4 principaux risques de cybersécurité liés au travail à domicile

Avril
2, 2020

6 min de lecture

Les opinions exprimées par les contributeurs de entrepreneurs sont les leurs.

Un nombre sans précédent de personnes travaillent à domicile pour un avenir prévisible, et nous nous occupons de tout, de la garde d'enfants à la simple recherche d'un espace calme pour un appel ou pour faire du travail. Nos maisons sont devenues nos bureaux et, pressés de continuer, nous utilisons de nouveaux systèmes et respectons les politiques de sécurité de manière inégale au mieux.

En même temps, les frontières entre le travail et la vie privée s'effondrent: les affaires se font sur des FAI à domicile, avec des routeurs et des imprimantes non gérés, des systèmes domotiques en arrière-plan et même des partenaires et des enfants écoutant des conversations ou partageant machines tout en travaillant pour différentes organisations.

Connexes: 7 couches de cybersécurité que chaque entrepreneur doit comprendre

Et pendant ce temps, de nouvelles menaces de sécurité font surface. Certaines sont de vieilles attaques rapportées maintenant que nous sommes plus vulnérables, et d'autres sont de nouvelles escroqueries qui exploitent nos désirs pour obtenir des nouvelles, acheter des fournitures de base, éviter les infections et récupérer rapidement si nous tombons malades. Les mesures de sécurité traditionnelles qui ont été utilisées quotidiennement pendant des années ne peuvent pas protéger un personnel totalement éloigné sans adaptation. Cela signifie que nous devons repenser nos mentalités et notre approche de la sécurité dès maintenant.

L'élément le plus important d'une sécurité efficace en période de changement est de réaliser que si vous pouvez tout faire, vous ne pouvez pas tout faire . Le travail de la sécurité n’est pas d’éliminer tous les risques, car toutes les menaces ne sont pas également dangereuses ou probables, et elles ne seront pas toutes exploitées en même temps. Discutez des risques tôt et souvent et revoyez le triage régulièrement. Les risques auxquels vous êtes confrontés aujourd'hui ne seront pas ceux auxquels vous serez confronté la semaine prochaine ou la semaine suivante.

Ce sont quatre risques majeurs auxquels les entreprises doivent faire face pour progresser dans cette période d'ajustement:

Les pirates peuvent manipuler les VPN sans vue of the whole

Les réseaux privés virtuels, ou VPN, sont devenus la nouvelle bouée de sauvetage pour de nombreuses entreprises, étendant les réseaux cryptés à nos foyers. Cependant, de nombreux réseaux domestiques sont déjà infectés par des logiciels malveillants ou du matériel compromis qui peuvent être exploités pour organiser des attaques via des machines dotées de terminaux VPN. Une identité ou une machine compromise, en particulier lorsque la base de données comportementale sur le back-end est en évolution, peut permettre aux pirates de se superposer via le VPN. Il est essentiel d'avoir une vérification d'intégrité des points finaux et une authentification forte en place à ce stade une fois que le VPN est en place et actif.

Il existe également des vulnérabilités pour les VPN qui nécessitent vraiment une compréhension et une internalisation plutôt qu'une confiance aveugle, et de nombreuses applications qui deviennent la nouvelle infrastructure informatique critique verront de nouvelles vulnérabilités. Ce n'est pas une cause de panique, mais cela signifie que vous devez parler aux fournisseurs et planifier les correctifs et le basculement. N'oubliez pas que les fournisseurs, eux aussi, sont en train de changer et de trier leur assistance et leurs escalades, mais commencez le dialogue maintenant. Contactez vos fournisseurs de matériel ou de logiciels pour vous assurer que les configurations et les politiques sont en ordre, en commençant par les solutions VPN, de point de terminaison et d'identité.

Endpoint d'abord, puis mobile

Bien qu'il existe de nombreux défis de point de terminaison, la première priorité est de garantir la critique les processus d'affaires se rétablissent. Ensuite, assurez-vous que la nouvelle empreinte de l'entreprise est intégrée dans une perspective de politique et de contrôle. Ensuite, concentrez-vous sur le mobile, qui est la plate-forme la plus omniprésente et omniprésente dans nos vies personnelles. Les employés qui doivent apprendre de nouveaux appareils et applications se tournent vers leur téléphone encore plus que d'habitude car ils se sentent familiers. La plupart des entreprises ont établi des politiques définissant ce qui peut et ne peut pas être fait avec les téléphones mobiles, mais définissez ces politiques si vous ne les avez pas déjà. Les cybercriminels commenceront par le vol d'identité et les exploits classiques des machines, mais ils réfléchiront à de nouvelles façons de les cibler avant de passer à d'autres appareils. Prenez de l'avance sur les menaces mobiles avant de traiter avec d'autres appareils.

L'information peut être militarisée

Au cours des dernières semaines, les attaquants ont commencé à tirer parti des faiblesses humaines. Par exemple, les pirates ont développé une application mobile malveillante se présentant comme une application légitime développée par l'Organisation mondiale de la santé. Une personne vulnérable pourrait facilement confondre cette application malveillante avec une véritable application de l'OMS. Une fois installée, l'application télécharge le cheval de Troie bancaire Cerberus pour voler des données sensibles. Ces types d'attaques militarisent essentiellement les outils et les informations, car elles peuvent facilement être effectuées avec des applications qui offrent également des avantages légitimes. Avant, les attaquants devaient planifier leurs inconvénients pour divers intérêts et leurres, mais en ce moment, le monde entier connaît une crise commune. COVID-19 est devenu notre point d'eau commun, mais avec la bonne sensibilisation et l'éducation, nous serons en mesure de nous défendre.

L'emplacement physique est à nouveau important

Lorsque les employés ramènent leurs machines à la maison ou utilisent leurs machines à domicile pour le travail, ces machines sont désormais assises dans un espace physique et numérique qui ne ressemble à aucun autre au bureau. Entre routeurs, imprimantes, machines étrangères, appareils, consoles de jeux et domotique, la maison moyenne dispose d'un système de communication et de traitement plus complexe et diversifié que certaines petites entreprises.

Connexes: Le seul risque de cybersécurité auquel vous ne pensez probablement même pas

Les employés peuvent prendre des conférences téléphoniques à portée de voix des membres de leur famille ou même des employés d'autres sociétés. Rien ne doit être tenu pour acquis en ce qui concerne l'intimité des foyers des employés. Des politiques simples sont importantes – elles sont pertinentes non seulement pour la sécurité mais aussi pour la confidentialité en général. Les employés devraient-ils avoir des caméras allumées ou éteintes pour les réunions? Devraient-ils porter des écouteurs? Doivent-ils prendre des notes sur des applications papier ou numériques? Comment devraient-ils gérer les IP ou les PII affichés ou créés? Quelles applications de communication sont acceptables? Que se passe-t-il lorsque d'autres s'immiscent, voient des notes ou entendent des discussions? Ces questions peuvent sembler triviales, mais vous devez les aborder dès le départ. Surtout, écoutez et adaptez-vous lorsque les choses ne fonctionnent pas.

Ces quatre domaines sont loin d'être une liste complète des problèmes de cybersécurité auxquels vous devez répondre. Si vous les maîtrisez, énumérez les risques qui subsistent, triez-les par ordre d'importance et traitez-les méthodiquement.

La sécurité n'est jamais "finie" parce que l'adversaire n'est jamais fini; les cybercriminels sont sans cesse innovants et adaptatifs. Pour reprendre les mots de Winston Churchill, "Ne laissez jamais une bonne crise se perdre." Utilisez-le comme une opportunité pour entamer un nouveau dialogue de sécurité permanent au sein de votre entreprise.

Related: 5 outils de cybersécurité que votre entreprise devrait avoir