Sécuriser le travail à distance à l'ère numérique

Partie 15 de la série « Contrôles et gestion des risques »

Avec de multiples avantages pour les employeurs et les employés, le travail à distance gagnait déjà rapidement du terrain et la situation actuelle s'accélère encore cette tendance. Pour pouvoir continuer à opérer dans les zones géographiques où le confinement est imposé et permettre aux employés de conserver leur emploi, de nombreuses organisations ont opté pour une approche de travail à distance.

Une tendance soutenue aux avantages multiples

Cette tendance a commencé il y a de nombreuses années, cependant, avec l'émergence de la technologie qui permet aux employés d'accéder aux systèmes informatiques organisationnels de n'importe où dans le monde – comme ils le feraient s'ils étaient dans les quatre murs de l'entreprise.

En fait, le nombre de personnes qui le travail à domicile a augmenté de 91% au cours de la dernière décennie, et d'ici 2028, on prévoit que 73% de tous les départements auront des travailleurs à distance.

Il est également indéniable que ceci est motivé par des avantages quantifiables avec des estimations selon lesquelles une entreprise moyenne pourrait économiser 11 000 $ par travailleur à distance et 65% des répondants affirmant être plus productifs dans leur bureau à domicile que dans une traditio lieu de travail nal. Mais ce n'est pas seulement une question de productivité ou de coûts, car les personnes qui travaillent à distance au moins une fois par mois sont 24% plus susceptibles d'être heureuses.

En conséquence, je ne peux qu'être d'accord avec Jennifer Christie, responsable des ressources humaines de Twitter, lorsqu'elle a déclaré: «Nous ne serons probablement jamais les mêmes.» Les gens qui étaient réticents à travailler à distance constateront qu'ils prospèrent vraiment de cette façon. Les managers qui ne pensaient pas pouvoir gérer des équipes distantes auront une perspective différente. Je pense que nous n’y retournerons pas. »

Mais il y a aussi un autre côté à la médaille. Dans un blog précédent ( Contrôle interne – Du mal nécessaire à l’excellence opérationnelle ), j’ai fait référence à la définition ISO31000 de la gestion des risques, où un risque est l’effet de l’incertitude sur les objectifs, qu’elle soit positive ou négative. Eh bien, il existe malheureusement aussi des menaces associées aux aspects positifs (avantages) du travail à distance.

Pour en revenir aux statistiques, une constatation inquiétante d'une étude de OpenVPN montre que 90% des professionnels de l'informatique pensent que les télétravailleurs ne sont pas en sécurité. Et plus de 70% pensent que les membres du personnel à distance posent un plus grand risque que les employés sur site. Notez que c'est une perception, bien sûr, mais elle doit encore être abordée – surtout si l'on considère le fait qu'il y a eu une multiplication par 10 des cyberattaques dans certaines régions pour le moment.

En conséquence, les organisations doivent cibler les causes profondes des deux menaces externes pour dissuader à la fois les cyberattaques et la menace interne. Les professionnels de l'informatique craignent que les acteurs internes puissent représenter un niveau de risque important pour l'infrastructure informatique de l'organisation.

Relever efficacement ces défis

1. Gérer les comptes système et garantir les attributions d'autorisation appropriées

En mettant en place une identité et processus de gestion des accès, les entreprises pourraient gérer plus facilement l'accès aux applications d'entreprise, qu'elles soient dans le cloud ou sur site, via un accès basé sur le rôle des utilisateurs et les attributs. Les entreprises pourraient en outre mettre en œuvre l'authentification multifacteur pour améliorer la sécurité. Et pour supprimer le fardeau des procédures de connexion excessives, la simple mise en place d'une authentification unique les aiderait à atteindre cet objectif sans charge de travail supplémentaire pour les employés. Une sécurité sans effort, en quelque sorte!

2. Protéger les applications qui gèrent votre entreprise

Les systèmes internes d'une entreprise sont une cible attrayante pour les pirates informatiques, car ils exécutent des processus critiques et hébergent des informations d'entreprise sensibles pouvant être utilisées pour le cyberespionnage , sabotage ou fraude. Pour éviter les violations de données, les entreprises peuvent surveiller les applications commerciales pour détecter les activités suspectes (c'est-à-dire les anomalies) et les attaques. Ils pourraient également analyser les transactions commerciales elles-mêmes à la recherche de modèles frauduleux ou inhabituels. En corrélant les informations, les entreprises pourraient adopter une approche proactive et identifier rapidement les menaces.

3. Résoudre les problèmes de protection des données et de confidentialité

Dans certains cas, les utilisateurs doivent accéder à des données sensibles dans le cadre de leurs tâches quotidiennes. Pour les protéger des soupçons indésirables et pour protéger les joyaux de la couronne de l’organisation, les entreprises pourraient mettre en œuvre des outils de masquage des données afin que les informations inutiles soient masquées par défaut mais puissent être révélées à la demande. Et bien sûr, la journalisation des données aidera les cyber-enquêtes en cas de violation de données. L'enregistrement des données aide non seulement à identifier les coupables, mais aussi à comprendre la portée de la violation et à notifier les parties concernées et les régulateurs en temps opportun.

Ces trois processus créent une couche de sécurité supplémentaire pour l'organisation, mais cela ne être au détriment du salarié. En effet, ces processus s'exécuteraient en arrière-plan et ne créeraient pas de charge de travail supplémentaire pour l'employé. C'est une situation gagnant-gagnant, je crois, puisque toutes les parties se sentiraient mieux protégées.

Enfin, j'aimerais vous laisser avec une citation du responsable de la sécurité de SAP, que je trouve extrêmement pertinente car je crois qu'elle représente vraiment notre énoncé de mission: «SAP n'est pas dans le domaine de la sécurité, mais dans celui de la sécurisation des activités de nos clients.»

Et vous? Votre entreprise a-t-elle modifié ses politiques et procédures de sécurité pour s'adapter aux événements récents? J'ai hâte de lire vos réflexions et commentaires sur Twitter @TFrenehard

Améliorez la mise en œuvre et le fonctionnement de votre solution SAP en explorant la façon dont le canal en temps réel du support SAP Next-Generation Planification un expert peut vous aider dans ce processus.

Cet article a été initialement publié sur SAP Community et est republié avec autorisation .

Follow SAP Finance online : @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube