Télétravail et sécurité : nos bonnes pratiques

20.04.20

Face à la propagation du covid-19, le confinement est de mise pour nous protéger ainsi que nos concitoyens. Le recours au télétravail est alors devenu une pratique commune. Cela peut augmenter les surfaces d’exposition aux cyberattaques, les télétravailleurs pouvant constituer des cyber-cibles vulnérables. Au cours de cette période inédite, Netsystem souhaite valoriser l’expérience de ses collaborateurs pour identifier des bonnes pratiques en matière de télétravail.

J’identifie les signaux d’alerte d’une cyberattaque

Phishing, ransomware, escroquerie : de multiples menaces sont présentes en ligne. Comment les identifier afin d’éviter de se faire piéger ? Nos conseils en vidéo :

Merci à notre partenaire Conscio Technologies pour la vidéo mise à disposition
Le coin des DSI/RSSI

Je mets en place un programme de sensibilisation en tenant compte des usages du SI
Les collaborateurs sont la première barrière entre un attaquant et votre système d’information. Afin de renforcer la vigilance de vos collaborateurs il est important qu’ils soient sensibilisés aux problématiques liés à leur métier ainsi qu’à leurs usages du SI. Dans certains cas, cette tâche pourra vous sembler ardue, voire irréalisable, mais il est bon de savoir que vous pouvez vous faire accompagner par des professionnels (coach d’entreprise par exemple), pour mener à bien ce programme.

Je choisis avec soin mes mots de passe

Rappelons quelques règles élémentaires lors de la création de nos mots de passe, éléments essentiels en matière de cyber protection. Tout d’abord, citons et répétons une règle essentielle : un bon mot de passe est composé de 12 caractères de type différents de l’utilisation des majuscules/ minuscules aux caractères spéciaux en passant par les chiffres. Un autre conseil : n’employez pas d’informations personnelles (nom/prénom/date de naissance) – faciles à retrouver sur les réseaux sociaux – pour constituer votre mot de passe.

Pour plus d’originalité, plusieurs méthodes peuvent être utilisées :

  • La méthode phonétique : « j’ai acheté un livre cet après-midi » : ght1£s%E7am
  • La méthode des premières lettres : « Gestes barrières contre Covid-19, bonnes pratiques contre cyberattaques ! » : gbcC19bpcc!
  • La phrase de passe : « Tu me fends le coeur ! » . Quand cela est possible, une phrase de passe est souvent plus facile à retenir qu’un mot de passe dit complexe, et fournit autant voir d’avantage de sécurité.

Enfin, les mots de passe utilisés pour l’accès à des contenus sensibles ne doivent pas être réutilisés pour d’autres services en ligne. Au moindre soupçon, nous vous encourageons à changer votre mot de passe.

Je centralise la fonction l’authentification sur l’annuaire de mon organisation et je favorise l’utilisation d’un coffre-fort de mot de passe.
Plus la fonction d’authentification sera portée par l’annuaire, plus il sera facile de gérer et maîtriser les accès aux divers systèmes et applications de l’organisation. Quand cela n’est pas possible, l’utilisation d’un coffre-fort de mot de passe (type Keepass) apporte une couche de sécurité supplémentaire et peut faciliter la vie des usagers ayant de nombreux mots de passe à gérer.

Je privilégie l’authentification à double facteur

Pour renforcer la sécurité de vos accès en ligne, de nombreux services proposent une double authentification permettant de vérifier votre identité. Grâce à cette méthode, vous pouvez autoriser la connexion d’un nouvel appareil aux comptes protégés.

Découvrez nos explications :

Merci à notre partenaire Conscio Technologies pour la vidéo mise à disposition

Précautions concernant l’usage de la biométrie.
L’usage de la biométrie est à traiter avec précaution. À la différence des autres facteurs connus ou détenus par l’utilisateur, les facteurs biométriques ne peuvent pas être protégés en confidentialité. Il est ainsi très facile pour un attaquant d’obtenir les empreintes d’un individu et de chercher à forger une copie acceptable par le système authentifiant.
Si une telle attaque est détectée, il est impossible, à la différence d’un certificat ou d’un mot de passe, de révoquer l’accès en attendant une mise à jour corrigeant la vulnérabilité. En effet, cela reviendrait à révoquer également l’accès de l’utilisateur légitime car il n’est pas possible de changer ses facteurs biométriques.

Je privilégie la mise en place d’un accès VPN

Le Réseau Privé Virtuel (VPN) s’avère particulièrement efficient à l’heure du télétravail permettant d’obtenir une liaison sécurisée à moindre coût entre le poste du télétravailleur et l’entreprise.

Plus de détails :

Merci à notre partenaire Conscio Technologies pour la vidéo mise à disposition

Je privilégie la solution VPN IPSec et je limite les suites cryptographiques utilisées.
La solution VPN IPsec doit être à l’état de l’art pour les mécanismes de chiffrement et d’authentification mutuelle (cf. les bonnes pratiques d’implémentation fournies par l’ANSSI: https://www.ssi.gouv.fr/ipsec).
En particulier, il est nécessaire de limiter les suites cryptographiques utilisées pour la négociation entre le client VPN et le concentrateur VPN, afin de n’autoriser que les suites cryptographiques les plus robustes.

Prudence lorsque j’utilise ma messagerie !

Comment se protéger des attaques de phishing ? Vigilance accrue en présence de liens URL et de pièces jointes, vérification de l’identité de l’émetteur du mail… Toutes les réponses, astuces et conseils :

Merci à notre partenaire Conscio Technologies pour la vidéo mise à disposition

Je n’autorise l’accès au service de messagerie qu’à travers le tunnel VPN sécurisé.
Parmi les ressources métiers accessibles depuis l’extérieur de l’entité, il n’est pas rare de voir la messagerie professionnelle joignable directement sur Internet, par le biais d’un portail de messagerie ou service webmail. Même si ce type de service répond à une demande importante des utilisateurs dans les différentes entités, il est fortement recommandé de ne pas mettre en place de messagerie professionnelle accessible directement depuis Internet.

En effet, un accès d’utilisateur nomade à un service métier joignable directement sur Internet revient à autoriser la connexion d’équipements personnels au SI de l’entité (BYOD). Il suffit que l’équipement soit compromis (par exemple en exploitant une vulnérabilité du navigateur Web) pour qu’un attaquant puisse accéder facilement à des informations confidentielles de l’entité.
De même, en utilisant un Keylogger, un attaquant peut également récupérer facilement un compte utilisateur ainsi que son mot de passe et essayer de s’en servir pour accéder au SI interne.

Les flux de messagerie professionnelle (ou webmail) doivent donc transiter, au même titre que toutes les applications métiers des utilisateurs nomades, par le tunnel VPN sécurisé et la DMZ entrante de l’entité.

Je sécurise mon accès Wifi

Tout d’abord, nous vous conseillons de toujours privilégier une installation filaire plutôt que le Wifi. Néanmoins, le Wifi peut parfois être le seul moyen possible afin d’accéder à internet. Dans ce cas, il est essentiel de sécuriser votre Wifi en configurant votre borne d’accès à Internet. Concrètement, nous vous conseillons de contacter l’assistance technique de votre fournisseur d’accès au moment de la première connexion de votre ordinateur en Wifi. Pour cela, il suffit d’ouvrir votre navigateur Internet afin que l’interface de configuration s’affiche de manière automatique.

Dans cette interface, nous vous invitons à modifier l’identifiant de connexion et le mot de passe par défaut attribués par votre fournisseur d’accès. En parallèle, vous pouvez vérifier que votre borne dispose du protocole de chiffrement WPA2. Si tel est le cas, nous vous invitons à l’activer. Dans le cas inverse, utilisez la version WPA-AES.

D’autre part, nous vous conseillons de modifier la clé de connexion par défaut – souvent située sur l’étiquette de votre borne d’accès à Internet – par un mot de passe composé de 12 caractères différents au minimum. En complément, il est prudent d’activer la fonction pare-feu de votre box ainsi que de désactiver votre borne d’accès lorsqu’elle n’est pas utilisée.

Dernière précaution à prendre s’agissant de l’utilisation du Wifi : limitez au maximum le recours aux Wifi publics pour des raisons de sécurité et de confidentialité. En effet, l’identité de la personne ou de l’organisme en charge du contrôle de ces réseaux publics, peut être douteuse. Quels sont les risques ? L’interception de vos connexions et la récupération de vos comptes d’accès à des services sensibles.

Comme toujours en matière de cybersécurité : vigilance et bon sens permettent d’éviter des dommages bien regrettables.

Je bloque le split-tunneling sur l’équipement d’accès nomade et n’autorise que les flux nécessaires pour monter le tunnel VPN.
Le split tunneling est un concept de mise en réseau informatique qui permet à un utilisateur mobile d’accéder à des domaines de sécurité différents comme un réseau public et un LAN ou WAN local en même temps, en utilisant des connexions réseau identiques ou différentes.
Il est impératif que l’utilisateur nomade ne puisse pas utiliser sa connexion réseau locale pour d’autres flux que ceux nécessaires à l’établissement du tunnel VPN. Par exemple, un utilisateur nomade en télétravail ne doit pas, depuis son poste professionnel, naviguer directement sur Internet, utiliser son imprimante personnelle installée chez lui ou encore accéder à des équipements personnels.