Catégories
Uncategorized

Comment sécuriser un bureau à domicile: 8 priorités

Dans la plupart des cas, le monde des affaires est plus disposé aujourd’hui qu’à aucun autre moment de l’histoire à déplacer les employés vers le modèle «à domicile» (WFH). Des outils tels que les logiciels de visioconférence, les packages de collaboration cloud, les appareils mobiles et le WiFi domestique presque omniprésent ont aidé de nombreuses entreprises à interrompre sans interruption, presque du jour au lendemain.

Mais en même temps, la technologie évolue plus rapidement que jamais et les pirates informatiques deviennent chaque jour plus sophistiqués. Travaillant à domicile, les employés ne sont pas protégés par les solutions de cybersécurité des entreprises telles que les pare-feu. En fait, de nombreux travailleurs du savoir exercent actuellement la fonction de chef de la sécurité de l’information (RSSI) pour leur domicile.

Les assaillants savent qu’un nombre sans précédent de personnes travaillent à domicile ces jours-ci et ils sont prêts à profiter de la situation. Nous avons déjà remarqué une augmentation de choses comme les fausses factures conçues pour inciter les employés à ouvrir des pièces jointes malveillantes, et les pirates tentent même de diffuser des logiciels malveillants en créant de faux sites Web avec le mot «COVID» dans l’URL.

[ For more on this topic, read Remote work security: 5 best practices.]

Sécurité des bureaux à domicile: 8 domaines sur lesquels se concentrer

Voici huit points sur lesquels les responsables informatiques doivent mettre l’accent pour aider les employés de la FMH à protéger leurs données, leurs machines et leurs réseaux domestiques.

1. Segmentation

La plupart des travailleurs non informatiques ne connaissent rien à la segmentation du réseau – pourquoi devraient-ils le faire? Mais maintenant, lorsqu’ils travaillent à distance, les employés doivent prendre des mesures pour segmenter autant que possible leur environnement informatique domestique (ou aussi pratique que possible).

Par exemple, les machines de travail ne doivent pas être utilisées pour des activités personnelles telles que les médias sociaux, le divertissement ou la navigation sur Internet en général. Et ils ne devraient certainement pas être utilisés par d’autres membres de la famille, y compris des enfants, qui pourraient télécharger par inadvertance du code malveillant.

Pour les professionnels de l’informatique, tout cela peut sembler évident. Mais rappelez-vous que de nombreux employés travaillent à domicile pour la première fois et certains aident leurs enfants, qui ne disposent pas de leur propre appareil, à participer à des activités d’apprentissage à distance. Un petit conseil de la part des dirigeants informatiques des entreprises peut aller très loin.

2. Patcher

Même au sein des réseaux d’entreprise, l’échec des correctifs système est une énorme source de compromis et de violation. Les organisations doivent essayer de corriger à distance les appareils des employés dès que les correctifs sont disponibles. (Souvent, les magasins informatiques mettent de trois à six mois pour épuiser les correctifs, ce qui donne aux attaquants tout le temps nécessaire pour exploiter les vulnérabilités.) Les responsables informatiques devraient également guider les employés sur la façon de corriger leurs routeurs Wi-Fi domestiques – et leur apprendre à nettoyer les faux correctifs en les vérifiant. certificat de patch.

3. Phishing

Les attaques d’ingénierie sociale comme le phishing par courrier électronique sont toujours des vecteurs d’attaque extrêmement dangereux et efficaces, avec jusqu’à deux tiers des malwares se propageant par courrier électronique. Un e-mail sur dix avec une fausse identité réussit, et lorsque chaque base d’employés d’une grande entreprise reçoit plusieurs tentatives par jour, les gens cliquent inévitablement sur des liens malveillants ou téléchargent des pièces jointes infectées s’ils ne savent pas quoi rechercher.

En plus de fournir aux employés des outils de filtrage des e-mails appropriés, les responsables informatiques doivent former les travailleurs à distance à surveiller les messages suspects en examinant attentivement les adresses e-mail et en demandant des contrôles de légalité en cas de doute.

4. Verrouillage du routeur

Beaucoup de gens installent leur routeur domestique et n’y pensent jamais.

Beaucoup de gens installent leur routeur domestique et n’y pensent jamais. Les responsables informatiques doivent s’assurer que les employés connaissent l’adresse IP du routeur afin de pouvoir se connecter à l’appareil, changer le mot de passe par défaut et utiliser la fonction de verrouillage d’adresse MAC pour autoriser uniquement certains appareils à leurs réseaux domestiques.

5. Sauvegardes

Avertissez les employés de supprimer les fichiers des appareils qui se synchronisent via des applications comme Google Drive ou iCloud.

Si les employés stockent des données localement sur des ordinateurs portables ou des appareils mobiles, ils doivent leur apprendre à sauvegarder régulièrement leurs données de base. En outre, les responsables informatiques doivent veiller à avertir les employés de supprimer les fichiers des appareils qui se synchronisent via des applications comme Google Drive ou iCloud, car cela supprimera également les données de tous les appareils synchronisés.

6. Hygiène des mots de passe

Même si vos employés ont utilisé des mots de passe faibles qui se devinent facilement comme «12345», «iloveyou» ou «p @ ssword», beaucoup d’entre eux sont susceptibles de stocker leurs mots de passe sur un document non chiffré sur leur ordinateur portable. Si les pirates mettent la main sur ce document, tous les comptes d’utilisateurs seront en danger. Dans la mesure du possible, les organisations devraient équiper les travailleurs à distance de gestionnaires de mots de passe et de solutions d’authentification multifactorielle.

7. VPN

Un réseau privé virtuel (VPN) garantit que chaque message envoyé par les employés sera crypté, fournissant une connexion sécurisée aux serveurs d’entreprise. Les responsables informatiques doivent non seulement fournir aux travailleurs à distance un accès au VPN, mais également prendre des mesures pour garantir que les employés utilisent la fonctionnalité le cas échéant.

Éviter les attaques n’est pas seulement intelligent; nous constatons que tout le temps, des professionnels hautement qualifiés et performants sont tombés pour des attaques de phishing.

8. Formation

Éviter les attaques n’est pas seulement intelligent; nous constatons que tout le temps, des professionnels hautement qualifiés et performants sont tombés pour des attaques de phishing. La vraie clé pour maintenir la sécurité est la formation. Et si seuls des dirigeants informatifs sont prêts pour les dernières menaces et comment les éviter, les attaques réussiront inévitablement – en particulier avec autant de personnes travaillant en dehors des murs de l’entreprise. Une formation interne et externe continue dans toute l’organisation est nécessaire pour maintenir une attitude agressive en matière de cybersécurité. Mieux les gens comprendront les attaques possibles, mieux ils pourront se défendre.

Au cours des derniers mois, nous avons vu que les employés peuvent généralement être aussi productifs qu’à la maison au bureau. Avec la bonne combinaison d’outils et de formation, ils peuvent être tout aussi sûrs.

[ Culture change is the hardest part of digital transformation. Get the digital transformation eBook: Teaching an elephant to dance. ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.