La plupart des entreprises laisse les employés utiliser leurs dispositifs personnels au travail, qu’il s’agisse des appels professionnels qu’ils reçoivent sur leur téléphone personnel ou des ordinateurs portables privés qui se connectent aux réseaux de l’entreprise. Cette situation est surtout avantageuse pour les petites entreprises : l’employé connaît déjà le dispositif et l’entreprise fait des économies. Il existe pourtant un inconvénient : cette pratique augmente les risques informatiques.
Dispositifs personnels au travail : la nouvelle norme
Le nombre d’entreprises qui dispose d’une politique Bring Your Own Device (BYOD, « apportez vos appareils personnels ») n’a cessé d’augmenter au cours de ces dernières années. Une étude réalisée l’an dernier par Oxford Economics pour Samsung a découvert que les dispositifs mobiles faisaient partie intégrante des processus opérationnels de 75 % des entreprises. De plus, seulement 17 % des employeurs souhaitent fournir un numéro professionnel à tous leurs employés. Les 83 % restants autorisent l’utilisation de dispositifs personnels au travail.
La protection des dispositifs personnels devrait-elle être confiée à leur propriétaire ?
Alors que les serveurs et les postes de travail d’une entreprise sont généralement bien protégés, les ordinateurs portables personnels, les smartphones et les tablettes des cadres et des employés ne relèvent pas toujours de la compétence des informaticiens chargés de la sécurité de l’entreprise.
Cette approche ne fait que faciliter la tâche des cybercriminels. Il ne s’agit pas d’une simple rumeur ou spéculation : le vol et le piratage d’objets personnels sont à l’origine de nombreux incidents. Voici quelques exemples flagrants.
Vol du dispositif
En juin de l’an dernier, la Michigan Medicine a signalé qu’elle avait peut-être révélé les données de près de 870 patients après qu’un employé se soit fait voler son ordinateur personnel. Les données sauvegardées sur l’ordinateur portable étaient utilisées à des fins de recherche et changeaient suivant le projet. Les fichiers pouvaient contenir le nom, la date de naissance, le sexe, le diagnostic et d’autres données confidentielles du patient, telles que le traitement administré.
Pirater un ordinateur personnel
Nous ne savons pas si le voleur a utilisé les données de l’ordinateur volé mais les clients de l’outil permettant d’échanger des crypto-monnaies, Bithumb, ont eu des doutes à la suite d’un autre incident.
Les cybercriminels ont réussi à avoir accès à l’ordinateur personnel d’un employé et ont détourné les informations relatives aux portefeuilles de 32 000 utilisateurs de ce service. Par conséquent, les criminels ont pu retirer des centaines de milliers de dollars des comptes des clients Bithumb.
La plateforme d’échange a promis d’indemniser de sa poche les victimes mais les clients ont déposé un recours collectif contre Bithumb pour divulgation de renseignements personnels et pour les pertes financières engendrées.
BYOD et politique de sécurité
Ce n’est pas parce que vous laissez vos employés utiliser leurs dispositifs personnels que votre entreprise dispose désormais d’une politique BYOD. Vous acceptez de prendre certains risques en laissant vos employés conserver et utiliser les informations liées au travail sur leur téléphone ou ordinateur portable personnel. Nous vous conseillons de suivre ces quelques conseils pour éviter de souffrir des pertes financières ou de nuire à votre image :
- Organisez régulièrement des cours de sensibilisation à la sécurité pour connaître les dernières menaces informatiques. Vos employés doivent comprendre les risques lorsqu’ils utilisent les dispositifs personnels au travail.
- Assurez-vous que tous les dispositifs qui ont accès aux réseaux et aux données de l’entreprise soient équipés d’une solution de sécurité. Dans l’idéal, elle devrait être gérée par un administrateur de l’entreprise. Si ce n’est pas possible, demandez à vos employés d’installer au moins une solution de sécurité personnelle. Si un dispositif n’est pas protégé, ne l’autorisez pas à se connecter.
- Soyez certains que les données conservées sur ces smartphones, tablettes et ordinateurs portables soient chiffrées. Les systèmes d’exploitation des dispositifs mobiles actuels autorisent les utilisateurs à chiffrer la totalité du téléphone ou de la tablette. Utilisez Kaspersky Small Office Security pour avoir un chiffrement de données fiable. Ainsi, en cas de perte ou de vol du dispositif, la solution va empêcher les intrus d’accéder aux données importantes.
Kaspersky Small Office Security a été conçu pour répondre aux besoins des petites entreprises. Cette solution ne requiert aucune compétence spécifique et les administrateurs n’ont pas besoin de former le personnel. N’importe qui arrive à utiliser le panneau de contrôle de cette solution basée sur le Web. D’autre part, cette suite de sécurité offre une protection robuste aux ordinateurs et aux dispositifs mobiles.