;

Oui au Télétravail, Non à l’insécurité informatique

Le Manager• N° 262 • AVRIL 2020 | 03-04-2020


Le monde entier retient sa respiration en faisant face à une pandémie affectant humain et économie. Confinement total oblige, de nombreuses entreprises ont dû faire le choix du télétravail pour leurs employés en vue de limiter la présence physique au maximum. Prôner le télétravail oui, mais dans quelles conditions et comment se prémunir contre le risque de sécurité informatique ? A ces questions, Anis Youssefi, CEO Advancia IT SYSTEM Tunisie, entreprise spécialisée dans la fourniture des services Cloud et des services managés, répond en essayant de préciser au mieux le nécessaire et l’indispensable afin de garantir un télétravail sécurisé.

D’entrée de jeux, Anis Youssefi a rétorqué sur l’aspect réglementaire : « Le cadre légal du télétravail  en Tunisie n’est pas tout à fait mis en place même en termes de droit du travail. Nous sommes davantage dans l'initiative privée et l’effort personnel plus qu’autre chose, et ce, dans le but de se montrer solidaires de nos employés », a-t-il indiqué. Et c’est peut-être pour cela, entres autres, que le télétravail en Tunisie n’est pas une pratique très commune. «Il faut, en premier lieu, penser à la sécurisation des systèmes d'information des entreprises lorsqu’il s’agit d'un travail nécessitant un accès à travers des applications internes.  Nous nous intéresserons donc à tout ce qui touche à la connexion sécurisée, VPN, des solutions de gestion des menaces, etc. » a précisé Anis Youssefi. Cela signifie donc que l’employé qui fera du télétravail doit disposer d'un pare-feu, d'un logiciel de détection et de prévention contre l’intrusion, des solutions de gestion de vulnérabilité. Il peut s’agir, selon Anis Youssefi, de Rapid7 ou encore Qualys VM, qui permettent de détecter les risques d'insécurité d'une manière continue. « L’on appelle cela de la « vulnerability management» qui  signifie  que  nous  sommes davantage dans la proactivité en prévoyant une attaque ciblée éventuelle dont le processus peut être lent.  Je vous donne un exemple pour comprendre la question de la vulnérabilité lorsqu’il s’agit du télétravail : il existe une vidéo qui circule sur les réseaux sociaux et qui fait installer un cheval de Troie lorsque l’on clique dessus ». Ainsi, pour mieux expliquer les choses, si l’employé utilise l’ordinateur  de l’entreprise pour effectuer son travail à distance et qu’il clique sur ce type de vidéo, ce cheval de Troie sera donc introduit dans le système d'information de l’entreprise

PRÉCONISATION DE SÉCURITÉ


Les outils de prévention contre un défaut de sécurité dans le cadre du télétravail existent et peuvent être utilisés en fonction de l’entreprise et de sa configuration. Par exemple, on peut définir une politique de sécurité qui, avant de permettre l'accès à une  application  de  l'entreprise,  s'assure que la machine utilisée dispose de la dernière mise à jour, qu'elle dispose d'un firewall, d'un antivirus, etc. Il y a de surcroît la possibilité de forcer l'activation de la 2-factor authentification. Selon Anis Youssefi, « il faut également installer des solutions de gestion de vulnérabilité et renforcer l’antivirus au niveau du post de travail afin qu’il puisse détecter les attaques éventuelles qui ne sont pas facilement détectables par un simple antivirus ». Il affirme que s’orienter vers des solutions Cloud réduit considérablement la vulnérabilité de l’entreprise car les applications ne sont plus situées au niveau de celle-ci. En effet, elles seront placées au niveau d'opérateurs certifiés sur des normes très sophistiquées en matière de sécurité. Ainsi, pour mieux cerner les choses, voici un exemple : si l’on travaille avec ses collaborateurs via Teams, l’on est assuré de la sécurité de l’outil car il est installé dans le Cloud de Microsoft qui est très sécurisé. Au final, le grand risque demeure celui de l'accès à l’entreprise. Car ouvrir un VPN de connexion est tout simplement l’équivalent de l’ouverture de la porte d'une entreprise, c’est aussi ouvrir des brèches pour entrer dans celle-ci. “D’ailleurs, pour plus de sécurité, lorsque vous ouvrez le VPN, il faut que l’accès soit limité par rapport à certains utilisateurs et garder une grande vigilance” préconise Anis Youssefi. Il est impératif de multiplier la prudence,  notamment  par  rapport aux données installées dans l’ordinateur portable, car celui-ci peut  être  perdu  ou  même  volé.  Pour remédier à cela, il existe des solutions de chiffrement de données,  au  niveau  de  l’ordinateur.  S’ajoute  à  cela,  les  solutions  de  sauvegarde des données qu’il faut installer quelque soit le modèle de travail”, explique Anis Youssefi avant d'ajouter : «Nous offrons une solution de sauvegarde des données externalisée régulière en souscrivant au service approprié et sans se préoccuper de quoi que ce soit. Ou encore, une solution de sauvegarde des données interne à l’entreprise».

Quid de la Responsabilité en cas de problème


La question de la responsabilité est alors très vite posée en l’absence de la configuration habituelle d'un travail au sein de l’entreprise. Dans le cas du télétravail, cette responsabilité est endossée par la Direction de Système d'Information.  “Aujourd'hui, c’est vers elle que va se diriger la Direction générale pour demander des comptes ainsi que pour qu’elle puisse assurer la continuité des services. Donc la Direction informatique doit apporter des réponses tout en assurant et en garantissant un haut niveau de sécurité”, explique Anis Youssefi. Néanmoins, lorsqu’il s’agit d'une PME employant environ 15 personnes, il n’existe pas de DSI. Pour autant, le premier responsable est identifié en la personne du premier responsable général de l’entreprise. “Ce dernier doit poser les questions  relatives à l’organisation, au processus à mettre en place, comment s’équiper pour se prémunir des risques d'insécurité. Il y a, d'ailleurs, un degré plus élevé en matière de sécurité à savoir : les logiciels de gestion de log ou corrélation de logs. Ces derniers permettent de regrouper les différentes informations et établir une  analyse de sécurité dans le cas où plusieurs outils de sécurité sont utilisés. Bien entendu, cet outil est beaucoup plus utilisé par les grandes entreprises que par les PME  ”. 

Télétravail  sécurisé,  quoi  de  plus que les outils proposés ?


Anis Youssefi indique qu’il y a, en plus des outils proposés ci-dessus, la sensibilisation des employés, qui doit être mise en marche. Cette sensibilisation comprend essentiellement la non-utilisation des ordinateurs professionnels à des fins autres que professionnelles.