Blog GlobalSign

28 mars 2019

Nos conseils aux start-ups pour protéger le matériel de leurs collaborateurs

Immanquablement, chaque jour des salariés utilisent le même ordinateur portable au bureau et à la maison. D’autres apportent leur téléphone et le connectent au wifi de leur entreprise. Aussi anodine que cette habitude puisse paraître, elle peut engendrer de graves problèmes sur les réseaux des entreprises avec, pour les start-ups, un réel danger.

Ce danger ne peut être maîtrisé qu’à condition d’évaluer les vulnérabilités. Lorsqu’un appareil sort du bureau, l’entreprise n’a que peu de contrôle sur sa sécurité. D’où l’importance cruciale de mettre en place une politique informatique ferme et une stratégie énergique de réduction des dommages — même lorsque les effectifs sont limités.

Le télétravail et le BYOD (Bring Your Own Devices) peuvent poser plusieurs problèmes :

  • Vol physique — La perte ou le vol d’un appareil contenant des informations sur l’entreprise ou les clients pose de graves problèmes. Sans compter les coûts de restauration de ces données qui peuvent être très élevés.
  • Logiciels malveillants (malwares) — Il faut pouvoir compter sur les utilisateurs pour protéger eux-mêmes leurs équipements contre des malwares qui risquent de générer une avalanche de violations de la protection des données ou d’énormes pannes système.
  • Interception de données — La plupart du temps, les informations envoyées entre collègues ne sont pas chiffrées. Or, si ces envois sont effectués à partir d’un appareil piraté, rien n’empêche leur interception par un hacker mal intentionné. Beaucoup laissent aussi leur GPS activé ce qui permet de géolocaliser les terminaux partout dans le monde.
  • Menaces internes — Rien n’empêche un collaborateur mécontent d’insérer délibérément un programme malveillant sur le réseau de l’entreprise.

Les risques sont réels, et une fois l’assaillant « dans la place », il est déjà trop tard. La perception de la sécurité comme fonction supplémentaire et non comme élément faisant partie intégrante du développement est à l’origine de nombreux problèmes. N’importe quel professionnel de la sécurité informatique vous le dira : la sécurité n’est pas la cerise sur le gâteau, mais son ingrédient principal.

Les menaces les plus dangereuses pour la sécurité des start-ups sont dues à un manque de respect des politiques et des procédures en vigueur. Les conséquences peuvent être particulièrement dommageables et jouer les prolongations :

  • Violation de la confidentialité et perte d’informations personnelles identifiables — En cas de vol d’informations personnelles identifiables (IPI), la responsabilité légale de l’entreprise peut être engagée, avec pour conséquence, une obligation d’annonce publique susceptible d’éroder la confiance des clients.
  • Écoutes — Les communications privées peuvent être interceptées via le micro d’un appareil compromis, ou alors les données peuvent être envoyées par le biais d’un réseau non sécurisé. Note d’accompagnement : Si vous utilisez toujours un télécopieur... arrêtez tout de suite ! Les informations envoyées par fax sont transmises en texte clair. Elles peuvent donc facilement être interceptées sans possibilité pour les destinataires d’authentifier l’expéditeur.
  • Déni de Service (DoS) — Ce type d’attaque peut nuire au bon fonctionnement de votre réseau, générant pertes de temps et mécontentement des clients.
  • Vers — Il suffit parfois d’un seul appareil infecté par un ver pour faire tomber tout un réseau. C’est le cas si le virus, qui se réplique automatiquement, se propage aux périphériques connectés, voire aux contacts de la messagerie.

Que faire pour éviter cela ?

Bien évidemment, toutes les données stockées dans les locaux de l’entreprise et au repos (« at rest ») doivent être chiffrées en permanence. Même chose pour les données stockées dans le cloud. Mais lorsque vos collaborateurs apportent leurs appareils personnels au bureau ou utilisent leur ordinateur portable chez eux, la protection des données au repos ne suffit plus.

Si vous autorisez le BYOD, vous devrez suivre ces six règles de sécurité incontournables :

Optez pour l’authentification basée sur des certificats numériques

Pour protéger les réseaux, les données et les applications d’entreprise, les solutions d’authentification forte utilisent des certificats numériques et combinent certificats et tokens pour une double authentification. Cette solution, à la fois pratique et sécurisée, permet de protéger divers équipements : serveurs de contrôleur de domaine, certificats de machines, terminaux mobiles, connexions à l’aide d’une smart card, services cloud, clés USB (approuvées, voir ci-dessous), VPN, passerelles et réseaux wifi.

Éteignez le Bluetooth

Par essence, le Bluetooth n’est pas sécurisé. Incitez vos collaborateurs à le désactiver de manière systématique, sauf lorsqu’ils l’utilisent de façon temporaire.

Pourquoi le Bluetooth est-il si vulnérable ?

La dangerosité du Bluetooth tient à l’extrême facilité avec laquelle on peut l’activer pour se connecter à des enceintes sans fil, par exemple. Problème : beaucoup d’utilisateurs oublient de l’éteindre, exposant ainsi en permanence les périphériques connectés à un risque pour leur sécurité. Même avec un casque Bluetooth sur la tête pendant leurs trajets entre le bureau et leur domicile, vos collaborateurs offrent, avec cette connexion ouverte, un boulevard aux pirates informatiques tentés par les attaques de ce type :

  • Bluejacking — Un malfaiteur utilise la connexion Bluetooth pour envoyer des messages sur l’appareil connecté. Cette technique est utilisée pour le « guérilla marketing » dans des zones à forte densité de population. Mais lorsqu’un cyberescroc insère un lien malveillant dans son message et que le destinataire clique sur le lien, l’appareil peut être compromis.
  • Bluesnarfing — Un pirate utilise le Bluetooth pour accéder aux informations stockées sur un périphérique et mettre la main sur plusieurs types de données : listes de contacts, données de textos et appels, e-mails et fichiers. Les malfaiteurs peuvent facilement s’emparer des documents d’entreprise stockés sur les téléphones — sans que personne ne s’en aperçoive avant qu’il ne soit trop tard.
  • Bluebugging — Par rapport au bluesnarfin, l’attaquant accède ici à un niveau supérieur du téléphone, et peut éventuellement prendre le contrôle de tout l’appareil. Il peut ensuite l’utiliser pour envoyer des messages, passer des appels, espionner les conversations, et suivre le terminal mobile à la trace via le réseau GSM. Une fois compromis, le téléphone peut subir d’autres attaques même si le Bluetooth est désactivé.

Encouragez l’utilisation de mots de passe forts

Idéalement, tout le monde devrait utiliser des mots de passe forts. Il ne s’agit pas de remplacer certaines lettres du nom de votre animal de compagnie par des chiffres pour créer un mot de passe fort, mais de choisir une chaîne de caractères algorithmiquement difficile à décrypter.

L’utilisation d’un gestionnaire de mots de passe permet de générer des codes forts et de les stocker de manière chiffrée. En entreprise, l’accès à ces mots de passe peut être partagé entre les utilisateurs sans que le mot de passe lui-même soit communiqué. Pour se connecter, les utilisateurs ont besoin d’un mot de passe maître à la fois fort et mémorisable.

Dissuadez (vivement) vos collaborateurs de déverrouiller, déplomber ou débrider leurs terminaux

Ces règles sont difficiles à faire appliquer. Pourtant, elles sont cruciales si l’on veut pouvoir protéger l’intégrité des réseaux d’entreprise. Les termes de déverrouillage/déplombage (jailbreaking) et de débridage/rootage (rooting) désignent des opérations semblables qui consistent à lever les limitations logicielles des systèmes d’exploitation d’un appareil pour accéder à des fonctionnalités qui seraient autrement interdites.

On parle de jailbreaking pour les terminaux iOS, l’opération permettant d’installer des logiciels non autorisés par Apple. Le rootage concerne les terminaux Android et permet d’élever les niveaux de privilèges pour accéder à la partie matérielle de l’appareil, ce qui n’est pas possible en mode standard. Un terminal Android débridé permet d’accéder à pratiquement tous les éléments du système d’exploitation.

Mais en déverrouillant de nombreuses fonctions avancées sur les terminaux Android, le rootage expose l’appareil à toutes sortes d’attaques. Une application malveillante ou un cyberescroc qui obtiendrait l’accès root à un terminal Android en prendrait également le contrôle. Il pourrait ensuite exécuter toutes sortes d’opérations sur le téléphone : écoutes via le micro, accès à la connexion Internet, connexion aux applications via le compte de l’utilisateur.

Vous ne voudriez pas que cela arrive à l’un des terminaux au bureau, n’est-ce pas ? Ainsi, pour assurer la sécurité, vous pouvez bannir complètement du bureau tout appareil débridé ou déverrouillé. Mais si l’utilisation d’appareils débridés est absolument nécessaire, assurez-vous que votre système puisse effectuer des contrôles réguliers et fiables.

Chiffrez la connexion Internet du bureau

Les grandes entreprises disposent généralement d’une équipe informatique et de routeurs à l’échelle du groupe. En revanche, les jeunes pousses risquent fort de devoir se contenter des fonctions de sécurité élémentaire du routeur fourni par leur fournisseur d’accès Internet (FAI) et d’un trafic Internet non chiffré.

On sait que certains gouvernements, certains FAI, voire certains services Internet, surveillent l’activité en ligne de leurs utilisateurs, mais rien ne nous dit que les petites entreprises n’en fassent pas aussi les frais. Qui plus est, un individu qui introduirait un appareil infecté sur le réseau permettrait ainsi à des hackers d’intercepter, voire de modifier le trafic Internet.

Dans les start-ups de moins de 25 employés, un routeur centré sur le respect de la vie privée peut être utilisé pour chiffrer toutes les données transmises via le réseau grâce à un VPN sur le routeur lui-même. Les VPN peuvent légèrement ralentir la connexion Internet, mais avec un routeur de qualité, ce retard devrait être minime.

Instaurez des règles pour les téléchargements et les antivirus

Un logiciel téléchargé à la maison peut facilement devenir un vecteur de propagation de malwares au bureau. Mais il y a d’autres moyens d’infecter des machines sur le lieu de travail. S’il est irréaliste de bloquer tous les téléchargements effectués sur le réseau de l’entreprise, vous pouvez demander à tous vos collaborateurs de ne rien télécharger sans consulter au préalable les responsables des politiques informatiques.

Les séries télévisées à succès sont de plus en plus la cible de hackers qui injectent leurs malwares dans les fichiers qui sont ensuite partagés sur les réseaux P2P via BitTorrent. L’utilisation du « torrenting » pour télécharger/diffuser des contenus protégés par le droit d’auteur est interdite pratiquement partout. Mais malgré cette interdiction, des millions de personnes téléchargent les dernières saisons de Game of Thrones pour ne pas avoir à attendre la prochaine diffusion sur HBO.

Pour protéger votre réseau, vous avez décidé de donner un coup d’arrêt à ces téléchargements au bureau. Très bien, mais ne vous arrêtez pas en si bon chemin ! Il suffit d’une machine infectée depuis le domicile d’un collaborateur pour que le risque se propage à l’ensemble du réseau une fois la machine connectée au wifi du bureau. Chaque collaborateur doit utiliser un antivirus à jour et de qualité sur ses appareils. A chacun également de s’assurer qu’une analyse de ses appareils est régulièrement effectuée. Tout fichier téléchargé individuellement doit aussi être analysé avant d’être ouvert.

Interdisez les clés USB

Petites et pratiques, les clés USB sont pourtant dangereuses. Leur absence de chiffrement et la facilité avec laquelle elles peuvent être égarées constituent les principaux facteurs d’inquiétude. Le danger pour une entreprise est qu’un employé oublie sa clé USB dans un café où elle sera ensuite récupérée par un individu peu scrupuleux susceptible d’exploiter les données à des fins néfastes. Cela s’est déjà produit plusieurs fois dans de petites et grandes entreprises, voire au sein d’instances gouvernementales. Ainsi, une affaire avait défrayé la chronique au Royaume-Uni lorsqu’un sous-traitant du gouvernement avait perdu une clé USB contenant des informations sur chaque détenu d’Angleterre et du pays de Galles.

Et l’on ne parle ici que de perte de clé USB.

Imaginez maintenant qu’une clé USB contenant des malwares soit insérée sur l’un des appareils en réseau. Le malware peut alors se propager rapidement à chacun des équipements connectés au réseau. L’armée américaine a connu un tel cas de piratage, le plus important de toute son histoire, lorsqu’une clé USB infectée a été insérée sur l’un de ses ordinateurs. Un malware s’est alors attaqué à des informations classifiées, transmettant potentiellement à l’ennemi des plans opérationnels, des données personnelles et des secrets militaires.

Mieux vaut prévenir...

Dans les petites entreprises, la règle est la suivante : mieux vaut prévenir que guérir. L’adoption de mesures de prévention pour protéger votre réseau peut épargner à votre entreprise des dommages potentiellement catastrophiques.

Si vos collaborateurs viennent au bureau avec leur propre matériel informatique, ou emportent leur ordinateur portable professionnel chez eux, prenez soin de définir des règles d’utilisation très claires et assurez-vous que vos collaborateurs comprennent bien quelles sont leurs responsabilités.

Ressources complémentaires :

Pour approfondir certaines questions de cybersécurité et savoir comment maintenir votre entreprise en sécurité, les articles suivants pourraient vous intéresser :

Certificats numériques pour une authentification forte

https://www.globalsign.fr/fr/blog/qu-est-ce-qu-un-rancongiciel/

https://www.globalsign.fr/fr/blog/inciter-vos-collaborateurs-a-integrer-les-regles-de-cybersecurite/

https://www.globalsign.fr/fr/blog/cybersecurite-en-entreprise-six-outils-et-services-indispensables/

https://www.globalsign.fr/fr/blog/5-signes-revelateurs-d-un-piratage-de-votre-reseau//

À propos de l’auteur

Joe Robinson est un expert en cybersécurité et protection des données chez Sabai Technology et VPNTeacher. Son souhait : vous aider à garder vos données en sécurité.

Partager ce blog

Poursuivez votre lecture avec :

Cybersécurité en entreprise : six outils et services indispensables

Ou encore :

Qu’est-ce qu’une passerelle IoT et comment la sécuriser ?