10 points à contrôler pour télétravailler en toute sécurité

10 points à contrôler pour télétravailler en toute sécurité

Le télétravail est un des impacts majeurs que le COVID-19 a eu sur notre quotidien. Des millions de personnes traitent désormais des données sensibles chez elles plutôt qu’au bureau, là où le réseau est surveillé et où les bons réflexes sont plus ancrés que dans son salon. Si le télétravail apporte des avantages indéniables, il représente aussi une augmentation des risques d’un point de vue sécurité informatique.


Image : Roman Koval

Les personnes travaillant dans des secteurs comme la banque ou la santé sont souvent amenées à manipuler des données confidentielles. Cela dit, chaque entreprise possède potentiellement des données sensibles qu’elle doit garder secrètes.

Si vous êtes amené à utiliser ce type d’informations, ou si vous êtes chargé d’assurer qu’elles restent sous contrôle, le télétravail peut vite devenir une situation à hauts risques. Entre les difficultés techniques et les erreurs humaines, les occasions de subir une fuite de données en bonne et due forme ne manquent pas.

Bien que cette liste soit loin d’être exhaustive, essayons de réduire le risque en appliquant quelques principes.

1 – Utiliser le matériel du bureau

Si vous utilisez chez vous votre ordinateur personnel plutôt que celui du bureau, vous introduisez des failles potentielles. Vous avez sûrement sur votre PC des applications non nécessaires et potentiellement dangereuses, ou peut-être partagez-vous votre ordinateur ?

Veillez aussi à garder votre ordinateur professionnel dans un bon état de santé/sécurité en vous basant sur les prochaines recommandations.

2 – Sécuriser son Wifi personnel

Un mot de passe est prédéfini sur la plupart des routeurs (box internet etc.). Malheureusement il est souvent assez court (moins de 16 caractères), voir partagé avec d’autres routeurs. Même si vous l’avez changé lors de l’installation, il est peut-être temps de le changer de nouveau, surtout si vous l’avez communiqué à vos invités. Une petite purge des accès de temps en temps ne fait jamais de mal !

Profitez-en pour vérifier que vous utilisez bien la norme WPA2 (la plus sécurisée actuellement) et si possible, masquez votre nom de wifi (personnalisable dans les réglages de la plupart des routeurs). En masquant le nom du wifi vous évitez d’attirer l’attention sur votre réseau. Les appareils déjà connectés se souviendront du nom du réseau sans problème. Si vous devez ajouter de nouveaux périphériques, il suffira de leur indiquer le nom de votre réseau wifi manuellement.

3 – Faire les mises à jour

Vous l’entendez très souvent, faire régulièrement les mises à jour est un impératif pour avoir une bonne « hygiène de vie » de votre PC. La plupart des mises à jour contiennent des corrections de bugs ou de failles de sécurité. N’attendez pas trop pour les faire…

4 – Rester prudent en visioconférence

C’est bien connu, l’humain est le risque n°1 quand on parle de sécurité informatique. Evitez d’être celui qui publiera une capture d’écran d’une visioconférence sur laquelle on pourra clairement lire un mot de passe noté quelque part, ou d’autres données confidentielles dans une fenêtre oubliée…

Et soyez sympa avec vos collègues. Avant de poster une capture de la réunion sur vos réseaux sociaux, demandez-leur s’ils sont d’accord !

5 – Utiliser des mots de passe forts et uniques

On ne le répétera jamais assez, un mot de passe doit avoir un nombre suffisant de caractères pour résister longtemps (plusieurs années) aux attaques. Essayez de le changer régulièrement et surtout de ne pas utiliser le même partout. Si un service est corrompu, vous risquez de vous faire pirater partout où vous utilisez le même mot de passe. Utilisez un gestionnaire de mot de passe reconnu (comme Bitwarden) pour vous aider à vous y retrouver.

Vous jouez avec les cubes ? Non, je lui apprend à créer des mots de passe forts.

6 – Utiliser des moyens de communication chiffrés

Si vous échangez des informations confidentielles, évitez de les transmettre via des outils connus pour scanner le contenu de vos messages (Gmail…) ou être peu discrets (Messenger…). Sachez qu’avec ProtonMail vous disposez d’une boite e-mail offrant un moyen simple d’envoyer des messages chiffrés à d’autres boites e-mail sécurisées ou non.

Au niveau des messages, je vous recommande Signal (déjà présenté sur ce blog). De manière générale, même si vous n’avez pas toujours le choix de l’outil, vous pouvez au moins vous renseigner sur sa fiabilité et sa réputation.

7 – Activer l’identification à 2 facteurs

Activer l’identification à 2 facteurs (2FA) sur vos comptes empêchera une personne mal intentionnée de se connecter, même si elle possède le bon mot de passe. Le principe est de générer automatiquement un code unique sur une app, un email, un SMS, ou un périphérique que vous seul possédez, pour compléter le mot de passe. Je vous conseille d’utiliser le 2FA aussi souvent que possible. Vous pouvez vérifier quels services proposent un 2FA via twofactorauth.org

8 – Accéder au réseau du bureau de façon sécurisée (VPN)

Evitez d’envoyer des informations sensibles via des applications dont la sécurité est douteuse, comme Slack ou Zoom, qui ont fait couler beaucoup d’encre ces derniers temps.

Si vous utilisez une connexion « bureau à distance » pour accéder à votre ordinateur de travail et que votre entreprise ne vous a pas fourni de VPN officiel, privilégiez un VPN qui utilise des protocoles connus pour être sécurisés comme ProtonVPN ou NordVPN. Cela vous protégera également de l’indiscrétion des trackers et de votre fournisseur d’accès.

9 – S’assurer que les données enregistrées sont protégées

Si vous enregistrez sur votre ordinateur ou sur votre mobile des données sensibles sans les chiffrer (crypter), vous prenez un gros risque en cas de perte ou vol de votre matériel. En effet il ne serait pas très difficile pour un pirate en possession de votre matériel, de récupérer les informations stockées « en clair » (donc non chiffrées), même sans connaître votre mot de passe !

Essayez donc au maximum d’utiliser le chiffrement de votre smartphone et du disque dur de votre ordinateur. Android, iOS, MacOS et Windows ont tous des systèmes de chiffrement intégrés. Vous pouvez aussi utiliser VeraCrypt (déjà présenté sur ce blog) pour un chiffrement plus localisé.

Dans tous les cas, n’oubliez pas de stocker vos codes de récupération dans un endroit sûr !

10 – Protéger vos visioconférences

Utilisez les moyens mis à votre disposition par les différents outils de visio pour éviter le « ZoomBombing », c’est-à-dire les personnes qui s’incrustent dans vos réunions dans le seul but de les perturber. Cette pratique est devenue à la mode pendant le confinement. Toutes vos visioconférences devraient être protégées par mot de passe et devraient empêcher l’accès des utilisateurs non invités.

Attention au ZoomBombing… qui n’est pas limité à Zoom bien entendu.

11 – Bonus : travailler pour de vrai

Oui, les listes de 10 points peuvent en contenir 11 ! Ce dernier sujet est un peu particulier : il ne s’agit pas d’un élément à sécuriser mais plutôt d’une mise en garde face à des employeurs peu scrupuleux. Il existe en effet de nombreux outils permettant aux managers qui manquent de confiance en leurs employés de :

  • prendre des captures d’écran toutes les 10 minutes ;
  • analyser la vitesse de frappe du clavier ;
  • lister les sites visités pendant les heures de bureau ;
  • etc.

Il n’est pas toujours possible d’éviter ces types de pistages. Pour ces aspects vous n’avez pas vraiment le choix, il faut simplement travailler consciencieusement !


Bonne mise en pratique et n’hésitez pas à me demander des détails sur ces 11 points dans les commentaires (et non je ne donnerai pas les noms des outils permettant d’espionner vos collègues…).

Source

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.