Les crises sont révélatrices de certaines failles. Celle du Covid-19, qui frappe durement les entreprises suisses depuis le 16 mars, n’échappe pas à la règle. L’arrêt brutal, sur ordonnance fédérale, de toutes les activités non essentielles a pris beaucoup d’entrepreneurs au dépourvu. Du jour au lendemain, ils ont dû généraliser le télétravail et inaugurer de nouveaux modes de fonctionnement à distance sur l’une ou l’autre des plateformes de visioconférence telles que Slack, Zoom, Jitsi, WhatsApp, Signal, etc. L’offre est pléthorique. Les risques aussi: récoltes et transmissions de données, failles, absence de chiffrement… Ces outils – certes utiles – se révèlent parfois de redoutables mouchards.
>>Lire aussi: 12 outils pour faciliter le travail à distance
Un «stress test» à grande échelle
Comment protéger le secret des affaires dans le contexte actuel, où les réunions entre collègues et les séances stratégiques d’un conseil d’administration se font par ces biais? Si le numérique sauve la mise des entreprises semi-confinées, il révèle surtout leur impréparation dans la mise en place d’une stratégie claire pour sécuriser leurs informations. Certaines étaient prêtes, et c’est ce qui pourrait les sauver sur le long terme. Quant aux autres, quelle stratégie adopter? Comment la mettre en place selon le degré de confidentialité des informations échangées? Avec quels outils et solutions? Enfin, le stress test du Covid-19 va-t-il changer la manière dont les PME vont gérer et investir dans la sécurité de l’information?
Jean-Bernard Marchand* dirige une petite PME de 20 personnes dans la région des Trois-Lacs. Il tient à garder l’anonymat pour ne pas péjorer des affaires déjà en berne avec la crise sanitaire. Car le patron avoue avoir été pris de court: «Je n’ai pas les moyens techniques et financiers des multinationales pour assurer pleinement la sécurité de l’information de mon entreprise.» Son service informatique se résume à une personne. Pourtant, toutes les données de l’entreprise sont stockées sur des serveurs sécurisés. Les trois collaborateurs, qui télétravaillaient jusque-là, le font sur des PC de l’entreprise, mis à jour avec les logiciels de sécurité, et équipés de VPN. «Mais lorsqu’il a fallu généraliser la pratique du jour au lendemain à tous les employés, c’était la panique», dit-il. La raison? Le manque d’ordinateurs à disposition, l’angoisse de la crise, le manque de sensibilisation des collaborateurs et l’urgence de continuer à travailler.
>> Lire aussi: Assurer la cybersécurité lors du télétravail
Outils techniques et facteurs humains
Outre les outils techniques pour sécuriser l’information, il ne faut pas négliger l’aspect psychologique de la crise. C’est du moins l’avis de Stéphane Koch, formateur et spécialiste dans la sécurité de l’information et vice-président d’ImmuniWeb: «Le constat est clair: les entreprises n’étaient pas prêtes à la généralisation du télétravail. Dans l’urgence et l’anxiété générées par la crise, les gens vont choisir la solution qui leur permettra de continuer de travailler. Souvent en utilisant leur ordinateur privé. Le parc informatique de l’entreprise devient ainsi hétérogène, augmentant les surfaces de cyberattaques.» De plus, ajoute l’expert, «les collaborateurs sont déjà anxieux par le contexte, mais ils doivent également assumer, de leur domicile, ce qui était géré par le service informatique. En l’occurrence, la sécurité. C’est complexe et déstabilisant.»
Stéphane Koch conseille donc aux entreprises de reprendre leurs esprits afin d’évaluer la nature de ce parc informatique informel: «Il s’agit d’harmoniser ce qui était chaotique à la base. C’est-à-dire s’assurer que les ordinateurs (PC ou Mac) des collaborateurs sont à jour avec leur système de sécurité. Installer le VPN pour chacun d’eux. Il existe des solutions très efficaces comme ProtonVPN. Exiger la double authentification partout et utiliser un gestionnaire de mots de passe. Toutes ces mesures s’accompagnent d’une courte formation à distance, car les outils seuls ne suffisent pas. Il faut que les collaborateurs comprennent ce qu’ils font et ne font pas, et dans quel contexte.» Le contexte et la nature des informations, venons-y.
Le maillon faible, l’humain
Selon le degré de confidentialité, on utilisera un outil spécifique. Au détriment de Zoom, Stéphane Koch plaide pour la version professionnelle de Wire. Plus chère (8 fr. par mois et par personne), mais qui chiffre toutes les communications. On évitera également Dropbox pour favoriser le service de stockage kDrive d’Infomaniak. Son service de vidéoconférence Meet, ou celui proposé par l’entreprise lausannoise Nimag Networks, BigBlueButton, sont aussi des outils intéressants pour partager des présentations qui ne sont pas sensibles, mais il faut faire attention à protéger les sessions avec un mot de passe.
Enfin, il existe toujours la possibilité de passer au vocal pour les réunions avec les applications Signal et Wire. Les entreprises qui se bornent à Zoom et WhatsApp pour leurs conférences à distance prennent-elles un risque sécuritaire? «Le risque existe toujours au niveau technique. Mais dans sa formalisation, sans connaître le lien de la visioconférence, il est infime, explique Stéphane Koch. Il est très important de fournir de la documentation pour sécuriser au mieux ses sessions Zoom. Quant aux risques liés au phishing (usurpation d’identité) ou aux tentatives visant à vous déstabiliser psychologiquement, ils sont vraiment réels.»
Elena Debbaut est experte en gestion de crise. Elle souligne le contexte particulier du télétravail: «La sécurité devient la responsabilité de chaque collaborateur. Le but est d’optimiser les ressources informatiques en minimisant les risques liés à la sécurité de l’information. C’est souvent l’humain qui est le maillon faible; la technologie peut protéger, mais elle n’est pas infaillible.» Que faire alors? «En situation de crise, la tactique initiale consiste à gagner du temps. Une entreprise devra agir selon ce qui est possible techniquement et selon les coûts. Ensuite, elle peut introduire de nouvelles mesures, étape par étape.» Par exemple? «Une entreprise peut décider de bloquer l’accès externe à des informations critiques comme la base des données clients et laisser seulement un accès web pour répondre et écrire des e-mails. Dans les étapes ultérieures, il est possible de donner un accès en limitant le type d’actions qui peuvent être exécutées à distance.»
Culture suisse et télétravail
L’experte ajoute: «Une entreprise peut également décider de refuser tout accès à distance dans ses diverses bases de données, considérant ceci comme un avantage stratégique par rapport à la concurrence. Si les investissements pour une gestion cybersécurisée du télétravail sont trop importants, alors l’entreprise ne doit rien faire d’autre qu’attendre la fin de la crise. Il en va de même pour les entreprises qui, pour diverses raisons, ne souhaitent pas garder le télétravail.» Selon Elena Debbaut, la crise actuelle rappelle que «culturellement, le télétravail n’est pas encore accepté en Suisse. Le contrôle des divers collaborateurs est encore rigide, la confiance n’est pas là. Les procédures manquent. Les investissements techniques en cybersécurité sont soit inexistants, soit insuffisants.»
>> Lire aussi: Télétravail, qu'en pensent les patrons?
C’est compréhensible, l’impératif économique prend l’avantage sur la gestion des risques. Néanmoins, Gabriel Avigdor, avocat vaudois spécialisé dans le droit des nouvelles technologies, espère une remise en question des PME dès la fin de la crise: «L’impératif pour elles est de survivre, mais elles ne doivent pas oublier que le télétravail va devenir la règle. Elles doivent tirer les leçons de la crise du Covid-19 et mener une réflexion claire sur les modes de travail à distance, notamment en formalisant des consignes tout en donnant suffisamment d’outils et de formation aux collaborateurs. Elles doivent aussi se poser les bonnes questions: que veut-on protéger et comment?»
Elena Debbaut abonde dans son sens, mais nuance: «Il faut également faire attention à l’engouement temporaire pour la cybersécurité. Toutes les entreprises vont vers des implémentations rapides du télétravail. Ça fait joli d’un point de vue marketing. Mais étant donné les coûts importants de la cybersécurité et la complexité de ce sujet, il y a de fortes chances que ces mêmes entreprises tempèrent rapidement les ardeurs du télétravail. Le télétravail est plutôt une culture d’entreprise, pas seulement des protocoles ou des outils à mettre en place. Selon moi, le «pourquoi» une PME doit aller vers le travail à distance est plus important que le «comment» technique et les «procédures». La cybersécurité est seulement un élément dans un ensemble plus complexe.»
*Nom et prénom connus de la rédaction
