Conseils pour la sécurité et l’accompagnement de télétravailleurs

0

En réponse à l’épidémie COVID-19, de nombreuses entreprises ont commencé à instaurer le télétravail afin de protéger leurs employés et de limiter la propagation de la maladie. Suite à l’annonce faite jeudi par le Président de la République les études de faisabilité vont se transformer en projets prioritaires dans les jours à venir pour assurer la continuité de l’activité de l’entreprise tout en maintenant une certaine vélocité et en évitant autant que possible d’augmenter la friction pour l’utilisateur final. Des situations telles que celle à laquelle nous sommes confrontés aujourd’hui peuvent amener les équipes informatiques à voir monter en flèche le nombre des télétravailleurs dont elles doivent assurer le support en collaboration avec les équipés en charge de la sécurité du système d’information et des données de l’entreprise

Voici donc quelques conseils pour vous aider à assurer la sécurité et l’accompagnement des télétravailleurs :

  1. Appuyez-vous sur les plans de préparation aux situations d’urgence ou de continuité d’activité de votre entreprise 

Ce n’est pas le moment de réinventer la roue. Profitez de cette opportunité pour valider les hypothèses en matière de sécurité et de capacité de télétravail.

  • Analysez les processus métiers par département afin de déterminer de quelles applications ces groupes d’employés ont besoin pour accomplir leur travail, par ordre de priorité et en complément des outils de communication et de collaboration de base
  • Si possible, mettez en place un plan de télétravail par roulement afin de limiter le nombre des employés ou sites concernés simultanément et de tester ainsi l’accès à distance par département ou par type de poste. La validation de la montée en charge de l’accès VPN et de l’accès Internet qui y est lié sont un must (et c’est vrai aussi pour les accès Internet au domicile)
  • Prenez le temps de réfléchir à votre stratégie de communication. Allez-vous communiquer au niveau de chaque département ? De chaque zone géographique ou site ? Comment allez-vous communiquer les mises à jour les plus importantes à tous les employés (par exemple, la messagerie interne de l’entreprise est-elle suffisante ou un système de notification de masse tiers, via SMS ou par application mobile, est-il nécessaire) ?
  1. Testez vos plans de sécurité, tant en termes d’accès que de capacité

Il est essentiel ici de vérifier dans quelle mesure votre stratégie de sécurité existante peut s’adapter pour faire face à une forte augmentation du nombre de télétravailleurs.

  • Prenez-vous en compte les exigences des applications qui se trouvent sur site (par exemple dans votre salle serveur ou un centre d’hébergement tier), cloud et hybrides auxquels vos employés doivent accéder pour accomplir leur travail ? 
  • Est-ce que votre (voire vos) solution(s) d’authentification permet(tent) une authentification forte ou multi-facteur ? Dans le cas contraire, quelles sont les lacunes à combler ?
  • Concernant les applications cloud : celles utilisées par vos employés présentent-elles les niveaux d’élasticité appropriés ? Peuvent-elles facilement monter en capacité pour supporter des pics de centaines voire milliers d’utilisateurs ? Quel est le risque que vos employés se connectent à des applications tierces, non validées et non sécurisées par l’entreprise pour pouvoir effectuer leur travail ? Le risque de voir le Shadow IT (« l’informatique grise ») se propager, comme le coronavirus, est important. Pensez à la protection des données immatérielles de l’entreprise et profiter en pour communiquer sur le sujet.
  1. Testez la sécurité et la capacité de votre VPN

Une stratégie de VPN solide est fondamentale pour assurer la sécurité des utilisateurs et des données. C’est d’autant plus vrai pour les entreprises prévoyant de gérer de grands groupes de télétravailleurs.

  1. Déterminez le nombre total de télétravailleurs à prendre en charge et prévoyez de faire évoluer la capacité VPN afin d’assurer la continuité des opérations.
  2. Testez la sécurité et la capacité au niveau de chaque département. Quelles applications utilise le marketing par rapport aux développeurs, à la finance ou la comptabilité ? Comme indiqué plus haut, un plan de télétravail par roulement peut vous aider à identifier les besoins qui seront potentiels et divers (application métier interne vs offre SaaS).
  3. Déployez potentiellement des connexions VPN performantes, séparées et privées, dédiées aux différents groupes d’employés pour leur permettre d’effectuer leurs tâches critiques. 
  4. Profitez-en pour communiquer sur la protection des données !
  • Le télétravail sera une nouveauté pour potentiellement beaucoup d’employés, et la majorité fera tout ce qui est possible pour continuer à travailler et à assurer leur mission. Le département informatique et tout particulièrement le service support ne pourra pas toujours suivre la montée en charge ce qui conduira certains utilisateurs à utiliser des solutions ou des applications alternatives pour travailler et communiquer (messageries tierces, solutions de stockage et de partage de fichiers, etc). Profitez-en pour sensibiliser vos employés sur la protection des données de l’entreprise.

Les situations d’urgence sont inévitables. C’est la raison première pour laquelle les entreprises élaborent des plans de continuité d’activité. Mettez à profit cette opportunité pour valider et adapter les hypothèses relatives au télétravail. Assurez-vous que votre VPN et votre stratégie de sécurité en général couvrent toutes les applications dont votre personnel a besoin pour accomplir son travail, où que ces applications soient hébergées. En suivant ces conseils, vous pouvez faire beaucoup pour assurer la sécurité de votre entreprise sans compromettre la productivité de ses employés. Et une fois que les grosses vagues seront passées, je suis convaincu que beaucoup de DSI et de RSSI vont repenser leur architecture pour y intégrer une approche « Zero Trust » et protection des données dans le Cloud/les applications SaaS.

About Author

Nicolas Fischbach

En tant que Global CTO, Nicolas Fischbach pilote la vision de l'entreprise. Il définit le programme de recherche, les feuilles de route de la technologie et de l'architecture. Il a notamment développé le système Human Point de Forcepoint. Il est responsable des laboratoires d'innovation Forcepoint et joue un rôle essentiel dans le développement du leadership de la marque. Nicolas Fischbach dirige une équipe d'architectes de solutions de Human point et de RSSI présents sur le terrain. Il parraine également des partenariats universitaires de R&D et des transferts de technologie Raytheon. Précédemment, Nicolas Fischbach a dirigé la première transformation cloud de Forcepoint en tant que directeur technique pour les activités de sécurité cloud de l'entreprise. Au cours de cette mission Nicolas a supervisé la direction technique et l'innovation. Avant de rejoindre Forcepoint, Nicolas a passé 17 ans chez Colt, fournisseur mondial de services B2B, en tant qu'ingénieur réseau senior et responsable de la stratégie, de l'architecture et de l'innovation à l'échelle de l'entreprise. Sous sa direction, Colt a reçu de nombreuses distinctions en tant que pionnier de la transformation du SDN, du NFV et des télécommunications. Nicolas Fischbach est une figure reconnue en matière de sécurité des fournisseurs de services, d’architectures de réseaux et de cloud computing de nouvelle génération. Il est titulaire d'une maîtrise en réseautique et informatique distribuée de l'Université Pierre et Marie Curie, d'une maîtrise en informatique de l'Institut des technologies de l'information et d'un bachelor en informatique de l'Institut de technologie de l'Université Robert Schuman. Nicolas est également un ancien membre du conseil consultatif d'un certain nombre d'entreprises et consacre du temps à la communauté en tant que membre du Honeynet Project, un organisme de recherche dédié à la sécurité sur Internet.

Leave A Reply