La « nouvelle normalité » pourrait se traduire par de nouveaux risques pour votre entreprise
Bon nombre d’entreprises ne sont pas prêtes à gérer une main-d’œuvre en télétravail, ce que les cybercriminels pourraient utiliser à leur avantage. De nombreux propriétaires d’entreprises envisagent maintenant la possibilité que leurs employés travaillent à distance de façon permanente et ils doivent également prendre en considération les risques connexes.
La pandémie de COVID-19 a forcé beaucoup d’organisations à apporter d’importants changements organisationnels pour assurer la sécurité de leurs employés et la continuité de leurs activités à distance. Selon le Bureau of Labor Statistics des États-Unis, seulement 29 % des Américains étaient autorisés à travailler à distance avant l’application des mesures de confinement et des ordres de se mettre à l’abri sur place. Le passage des politiques informelles de télétravail (ou de l’absence de politiques de télétravail) au fait d’avoir pratiquement toute sa main-d’œuvre en télétravail constitue évidemment un exploit en soi. Au plus fort de la pandémie, la priorité pour les propriétaires d’entreprises était la santé et la sécurité des employés et la productivité en télétravail.
Maintenant que la transition vers la « nouvelle normalité » est en cours, plutôt que de répondre aux besoins initiaux urgents en matière de santé personnelle, les propriétaires d’entreprises devraient se soucier de remettre en question la sécurité des activités d’exploitation – c.-à-d. s’assurer que leurs réseaux sont sûrs, que leurs données d’entreprise sont protégées et que le télétravail n’expose pas leur entreprise à certaines vulnérabilités ou cyberattaques potentielles. C’est particulièrement vrai si vous et votre équipe de gestion envisagez de permettre à vos employés de travailler à partir de la maison de façon permanente dans un avenir rapproché ou que vous songez à adopter une politique de télétravail flexible à long terme. Ce faisant, vous devez prendre en considération certains aspects importants (et potentiellement dommageables) pour assurer la sécurité de votre équipe et de votre entreprise
Vous avez assuré la santé et la sécurité de vos employés en télétravail. Pouvez-vous en dire autant au sujet de l’information sur vos activités et votre entreprise?
Si vous songez à mettre en place un environnement de télétravail permanent pour votre équipe, vous devez absolument réévaluer vos analyses de risques ainsi que votre tolérance au risque, tout en tenant compte de votre nouvelle réalité financière et opérationnelle. Nous avons constaté plusieurs éléments et problèmes pouvant avoir une incidence sur votre entreprise.
1.Premièrement, le télétravail est synonyme de différents environnements de travail. Bon nombre d’entreprises se tournent désormais vers le télétravail comme solution pour assurer la continuité de leurs activités, mais cela complique la tâche des TI pour mettre en application une hygiène de sécurité et assurer la sécurité des connexions. Les failles liées à la configuration ou aux comportements des employés peuvent augmenter l’exposition aux attaques potentielles des cybercriminels.
La plupart des organisations n’étaient pas prêtes pour le télétravail à grande échelle et dans certains cas, elles devaient recourir à des mesures ou à des solutions de contournement, qui sont plus risquées. Il est important de faire des suivis auprès de votre équipe des TI ou des professionnels de la gestion des risques afin de relever les faiblesses de votre système, notamment :
-
-
- l’accès aux données confidentielles de l’entreprise par l’entremise de réseaux Wi-Fi publics ou à domicile non sécurisés;
- les RVP vulnérables en raison de logiciels désuets;
- les systèmes de sauvegarde et de recouvrement inefficaces;
- la sécurité réduite sur les appareils et ordinateurs personnels.
-
2.Deuxièmement, songez à effectuer une évaluation de l’ensemble de vos solutions et processus de cybersécurité. Le moment est propice pour le faire. Un grand nombre d’organisations ont suspendu ou ralenti leurs activités pendant la crise; les priorités ont changé. Les cybercriminels, quant à eux, ne prennent aucune pause. Si vous vous fiez au centre de sécurité de l’organisation pour faire le suivi des événements touchant la sécurité, il est fort probable que son fonctionnement ne soit pas optimal lorsque tous travaillent à distance. L’augmentation des cybermenaces que nous observons à l’heure actuelle exige une attention et des solutions optimales.
3.Troisièmement, vous savez que vous devez tenir compte d’un plus grand nombre de risques pour votre entreprise et que certains processus ne fonctionnent pas de manière optimale à l’heure actuelle; il en est de même pour les tiers fournisseurs sur lesquels vous comptez. Les risques de cyberincidents provenant de tiers fournisseurs ayant accès à vos systèmes sont en hausse. L’efficacité de vos fournisseurs pourrait également avoir été touchée par le télétravail ou les mesures de contournement qu’ils ont dû mettre en place. La crise a réellement eu des effets sur toute la chaîne d’approvisionnement; par conséquent, il est recommandé de rehausser la sécurité et la gestion des fournisseurs.
4.Finalement, prenez garde au piratage psychologique – les escroqueries au faux ordre de virement et autres techniques d’usurpation d’identité comme les faux fournisseurs bancaires ou techniciens sont très courantes depuis les dernières années. Le saviez-vous? Lorsque les employés travaillent à distance, isolés de leur environnement quotidien, le piratage psychologique devient plus facile et les chances de réussite augmentent pour les fraudeurs. Par le passé, de nombreuses tentatives de fraude ont échoué parce que les employés ciblés pouvaient facilement en discuter sur place avec un collègue. À la maison, les chances de croiser votre patron pour discuter du virement qu’on vous a demandé d’envoyer sont quasiment nulles. Il est important rappeler aux membres de votre équipe que les menaces sont toujours présentes, afin qu’ils demeurent vigilants.
Les risques informatiques et d’affaires énumérés ci-dessus, qui prédominent en raison de la pandémie, ne sont en rien exhaustifs. Les risques évoluent constamment. Les entreprises doivent analyser chacun des risques pour déterminer l’incidence potentielle sur leurs activités et mettre en place des mesures adéquates pour réduire ou atténuer leur exposition aux risques.
Nous recommandons une évaluation des risques pour déceler les points de vulnérabilité de votre entreprise. Comme il est illustré ci-dessous, une évaluation des risques complète devrait comporter les éléments suivants :
-
-
- Déterminer les actifs clés afin d’orienter les efforts dans le bon sens.
- Évaluer les principaux risques du point de vue des équipes des TI et des équipes d’affaires.
- Évaluer les mesures d’atténuation pour déterminer si les risques décelés sont gérés adéquatement en fonction de la tolérance au risque de l’organisation.
- Élaborer des plans d’action durables lorsque le niveau de risque dépasse la tolérance au risque.
-
La pandémie a donné lieu à l’augmentation de plusieurs risques (vol de données, cyberattaques, piratage psychologique, vulnérabilités de tiers, pour ne nommer que ceux-là). Les organisations doivent bien connaître leurs risques d’affaires et des TI, comprendre l’incidence passée et future de la pandémie sur toute politique éventuelle de télétravail, et mettre en œuvre des plans durables pour leurs besoins immédiats, pendant la période de recouvrement, ainsi qu’à long terme.
Ce que Richter peut faire pour vous:
- Établir la liste des actifs, des composantes matérielles, de l’information, du matériel et des logiciels qui sont essentiels.
- Évaluer les risques d’affaires et des TI ainsi que les mesures d’atténuation.
- Élaborer et mettre en œuvre des plans d’action durables.
- Effectuer le suivi de la réalisation des plans d’action.