Article original : How to Protect Your Remote Workforce from Cyber Attacks
Travailler à distance offre à votre équipe de la flexibilité, mais cela ouvre également la porte aux cybermenaces. Les travailleurs à distance sont plus exposés sans la protection des pare-feu de bureau et des équipes informatiques sur place.
Les pirates savent que les gens utilisent souvent des mots de passe faibles, oublient de mettre à jour leurs logiciels ou cliquent sur le mauvais lien dans un moment de distraction. C'est pourquoi les équipes à distance ont besoin d'un plan de sécurité adapté à leur manière de travailler.
Dans cet article, nous explorerons sept moyens de maintenir votre main-d'œuvre à distance en sécurité. Ces étapes sont simples, réalisables et basées sur des habitudes de la vie réelle.
Table des matières
Activer l'authentification multifactorielle (MFA)
Considérez la MFA comme un deuxième verrou sur votre porte d'entrée numérique. Même si quelqu'un vole un mot de passe, il n'ira pas loin sans la deuxième clé - comme un code envoyé sur votre téléphone ou une confirmation d'application.
Prenons l'exemple de Maria, une designer à distance, qui utilise la MFA pour son compte professionnel. Elle se connecte avec son mot de passe, puis un code apparaît sur son téléphone. Même si un pirate informe son mot de passe à partir d'un email de phishing, il aurait toujours besoin de son téléphone pour accéder. Sans cela, il est verrouillé.
La plupart des outils - Google Workspace, Microsoft 365, Slack, Zoom - prennent en charge la MFA. Vous pouvez généralement l'activer dans les paramètres du compte, et une fois configurée, elle devient une seconde nature.
Maintenir les logiciels et les appareils à jour
Les mises à jour corrigent les failles de sécurité. Si votre logiciel n'est pas à jour, c'est comme laisser les fenêtres ouvertes pendant une tempête. Les pirates recherchent activement les appareils exécutant des versions obsolètes de logiciels - ils savent exactement où se trouvent les points faibles.
Encouragez votre équipe à activer les mises à jour automatiques sur chaque appareil qu'ils utilisent. Si possible, utilisez des outils de gestion à distance comme Microsoft Intune ou Jamf pour pousser les mises à jour directement.
Par exemple, si James retarde la mise à jour de son système d'exploitation, son ordinateur portable pourrait encore avoir une faille qui permet aux pirates d'installer des logiciels malveillants en silence. Une mise à jour rapide pourrait fermer cette porte pour de bon.
Sécuriser les réseaux Wi-Fi domestiques
Un mot de passe Wi-Fi domestique faible est une invitation ouverte. Si un voisin ou un inconnu garé à l'extérieur se connecte à votre Wi-Fi, il pourrait voir votre trafic, ou pire, accéder à vos appareils.
Pour sécuriser votre Wi-Fi domestique :
Changez le mot de passe du routeur par défaut. Ne laissez jamais la connexion admin comme "admin/admin" ou similaire.
Utilisez un mot de passe Wi-Fi fort et unique. Visez au moins 12 caractères (lettres, chiffres, symboles).
Activez WPA3 (ou WPA2 si WPA3 n'est pas disponible). Regardez dans les paramètres de sécurité sans fil de votre routeur. Si vous voyez "WPA3 Personnel", choisissez cela. Sinon, choisissez "WPA2 Personnel" (parfois listé comme WPA2-AES).
Masquez le nom de votre réseau (SSID) si possible. Ce n'est pas infaillible, mais cela vous rend un peu moins visible.
WPA2 (Wi-Fi Protected Access 2) est l'ancienne norme qui utilise le chiffrement AES pour brouiller les données. Il est bien plus robuste que les anciens systèmes WPA ou WEP.
WPA3 (Wi-Fi Protected Access 3) est la nouvelle norme. Il ajoute un chiffrement encore plus fort et rend plus difficile pour les pirates de deviner les mots de passe. Avec WPA3, les données de chaque appareil sont chiffrées séparément, et il inclut une protection intégrée contre les attaques "par force brute" (où quelqu'un essaie de nombreux mots de passe en succession rapide).
Lorsque votre routeur est configuré pour utiliser WPA2 ou, idéalement, WPA3, cela signifie que tous les appareils - ordinateurs portables, téléphones, tablettes - communiquent avec le routeur en utilisant un "langage" sécurisé très difficile à pirater pour les outsiders.
Vous pouvez offrir un guide simple qui les guide à travers cela en moins de 10 minutes. Si quelqu'un n'est pas à l'aise avec la technologie, un rapide appel d'équipe peut l'aider à le configurer. Cette étape unique fait une grande différence.
Apprendre à votre main-d'œuvre à repérer le phishing
Le moyen le plus facile de pénétrer un système n'est pas par le code - c'est par les personnes. Un email de phishing peut ressembler à une réinitialisation de mot de passe, un message de l'IT, ou même une mise à jour de travail. Un clic, et le logiciel malveillant est installé.
Par exemple, Tom, un chef de projet, reçoit un email qui semble provenir de Dropbox, lui demandant de se connecter pour voir un fichier. La page de connexion semble réelle, mais elle est fausse. Il entre son mot de passe, et maintenant l'attaquant a accès.
Voici quelques étapes pour repérer le phishing :
Vérifiez attentivement l'adresse email de l'expéditeur. Correspond-elle exactement au domaine de l'entreprise ? Méfiez-vous des petites fautes de frappe (comme "micr0soft.com" au lieu de "microsoft.com").
Survolez les liens sans cliquer. Si le texte du lien dit "company-portal.com" mais l'aperçu de l'URL montre "evil-site.com/login", c'est un signal d'alarme.
Recherchez les erreurs d'orthographe et de grammaire. Les communications officielles des entreprises contiennent rarement des erreurs flagrantes. Si le message contient des formulations maladroites ou des fautes d'orthographe, réfléchissez à deux fois.
Méfiez-vous des langages urgents ou menaçants. "Votre compte sera suspendu à moins que vous ne cliquiez maintenant" est une astuce courante. Les organisations légitimes vous donnent généralement le temps de vérifier et ne demandent pas une action immédiate.
Ne téléchargez pas les pièces jointes des expéditeurs inconnus. Si une pièce jointe semble étrange (par exemple, "Invoice_final.7z" au lieu d'un simple PDF), ne l'ouvrez pas.
Vérifiez les demandes inattendues. Si quelqu'un vous demande de partager des identifiants, de transférer de l'argent ou de fournir des données sensibles, appelez ou envoyez un message Slack à la personne directement pour confirmer. Ne vous fiez pas à l'email lui-même.
Méfiez-vous des salutations génériques. "Cher utilisateur" ou "Bonjour employé" au lieu de votre nom peut indiquer une tentative de phishing envoyée en masse.
Une formation régulière fait réfléchir les gens avant de cliquer. Utilisez des sessions rapides et interactives (il y en a beaucoup gratuites en ligne) tous les quelques mois. Encouragez votre équipe à signaler les emails suspects - créez une culture "Mieux vaut prévenir que guérir".
Faites ce quiz pour tester votre défense contre le phishing.
Utiliser des VPN sur les Wi-Fi publics
Travailler depuis des cafés, des aéroports ou des espaces de co-working peut être risqué. Les réseaux publics sont faciles à espionner. Un VPN (Réseau Privé Virtuel) chiffrer le trafic internet, donc même si quelqu'un essaie d'espionner, tout ce qu'il verra serait des données brouillées.
Il existe de nombreux services VPN fiables parmi lesquels choisir, et certaines entreprises mettent même en place les leurs. Encouragez les travailleurs à distance à utiliser un VPN chaque fois qu'ils ne sont pas sur un réseau de confiance.
Utiliser des outils de rapport d'activité
Lorsque les gens travaillent depuis différents endroits selon différents horaires, il est facile de perdre en visibilité. Les outils de rapport d'activité vous aident à voir comment les systèmes sont utilisés sans franchir les limites de la vie privée.
Ces outils peuvent montrer :
Les heures de connexion et les adresses IP
L'historique d'accès aux fichiers
Les modèles d'utilisation des applications
Imaginez un scénario où le compte de Rob se connecte depuis un pays où il n'est jamais allé. C'est un signal d'alarme. Avec la surveillance d'activité en place, vous le détecteriez instantanément et réinitialiseriez ses identifiants.
Des outils comme Teramind, ActivTrak, ou même des rapports intégrés des comptes Google ou Microsoft peuvent aider. Utilisés judicieusement, ils améliorent la productivité en donnant des insights sur la manière dont le temps et les outils sont utilisés - tout en signalant les comportements suspects précocement.
Limiter l'accès à ce qui est nécessaire
Plus il y a de personnes qui peuvent accéder à des données sensibles, plus le risque est grand. Ne donnez donc pas à tout le monde un accès complet, "au cas où". Suivez plutôt le principe du moindre privilège : donnez à chaque personne uniquement les outils et les fichiers dont elle a besoin.
Par exemple, votre stagiaire en marketing n'a probablement pas besoin d'accéder à vos rapports financiers. Et votre développeur n'a pas besoin des dossiers RH. L'accès basé sur les rôles maintient les choses plus propres et plus sûres.
Des outils comme Okta, Azure Active Directory, ou même les permissions de dossiers dans Google Drive ou Dropbox vous permettent d'ajuster finement qui voit quoi. Vous pouvez également suivre les journaux d'accès pour repérer les activités étranges.
Tout mettre en œuvre
La cybersécurité ne consiste pas à tout verrouiller si étroitement que personne ne peut travailler. Il s'agit de construire des habitudes intelligentes et d'utiliser les bons outils pour que votre équipe à distance puisse travailler en toute confiance et en toute sécurité.
Commencez petit. Peut-être choisissez deux ou trois choses sur lesquelles vous concentrer ce mois-ci. Une fois qu'elles font partie de votre routine, ajoutez les suivantes. Avec chaque étape, vous construisez un environnement de travail plus sûr et plus productif - pour tout le monde.
Pour plus d'articles sur la cybersécurité, rejoignez la newsletter Stealth Security.