu’ils gèrent leur to-do list depuis la maison.
7.Ne cliquez jamais sur les liens repris dans des e-mails étranges ou subitement urgents. Vous avez des doutes ? Touchez-en un mot à leur expéditeur (en prenant soin de ne pas répondre à l’e-mail en question).
8.Consultez toujours vos collègues avant de répondre à des requêtes de changement majeures, telles qu’une demande d’accès ou un transfert d’argent. Vérifiez la véracité de ces requêtes par un canal différent de celui emprunté pour vous transmettre ces demandes (par exemple, contrôlez l’authenticité d’une demande transmise par e-mail en contactant votre collègue sur Skype/Teams).
9.Demandez à vos collaborateurs de restaurer le mot de passe par défaut de leur routeur Wi-Fi (juste au cas où).

De l’importance de la communication

Concilier sécurité et expérience employé n’a jamais été un jeu d’enfant. Mais c’est encore moins le cas aujourd’hui. Les circonstances actuelles nous ont poussés à mettre en place bon nombre de changements de dernière minute, entraînant une plus grande vulnérabilité technique et personnelle.

Mais pas de panique : plus que jamais, votre équipe IT doit garder son calme et communiquer clairement. Informez explicitement vos collaborateurs de ce qu’ils peuvent et ne peuvent pas faire. Répondez à toutes leurs questions et cultivez un esprit de communauté. Après tout, nous sommes tous dans le même bateau.

Envie de découvrir d’autres astuces pour prendre soin de vos collaborateurs ? Téléchargez notre manuel consacré à l’approche plaçant l’utilisateur au centre.

En savoir plus à ce sujet

L’informatique fantôme. Réponse à 5 questions fréquentes

Un service IT est responsable de toutes les questions liées à l’informatique. C’est simple,...