Quels ont été les impacts du télétravail sur la cybersécurité ?
Le travail à domicile a été d'une grande aide aux organisations du monde entier au cours de l'année 2020 qui a été sans doute la période la plus difficile de la crise du Covid-19. Si le retour à la normale se précise progressivement, chaque organisation remodèle désormais sa politique de travail pour être en mesure de gérer efficacement ce type de situation d'urgence à l'avenir. Ainsi, après plus d'un an de travail à distance, presque toutes les entreprises adoptent une structure de travail hybride, permettant aux employés de travailler à domicile ou au bureau. Facebook, Apple, Salesforce, Google, etc., ont tous déjà fait une telle annonce.
Cependant, parallèlement à la montée du télétravail dans le monde, le nombre de violations de données et d'attaques de ransomware a aussi augmenté de façon considérable. À en croire les conclusions du nouveau rapport de Tessian, société spécialisée dans la sécurité des couches humaines, les habitudes qu'adoptent les travailleurs à domicile jouent un rôle important dans cette tendance. À travers une enquête réalisée sur le sujet, Tessian révèle que plus de la moitié des responsables informatiques (56 %) pensent que les employés ont acquis de mauvais comportements en matière de cybersécurité depuis qu'ils travaillent à distance.
En outre, la majorité des professionnels de l'informatique prévoient un pic d'attaques par ransomware et d'escroqueries par phishing ciblées lors de la transition vers le retour au bureau. De même, plus de la moitié (54 %) craignent que le personnel apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Et leur appréhension semble fondée - 40 % des employés ont déclaré qu'ils prévoyaient de travailler au bureau à partir d'appareils personnels. Par ailleurs, Tessian a observé que plus d'un quart des employés ont peur d'admettre qu'ils ont commis des erreurs qui compromettent la sécurité au travail.
De même, le rapport précise que les jeunes employés sont les plus susceptibles d'admettre qu'ils ont pris des raccourcis en matière de cybersécurité : 51 % des 16-24 ans et 46 % des 25-34 ans déclarent avoir utilisé des solutions de contournement de la sécurité. Le sondage a été réalisé pour Tessian par OnePoll, qui a interrogé 4 000 professionnels en activité et 200 responsables informatiques aux États-Unis et au Royaume-Uni en mai 2021. Voici quelques points clés du rapport publié cette semaine.
Des dirigeants trop optimistes quant au retour au bureau ?
Dans le cadre de l'enquête, Tessian a posé la question suivante : Le retour à un environnement de bureau se traduira-t-il par des pratiques de sécurité plus sûres ? Environ 70 % des responsables informatiques semblent le penser, estimant que le personnel sera plus enclin à suivre les politiques de sécurité de leur organisation en matière de protection et de confidentialité des données lorsqu'il travaille au bureau. Cependant, seuls 57 % des employés sont du même avis.
Les erreurs des employés menacent la cybersécurité
Le rapport estime que les propos des employés sur leurs habitudes en matière de cybersécurité ne sont pas de nature à rassurer les chefs d'entreprise. Tim Sadler, PDG de Tessian, a déclaré : « L'une des conclusions les plus choquantes et les plus alarmantes de l'enquête est le peu de cas que font les employés des erreurs de cybersécurité ». En effet, plus d'un quart des employés admettent avoir commis des erreurs qui ont compromis la sécurité de l'entreprise alors qu'ils travaillaient à domicile - des erreurs dont ils affirment que personne ne sera jamais au courant.
En outre, environ 39 % déclarent que les comportements en matière de cybersécurité qu'ils adoptent lorsqu'ils travaillent à domicile diffèrent de ceux qu'ils adoptent au bureau, la moitié d'entre eux admettant que c'est parce qu'ils ont l'impression d'être surveillés par les services informatiques. Plus encore, seule la moitié d'entre eux ont déclaré qu'ils signalaient toujours au service informatique la réception ou le clic d'un courriel de phishing. La raison ? Sadler a indiqué qu'environ 27 % d'entre eux ont déclaré avoir peur de faire l'objet de mesures disciplinaires ou de devoir suivre une formation plus poussée en matière de sécurité.
Selon Sadler, « c'est [ce comportement des employés] un problème énorme ». Ainsi, il estime que les entreprises doivent comprendre quand et pourquoi les gens font des erreurs afin d'éviter qu'elles ne se transforment en violations de données. Il ajoute que cela n'est pas possible sans visibilité sur le moment et la manière dont ces erreurs se produisent. Cependant, dans un environnement de travail hybride, où les employés sont répartis dans tout le pays et même dans le monde entier, la visibilité du comportement des employés devient plus difficile, mais d'autant plus importante.
Comment se porterait la cybersécurité après le retour ?
En ce qui concerne les inquiétudes liées au retour au travail, 54 % des responsables informatiques craignent que le personnel n'apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Cette crainte est probablement fondée en raison du nombre d'employés qui prévoient de retourner au bureau avec leurs appareils personnels. La majorité des responsables informatiques (69 %) pensent également que les attaques par ransomware seront plus préoccupantes dans un environnement de travail hybride, les cabinets juridiques et les organismes de santé étant particulièrement inquiets de cette menace.
En sus, environ 67 % d'entre eux prévoient une augmentation des courriels d'hameçonnage ciblés, qui s'ajouteront au nombre croissant d'attaques par hameçonnage auxquelles les organisations sont confrontées. Les responsables informatiques interrogés par Tessian ont également énuméré d'autres inquiétudes quant au retour au bureau. « Le passage à une main-d'œuvre entièrement à distance a été un énorme défi pour les responsables informatiques, mais la prochaine transition vers un modèle de travail hybride devrait être encore plus difficile, en particulier en ce qui concerne le comportement des employés », a prévenu Sadler.
Laprès-Covid : quels conseils pour les dirigeants d'entreprise ?
Sadler a déclaré que les employés sont les gardiens des données et des systèmes, mais attendre d'eux qu'ils soient des experts en sécurité et les effrayer pour qu'ils se conforment ne fonctionnera pas. Le PDG de Tessian estime que les responsables informatiques doivent plutôt donner la priorité à la création d'une culture de la sécurité qui donne aux gens les moyens de travailler de manière sécurisée et productive, et comprendre comment encourager un changement de comportement durable au fil du temps s'ils veulent prospérer dans cette nouvelle façon de travailler.
« Il appartient aux dirigeants d'entreprise de créer une culture qui permet aux employés de travailler de manière sûre et productive, et qui leur permet de signaler les problèmes ou les erreurs de sécurité », a-t-il déclaré. Pour y arriver, Sadler propose aux entreprises de réfléchir à leurs plus grandes vulnérabilités dans un modèle de travail hybride et d'élaborer une stratégie de sécurité en plaçant les personnes au centre. Selon lui, la sécurité ne doit pas empêcher les gens de faire leur travail. Il estime aussi qu'il faut s'assurer que les responsables de la cybersécurité sont impliqués dans les plans de réouverture des bureaux.
« La sécurité est désormais une question essentielle pour l'entreprise - elle peut en effet faire ou défaire une organisation. Il est donc encourageant de voir que 67 % des décideurs informatiques de notre enquête ont un siège à la table », a déclaré Sadler. Selon lui, les chefs d'entreprise devraient réviser la formation à la sécurité pour qu'elle ne soit plus considérée comme une punition ou un exercice à cocher, mais qu'elle renforce l'efficacité personnelle des employés. Ce serait le seul moyen d'encourager un changement de comportement durable et d'améliorer la posture de sécurité de votre entreprise.
« Par exemple, adaptez les exercices de phishing à l'employé ou au service spécifique, et armez le personnel avec les outils et les connaissances dont il a besoin pour prendre des décisions intelligentes en matière de cybersécurité lorsqu'une menace se présente. Cela est particulièrement important dans un environnement hybride, où les employés ne peuvent pas toujours vérifier les demandes directement auprès de leurs collègues », a-t-il conclu.
Source : Tessian
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions de Tessian ?
Pensez-vous que le retour au bureau va améliorer la cybersécurité ?
Êtes-vous toujours en télétravail ? Si oui, êtes-vous prêt à retourner au bureau ?
Voir aussi
Trois travailleurs sur quatre ne veulent pas retourner au bureau à plein temps, d'après une enquête qui note qu'un mode hybride entre télétravail et présentiel serait salutaire pour les entreprises
Êtes-vous pour rester de façon permanente en télétravail après la crise de coronavirus ? 34 % des travailleurs à distance préféreraient démissionner plutôt que de retourner au bureau à plein temps
Télétravail : seulement une entreprise sur dix s'attend à ce que tous ses employés retournent au bureau, alors que les entreprises envisagent un avenir post-covid avec beaucoup plus de flexibilité
La génération Z se fait avoir par le télétravail et a le sentiment de ne pas bénéficier de l'évolution de carrière qui se produit au bureau, d'après une étude de Microsoft