Article réservé aux abonnés Archimag.com

La sécurité : maillon essentiel de la digital workplace

  • securite-digital-workplace.jpg

    cybersecurite-digital-workplace-vpn-cloud-teletravail
    Un prestataire de digital workplace assure la sécurité et la confidentialité des documents et données stockés sur la plateforme. (Yogiermansyah22/Freepik)
  • Bien que la digital workplace soit un atout au service de la stratégie d’entreprise, elle présente également des risques, en particulier liés à la sécurité, par sa nature même de plateforme centralisant des outils accessibles en tout lieu, à tout moment. La sécurité est donc un sujet dont les organisations doivent impérativement s’emparer. Et pour cause...

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Sujet sensible pour toutes les organisations, la sécurité des échanges et des informations est une véritable priorité dès lors qu’une digital workplace est mise en place. D’autant que depuis le début de la crise sanitaire et la généralisation du télétravail, le nombre de vulnérabilités a augmenté, et avec elle le nombre de cyberattaques.

    enlightened RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : METTRE EN PLACE SA DIGITAL WORKPLACE 

    Les hackers ont en effet profité de la crise sanitaire pour mettre au point des attaques ciblées (essentiellement à base de ransomware et de malware insérés en pièces jointes dans des e-mails) et les ont multipliées. 

    2022 : année record pour les cyberattaques

    Dès le premier trimestre de l’année 2022, le nombre d’attaques par rançongiciel détectées atteignait déjà le double du nombre total de détections pour 2021 : 80 % de plus par rapport au trimestre précédent, et trois fois plus qu’au premier trimestre 2021 (WatchGuard, Internet security report - Q1 2022).

    Des PME et ETI du secteur privé jusqu’aux hôpitaux en passant par les collectivités, aucune organisation n’est épargnée. Ces attaques entraînent des dommages directs très divers - perte de productivité, pertes de données clients et pertes de données employés - sans compter les conséquences légales et réputationnelles. 

    Sécurité : des stratégies à parfaire

    Il faut bien avouer que toutes les conditions étaient remplies depuis 2020 (télétravail mis en place dans l’urgence, désorganisation des entreprises...), pour que les cybercriminels aient un boulevard devant eux.

    Entre des salariés peu au fait des règles et des bonnes pratiques en matière de sécurité informatique, l’usage d’ordinateurs personnels dont les logiciels ne sont pas à jour et restent souvent mal sécurisés, l’absence de VPN (réseau privé virtuel) pour se connecter au réseau de l’entreprise, la connexion à des réseaux Wi-Fi publics, les multiples partages de fichiers avec des personnes externes à l’entreprise et l’usage d’outils en ligne non validés par l’entreprise (on parle de Shadow IT), ces deux dernières années ont été du pain béni pour les hackers.

    Lire aussi : Cloud et télétravail : les solutions collaboratives s’adaptent

    Confiez la sécurité de vos données à votre fournisseur de digital workplace

    D’ailleurs, selon une étude IBM 2022, le coût moyen d’une violation de données en France est de 3,95 millions d’euros. Pour limiter ces risques et leurs coûts, bon nombre d’organisations se sont tournées vers une digital workplace, se débarrassant ainsi des questions relatives à la gestion de la sécurité.

    La sécurité est dès lors déportée chez le fournisseur qui doit garantir à ses clients, à la fois la disponibilité de sa plateforme et de son service, mais aussi assurer la sécurité et la confidentialité des documents et données qui y sont stockés. Voilà aussi pourquoi de nombreuses organisations se tournent vers la digital workplace et tous les outils collaboratifs en mode SaaS.

    Pourquoi vos données doivent être localisées en France

    Si l’architecture informatique de l’entreprise en elle-même doit, bien entendu, faire l’objet d’un travail de sécurisation, il est aussi sage d’engager une réflexion sur l’hébergement des données présentes dans cette digital workplace.

    Et de ce côté-là, mieux vaut privilégier un hébergement dans des centre de données situés en France, sur lesquels vous aurez un meilleur contrôle que s’ils sont localisés à l’étranger. Notez, par exemple, que si vous investissez dans une solution américaine, celle-ci sera soumise au Cloud Act. Vos données seront donc potentiellement transmissibles aux autorités américaines.

    Lire aussi : Dossier : Comment optimiser sa digital workplace

    Digital workplace et cybersécurité : une nécessaire sensibilisation

    L’adoption d’une plateforme de digital workplace passe également par la sensibilisation des collaborateurs aux problématiques de cybersécurité. Selon une étude du Cesin réalisée en 2020, la quasi-totalité des entreprises considère le Shadow IT, à savoir l’utilisation d’applications non approuvées par la DSI, comme le cyberrisque le plus important.

    Mais d’autres risques sont aussi prégnants, notamment les erreurs de manipulation et de configuration d’un administrateur interne, ou encore les négligences et les erreurs de manipulation ou de configuration des collaborateurs.

    Voilà pourquoi les entreprises sont de plus en plus nombreuses à mettre en place un programme de cyberrésilience et à se tourner vers des prestataires spécialisés. Enfin, pour limiter drastiquement les risques cyber, il est essentiel de sensibiliser, former et responsabiliser les collaborateurs aux bonnes pratiques en matière de sécurité numérique.

    Quitte à aller jusqu’à la mise en place de procédures permettant de vérifier l’application des recommandations émises.

    Collaboration et télétravail

    Dès lors qu’ils se connectent à internet, les télétravailleurs sont vivement invités à adopter une série de bonnes pratiques. À commencer par l’utilisation d’un VPN (virtual private network ou réseau privé virtuel) afin de sécuriser leurs activités numériques.

    Lire aussi : Digital workplace : mettre les chances de son côté grâce à un déploiement réussi

    Celui-ci se présente sous la forme d’une application à télécharger qui crée une connexion sécurisée entre votre ordinateur et le serveur distant sur lequel vous travaillez. Résultat : les informations traitées par un VPN ne peuvent être interceptées par une tierce personne. Les risques d’usurpation d’identité sont ainsi écartés car les échanges sont isolés du reste du trafic.

    Deux technologies principales régissent le mode de fonctionnement des VPN : le VPN SSL (sans installation sur l’ordinateur de l’utilisateur) et le VPN IPsec (qui nécessite l’installation d’un logiciel et requiert plus de temps pour établir des connexions).

    Cryptage du trafic internet entrant et sortant

    Quelle que soit la technologie utilisée, le VPN modifie l’adresse IP de votre ordinateur (qui est en quelque sorte l’adresse postale de votre machine), et offre de nombreux avantages. En premier lieu, la protection de vos communications, de vos mots de passe et de vos données, notamment lorsque vous utilisez des réseaux Wi-Fi publics non sécurisés (aéroport, gare, hôtel, café...).

    Le VPN crypte votre trafic internet et rend illisibles les données que vous produisez ou échangez en ligne. Autre avantage du VPN, il empêche votre fournisseur d’accès internet (Orange, Free, SFR...) d’accéder à vos activités en ligne : sites web visités, temps passé, contenus consultés, appareils utilisés…

    Le réseau privé virtuel crypte en effet le trafic internet entrant et sortant de vos appareils en le déportant sur un serveur intermédiaire. 

    Les recommandations de l’Anssi

    En France, une institution fait figure d’acteur incontournable en matière de sécurité numérique : l’Agence nationale de la sécurité des systèmes d’information (Anssi). Elle a certifié une demi-douzaine de VPN à la lumière d’une série de critères.

    Lire aussi : Digital workplace et knowledge management : quelle stratégie ?

    « Il est important d’utiliser des mécanismes robustes de chiffrement, d’authentification et d’intégrité pour la mise en place du canal d’interconnexion d’un équipement d’accès nomade. L’Anssi recommande l’utilisation du protocole IPsec plutôt que TLS pour la mise en place du tunnel VPN entre l’équipement d’accès et l’équipement de terminaison VPN ».

    Au-delà du VPN, l’Anssi a édicté une série de recommandations dont certaines relèvent clairement de la direction des systèmes d’information. D’autres concernent l’ensemble des télétravailleurs. L’Anssi estime qu’il convient de réaliser l’inventaire des activités des utilisateurs compatibles avec le nomadisme et de surveiller le statut de ces utilisateurs.

    Il est également recommandé de « s’assurer que dans le cas d’un changement de fonction, ils n’exercent pas ensuite une activité incompatible avec le nomadisme numérique ». 

    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".
    Publicité