[Avis d'expert] Sécurité : les entreprises sont-elles prêtes pour le télétravail ?

Covid ou pas, le travail à distance a le vent en poupe depuis déjà de nombreuses années, et n’est plus l’apanage des start-up branchées. Le confinement a renforcé cette tendance et près de 40% des actifs souhaiteraient poursuivre le télétravail après la crise selon un sondage OpinionWay. Outre le déploiement d’une infrastructure serveur adaptée, le travail en remote nécessite une sécurisation des accès distants. Les entreprises sont-elles vraiment préparées ?

Dis-moi comment tu télétravailles, je te dirai qui tu es

Le confinement lié à la crise sanitaire du Covid-19 l’a mis en exergue : toutes les entreprises ne sont pas concernées par le télétravail. Soignants, ouvriers, agriculteurs – pour n’en citer que quelques-uns – ne peuvent l’envisager. Parmi les télétravailleurs, il nous faut également distinguer plusieurs profils :

• les collaborateurs en full remote, qui ont été embauchés comme tels, et pour lesquels l’employeur prend en charge la sécurisation des outils et gère les situations de BYOD (Bring Your Own Device / Apportez votre équipement personnel – pratique qui consiste à utiliser les équipements personnels des collaborateurs dans un contexte professionnel), grâce notamment aux solutions MDM (Mobile Device Management) qui contrôlent en partie les outils personnels accueillant des données entreprise ;
• les collaborateurs en télétravail partiel, souvent dans le cadre d’accords négociés entre les dirigeants et les représentants syndicaux. Dans cette situation, le rôle de l’IT consiste à mettre à disposition des salariés des outils métiers sécurisés, qu’ils soient présents dans l’entreprise ou en télétravail chez eux.

Dans les deux cas, il est indispensable que les outils métiers, applications collaboratives et accès soient sécurisés, pour une parfaite protection du travail et des données.

Sécuriser : le point du départ du travail à distance

89% des salariés qui utilisent des outils collaboratifs estiment qu’ils sont bien sécurisés, et une majorité pense que l’accès à distance n’entraîne pas de problème de sécurité, qu’il s’agisse des données des entreprises (88%) ou encore des échanges avec d’autres personnes en télétravail (81%) (Sondage OpinionWay – juin 2020). Et ils ont raison ! Il est du ressort de l’entreprise de fournir un matériel sécurisé à ses employés et de ne pas les mettre en danger. Pourtant… c’est parfois là que le bât blesse. Sécuriser le matériel informatique mobile demande de la réflexion et de l’anticipation. Globalement, si le projet est pensé et structuré, le niveau de sécurité d’un poste de travail peut être le même, que le collaborateur soit chez lui ou physiquement dans les locaux de l’entreprise. Aujourd’hui, la plupart des systèmes informatiques des entreprises reposent sur une gestion en mode SaaS (Software as a Service), ce qui signifie que les logiciels utilisés sont installés sur des serveurs distants et non sur la machine du collaborateur. De plus, grâce au SD-WAN (Software-Defined Wide Area Network), une connexion réseau peut être définie en fonction d’un besoin application sans qu’il y ait besoin de recourir à un VPN. Si l’on ajoute à cela une gestion sécurisée des accès grâce à l’authentification forte (multi-facteurs), ou encore un CASB (agent de sécurité des accès aux services cloud), le risque informatique peut réellement être contrôlé, et ce également dans les cas de home office.

Coût de la sécurité vs coût du risque

Aujourd’hui, les moyens techniques existent pour sécuriser les outils et le travail des collaborateurs où qu’ils soient. Mais s’équiper et mettre en place une politique de cybersécurité nécessite un engagement réel de la part de l’entreprise, l’analyse du risque et l’implémentation de la politique de sécurité ayant un coût parfois non négligeable. Une question se pose alors : le coût de la sécurité est-il supérieur au coût du risque (d’attaque, de perte de données, etc.) ? Cet arbitrage est souvent lié à la culture de l’entreprise. L’explosion du nombre de cyberattaques pendant le confinement, perpétrées par des hackers qui ont profité des failles sécuritaires des entreprises mal préparées, peut sans doute influencer la prise de décision des dirigeants !

Pour conclure, nous dirons que le travail en remote n’est pas plus risqué que celui en entreprise, sous réserve que cette dernière dispose d’une politique de sécurité adaptée et à jour. Ensuite, il convient de s’interroger sur le risque lié à l’activité même du collaborateur. Un trader en home office ne s’exposerait-il pas plus à une attaque physique qu’à une cyberattaque ? Tous les risques ne sont pas informatiques : la sécurité doit toujours s’envisager de manière globale.

Jacques-Bruno Delaroche, ingénieur avant-vente chez Exclusive Networks

Les avis d'expert sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

Sélectionné pour vous

[Avis d'expert] Tirer le meilleur du leadership pour affronter les événements mondiaux

Améliorer sa cyber résilience (ou l’art de se relever après une chute)

Pourquoi la forêt française a besoin d’un traitement de fond