Télétravail, horaires flexibles, co-working, démocratie et bonheur au travail sont autant de nouvelles façons de travailler qui se diffusent et se normalisent dans les entreprises. Ces pratiques ont émergé, notamment dans la littérature scientifique belge, sous le nom de « NWoW » acronyme pour « New Ways of Working » ou « New World of Work », en français « nouvelles formes d’organisation du travail » (NFOT).
Si de nombreux articles vantent les mérites de ces nouvelles pratiques, insistant sur l’efficacité du processus, ses bienfaits sur l’organisation du travail ainsi que sur le bien-être des employés, la question de la sécurité des NWOW n’est quasiment jamais abordée.
Une prise de conscience des enjeux sécuritaire des NWoW
Ces nouvelles formes de travail donnent des sueurs froides aux responsables de la sécurité des entreprises et interrogent sur la multiplication des risques numériques qu’elles entrainent. Des différentes composantes des NWoW, c’est surtout celle de la flexibilité spatio-temporelle de l’employé qui présente le plus de danger, les frontières poreuses entre l’usage privé et professionnel des appareils et des réseaux facilitant les attaques sur les systèmes d’information.
S’il serait contre-productif à l’ère de la transformation numérique d’interdire les NWoW, il est important pour les entreprises de prendre en compte leur sécurité en amont. On assiste alors à un paradoxe : alors que l’efficacité et la sécurité devraient aller de pair pour garantir la réussite des projets, il apparait que l’hétérogénéité du parc et la complexité des systèmes de sécurité ne permettent pas aux entreprises d’offrir la flexibilité attendue.
Pour clarifier notre propos, prenons un exemple de ce type de risque : Un administrateur réseaux du secteur bancaire travaille occasionnellement depuis son domicile en télétravail. Des attaquants projetant une action malveillante contre sa banque le surveillent, et au lieu d’infiltrer le réseau de la banque, très sécurisé, ils attaquent son Wi-Fi personnel, moins bien protégé sur lequel il travaille avec son ordinateur professionnel. Lorsque cet administrateur se connecte ensuite sur le réseau de l’établissement, l’attaque peut ainsi se propager aisément. Cet exemple montre ainsi qu’un appareil ou un réseau non contrôlé directement par l’entreprise ne peut être considéré comme fiable, même s’il utilise des accès sécurisés.
Des actions concrètes à mener au sein des entreprises
Il est de la responsabilité des entreprises d’inciter à la vigilance.
Elles doivent sensibiliser leurs employés aux dangers du travail à distance et à leurs responsabilités vis-à-vis de la sécurité des données de l’entreprise. Elles doivent également éviter qu’un amalgame entre données personnelles et professionnelles ne s’installe, ce qui pourrait placer leurs employés dans des situations délicates.
En termes de droit, on peut rappeler que l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais pour lesquels il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
Nomadisme et BYOD créent des points de faiblesse
Les nouvelles pratiques, comme le nomadisme ou le BYOD (Bring Your Own Device”, en français : « Apportez Votre Equipement personnel de Communication » AVEC) de plus en plus courants dans nos modes de travail, accroissent également le risque de compromission des données. Outre les risques accrus de perte ou de détérioration du matériel, en utilisant un ordinateur professionnel en dehors de son lieu de travail, comme dans les transports en commun, on expose ses données à des risques de divulgation, notamment en cas d’indiscrétion des usagers, ce qui peut représenter une menace sur l’intégrité du SI. On constate régulièrement dans les transports en commun des employés qui consultent leurs mails ou travaillent sur des documents professionnels, potentiellement confidentiels, sans aucune protection.
Il faut donc sécuriser efficacement les lignes de communication ou les flux pour permettre aux employés qui travaillent de chez eux de pouvoir transmettre des documents sensibles en toute sécurité. L’évolution constante des technologies incitent à une amélioration continue et itérative du processus de sécurisation. Par exemple, l’utilisation généralisée des smartphones au sein d’une entreprise génère de nouveaux risques qui doivent être identifiés et traités correctement.
Des recommandations officielles à prendre en compte
Le guide d’hygiène informatique de l’ANSSI présente des recommandations précises sur le thème des NWoW, et plus spécifiquement du nomadisme, telles que :
- Prendre des mesures de sécurisation physique des terminaux nomades
- Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable
- Sécuriser la connexion réseau des postes utilisés en situation de nomadisme
- Etablir une politique de sécurité dédiée aux terminaux mobiles
Même si on considère les NWoW comme une « mode managériale », leur niveau de maturité en termes de sécurité informatique reste en deçà des exigences qui s’imposent aux entreprises. Dans un monde ou le « Zero Trust » devient la mode, et où, selon HISCOX, en 2018 les cyber-sinistres déclarés ont augmenté de 1700% en 4 ans, il est donc impératif d’appliquer des exigences similaires en matière de sécurité à toutes les données de l’entreprise où qu’elles se trouvent.
Sources
Jemine, Grégory. « Le New Way of Working. Discours, dispositifs et pratiques d’un processus de changement organisationnel », Sociologies pratiques, vol. 32, no. 2, 2016, pp. 107-108.
Guide d’hygiène informatique de l’ANSSI