Le télétravail va s’imposer comme un nouveau mode d’organisation du travail assujetti à de nouveaux risques hybrides

24/06/2020 - 4 min. de lecture

Le télétravail va s’imposer comme un nouveau mode d’organisation du travail assujetti à de nouveaux risques hybrides - Cercle K2

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

Christian Segot et Ziad Hajar sont tous deux Directeurs chez Byblos Group.

---

Les constats liés à la crise COVID-19

La crise sanitaire a radicalement changé les modes d’organisation du travail. Alors qu’1 actif sur 5 (étude Odoxa-Adviso Partners) pratique et plébiscite le télétravail, cette nouvelle donne présente également de grands risques informationnels en augmentant de manière considérable le nombre de failles potentielles: entre le 1er et le 23 mars, le spécialiste en cybersécurité Barracuda Networks a enregistré un bond de 667% des tentatives d’hameçonnage surfant sur la Covid-19.

Nos entreprises, durement touchées par la crise sanitaire, ont fourni dans l’urgence des accès distants à leurs salariés. Ces derniers, concentrés sur leurs nouveaux outils de travail, ont sans en avoir conscience, ouvert la voie aux hackers : du vol de données privées et professionnelles à la privation de leurs appareils informatiques (portables, ordinateurs, etc.), les pirates informatiques exercent des pressions morales considérables : envoi massif d’emails malveillants, chantage, manipulation, faux ordres de virement et même demandes de rançon.

Alors que 73% des salariés souhaitent poursuivre le télétravail (42% de manière ponctuelle et 31% plus régulièrement), toutes les entreprises ne sont pas égales face aux risques cyber et informationnels. Si les plus grandes sociétés ont eu les moyens d’anticiper cette situation de crise, beaucoup d’ETI et PME ont dû développer leurs solutions de télétravail dans l’urgence sans même former leurs collaborateurs, managers et techniciens aux nouveaux risques de cyberattaques et de vol de données.

 

Une approche de la cybersécurité des télétravailleurs

Shira Rubinoff, dans son livre Cyberminds, décrit 4 piliers pour appliquer des mesures de cyber-hygiène :

  • la formation continue de tous les employés sans exception,
  • la promotion au sein de l’organisation d’une culture de sensibilisation globale et mondiale,
  • des mises à jour régulières du Système d’Information,
  • la mise en place d’un modèle « confiance zéro » associé à un Management des identités.

C’est en effet l’humain le maillon faible de la chaîne de cybersécurité : il faut donc faire de chaque salarié une solution et non un problème !

Le simple respect des réglementations n’est plus suffisant pour garantir une sécurité maximale. Bien entendu les salariés doivent :

  • être informés sur les outils du SI (Système d’Information) qu’ils peuvent et vont utiliser, les plateformes de stockage cloud, les outils de communication, ceux éventuellement de gestion de projet, validés par la DSI (Direction du Système d’Information) et considérés comme sûrs,
  • connaître la bonne marche à suivre s’ils pensent que des informations ont été compromises,
  • savoir comment et à qui signaler l’éventuel incident et savoir changer leurs mots de passe…

Il existe donc de nombreux « prérequis » qui peuvent faire renoncer la Direction d’une entreprise à mettre en place le télétravail alors que cela va devenir un enjeu crucial d'attractivité des meilleurs talents dans une entreprise, sans compter que le nomadisme existe déjà pour beaucoup de salariés. Aussi, positivé et encouragé dans les dernières ordonnances réformant le Code du travail nul doute que l’article L.1222-9, I concernant le télétravail va encore évoluer.

 

Former et entraîner pour être et durer

La formation continue doit être adaptée à l’environnement de travail et l’utilisation d’une plateforme de simulation type cyber-range permet non seulement de reproduire à chaque instant le SI (Système d’Information) de l’entreprise mais aussi de mettre les télétravailleurs (en équipe ou de manière individuelle) en situation réelle face à différentes menaces générées ou catégories d’incidents. Un entraînement régulier permet :

  • d’éprouver et de développer les compétences comme la capacité et la volonté d’exploiter des technologies existantes et émergentes pour obtenir de meilleurs résultats métiers,
  • de développer des équipes dotées des compétences nécessaires à la sécurisation et à l’exploitation de plateformes requises pour constituer une organisation résiliente.

Les exercices ou entraînements conduits sur un cyber-range peuvent aider à renforcer le 2nd pilier qu’est la sensibilisation en interne, là où d’autres méthodes auraient échoué. Le tout grâce à des sessions interactives reproduisant des scénarios bien réels : cela peut très probablement influencer la culture de l’organisation pour la rendre plus consciente du risque.

Il est aussi possible de prendre en compte l’Internet Industriel compris ici dans sa forme la plus générale de système ouvert par différence avec les systèmes historiquement fermés qui s’appuyaient davantage sur la sécurité physique pour garantir l’intégrité. Cette évolution d’un système fermé vers un système ouvert entraîne plus d’interdépendances et de recoupements et s’accompagne d’un cortège de nouvelles problématiques de sécurité. Ainsi, en sus de l’IT (Information Technology) cette formation permet d’adresser les technologies d’exploitations ou OT (Operational Technology) soit le matériel et les logiciels qui détectent ou provoquent un changement par le biais de la surveillance et/ou du contrôle directs des périphériques physiques, des processus et des événements dans l’entreprise.

 

Conclusion

L’émergence des attaques massives ciblant les actifs d’un pays n’est qu’une question de temps. Récemment le premier ministre australien a annoncé que « des organisations australiennes sont actuellement visées par un acteur étatique sophistiqué » sans le citer tout en exhortant les entreprises et les institutions à "se protéger".

La protection de l’entreprise pour être plus résiliente ou « antifragile » (concept fondé sur une organisation qui se renforce ou s’améliore lorsqu’elle est confrontée à une certaine dose de stress, de force, ou de choc…) passe par un système de défense dont le soldat est le salarié lui-même. Etant en même temps un rempart et une brèche potentielle, il doit être capable de s’adapter aux nouveaux modes de travail et de s’approprier à distance et en toute sécurité la suite des outils informatiques qui sont mis à sa disposition.

A l’instar de la formation SST (Sauveteur Secouriste du Travail), devenue obligatoire dans certaines entreprises, nous croyons profondément qu’une formation sur les risques cyber pour les télétravailleurs devrait faire office de premier vaccin afin de renforcer les défenses immunitaires des entreprises particulièrement celle optant pour le télétravail.

 

Christian Segot et Ziad Hajar

24/06/2020

Last publications