Le concept du travailleur agile et à distance est devenu plus répandu ces dernières années, alors que le Wi-Fi grand public devient plus rapide, que nous transportons des ordinateurs portables professionnels ou des smartphones autorisés en BYOD, et que nous réalisons que nous n’avons pas tous besoin d’accéder à une imprimante et un fax. Cette préparation s’est avérée utile pour le confinement actuel dû à la COVID-19, où le travail à distance est passé d’une pratique occasionnelle d’un jour par semaine à une nouvelle norme pour beaucoup.
Le passage généralisé au travail à domicile pour de nombreuses organisations a des implications directes sur la sécurité. En particulier, et en plus de la multitude de nouvelles attaques par hameçonnage et tentatives d’exploitation, « les organisations sont désormais confrontées à un changement fondamental dans la gestion de l’accès sécurisé à distance, ainsi que dans le maintien de la visibilité et du contrôle des problèmes de sécurité. »
Le travail à distance et les risques associés à cette nouvelle main-d’œuvre ne prendront pas fin avec la pandémie, et bien que le passage massif au travail à distance crée inévitablement des défis, il a recommandé aux équipes de sécurité de mener des évaluations des risques et des exercices d’équipe rouge sur la main-d’œuvre à distance « une fois qu’elles auront eu l’occasion de reprendre leur souffle. »
D’un point de vue technologique, il existe des défis uniques concernant l’utilisation des services SaaS et cloud, particulièrement lorsque les équipes ne peuvent plus travailler ensemble dans un lieu physique. Crawford a déclaré que chacune de ces applications peut avoir son propre point d’accès, et lorsque les utilisateurs y accèdent directement depuis leurs réseaux domestiques, la visibilité de l’entreprise et le contrôle basé sur les politiques pour chacune de ces connexions peuvent être perdus et difficiles à récupérer.
Des considérations doivent être faites sur la sécurité des réseaux auxquels les travailleurs à distance se connectent, et sur le type de sécurité dont ils disposent sur leurs modems câbles.
Post a déclaré : « Savent-ils comment utiliser un VPN ? Combien vont prendre des raccourcis et envoyer des informations sensibles par e-mail sur des réseaux non sécurisés ? Il y a donc à la fois des problèmes de technologie et de formation en jeu, et nous savons qu’il y a des personnes prêtes à profiter de la situation. »
Plusieurs personnes avec qui SMC Consulting s’est entretenu ont souligné les problèmes de mauvaise configuration et d’orchestration. Les vulnérabilités des VPN refont surface, particulièrement pour les grandes organisations qui ont des politiques d’infrastructure d’accès à distance en place.
Dans la précipitation pour faciliter le travail à distance et faire face aux défis immédiats, les entreprises se concentreront sur les exigences purement fonctionnelles en accordant moins d’attention à l’impact à long terme de telles décisions. Des erreurs de configuration seront probablement introduites et les mises à jour régulières pourront être interrompues.
Ce sera comme un magasin de bonbons pour les acteurs malveillants qui saisiront l’occasion de cibler ces faiblesses dans ce qui pourrait ne pas être une solution si temporaire. Bien que cette situation semble appeler une solution tactique, les entreprises doivent penser stratégiquement pour éviter d’introduire des risques futurs.
Les entreprises peuvent penser qu’elles devraient reporter les évaluations de vulnérabilité ou les tests de pénétration alors que les systèmes sont peut-être dans un état plus instable que d’habitude, mais ce serait mal avisé. Le besoin d’évaluations de sécurité est peut-être plus grand pendant cette période d’instabilité potentielle.
Dans la ruée accélérée vers le cloud (pour permettre le travail à distance), « une mauvaise planification et des tests inadéquats conduiront à des erreurs de configuration et, dans le pire des cas, laisseront l’organisation vulnérable aux attaques d’une tierce partie malveillante. »
L’autre défi d’avoir une main-d’œuvre si dispersée et non physiquement visible concerne la sécurité des données, car ce sera une période où les employés seront plus facilement distraits et travailleront à des heures inhabituelles. Ce devrait être le moment de pousser pour une considération de la sécurité des données.
Vous devez vous assurer que les données sont sécurisées en tout temps, où qu’elles soient utilisées actuellement, et cela doit être aussi automatisé et transparent que possible, car les employés stressés contourneront activement tout ce qui interfère avec l’accomplissement de leur travail.
Le stress accru lié au fait que tout le monde soit ensemble à la maison est bien sûr une question entièrement distincte, ce qui mène à la considération de la santé mentale. Steve Durbin, directeur général de l’Information Security Forum, a expliqué que l’élément humain est la troisième phase de la sécurité, la première phase concernant la technologie et l’équipement des travailleurs à distance, tandis que la deuxième phase concerne les attaques ciblées sur les organisations où le travailleur à distance est considéré comme potentiellement le maillon le plus faible de la chaîne de sécurité.
La phase trois surviendra à cause du stress accru et de la cyber-anxiété qui entraîneront une baisse de la vigilance et, franchement, l’ennui pur et simple de devoir travailler à distance alors que la routine normale était construite autour de l’interaction sociale.
Ma plus grande préoccupation concerne le moment où les travailleurs à distance entreront dans la phase trois, car il est peu probable que les responsables d’équipe et les managers à distance identifient ces signes avant qu’ils ne surviennent.
Alors que nous passons au travail à distance comme nouvelle norme, de plus en plus de personnes ressentent les effets négatifs du travail en isolement. En particulier, il y a deux groupes principaux de personnes cherchant de l’aide pour le stress et l’anxiété : le premier comprend ceux qui avaient déjà des problèmes à la maison, peut-être avec leur partenaire ou leurs enfants, et sont maintenant forcés de faire face à ces problèmes avec une fréquence et une intensité accrues, tandis que pour les personnes vivant seules, elles peuvent avoir des troubles anxieux qui sont amplifiés en raison du temps passé seules à la maison.
De plus, il y a d’autres personnes qui n’avaient peut-être pas connu de problèmes à la maison auparavant mais qui, ayant été contraintes à une routine de travail à distance, ressentent l’ennui du travail à domicile. Elles se sentent peu stimulées et pas assez motivées, et il n’y a qu’un nombre limité de choses qu’on peut faire à la maison quand on est livré à soi-même.
Il est vital que les entreprises, les managers et les collègues accordent une attention particulière à la santé mentale de leurs coéquipiers dans les mois à venir. Les personnes qui souffrent demandent rarement de l’aide directement, et un simple ‘comment allez-vous ?’ peut initier un dialogue qui est une bouée de sauvetage pour les employés en difficulté.
Le facteur du travail à distance a frappé les entreprises de manière inattendue, et beaucoup n’étaient probablement pas préparées à cette situation. Maintenant, nous devons considérer que cette situation va perdurer, et il incombe aux entreprises de s’assurer que les canaux techniques et de communication restent opérationnels.
