Tous les articles par Contributeur Partenaire

Communiqué de presse

CMS Drupal : 10 précautions à prendre pour une sécurité maximale

Drupal figure aujourd’hui parmi les CMS les plus utilisés pour développer des sites internet. Sa rapidité, sa flexibilité et sa fiabilité font de lui le logiciel Open Source le plus prisé des grandes entreprises internationales. Autant dire qu’il est particulièrement sécurisé ! Cependant, des méthodes supplémentaires peuvent être appliquées pour augmenter encore sa résistance aux attaques. Voici 10 précautions à prendre pour encore plus de sécurité.

Drupal permet de créer des sites web aussi variés que des sites vitrine, marchands ou institutionnels, c’est pourquoi, à l’image de l’ agence drupal ITSS, bon nombre d’agences web spécialistes de création de site ou de développement spécifique choisissent, pour leurs clients, des solutions utilisant ce CMS.

Dix conseils pour plus de sécurité avec Drupal

Pour augmenter encore plus la sécurité avec drupal, et protéger son site au maximum, il est recommandé de prendre ces dix précautions supplémentaires.

1. Maintenir un nombre minimal de comptes administrateurs et enlever les utilisateurs inactifs

2. Installer des modules que la communauté Drupal a approuvé. En effet, celle-ci teste et corrige les failles détectées (plus ou moins rapidement cependant). Parmi les modules de sécurité, on retrouve Password Policy, Security Review, Kit de sécurité, Username Enumeration Prevention, Generate Password.

3. Patcher régulièrement les modules installés. En effet, ces derniers contiennent souvent des correctifs de sécurité. Drupal et ses modules doivent être à jour.

4. Choisir un bon hébergeur, qui a des mesures de sécurité qui résistent. Il est important qu’il fasse des sauvegardes régulières des sites. De même, l’utilisateur doit aussi faire des sauvegardes régulières de son site.

5. Mettre en place un certificat SSL afin de sécuriser les communications client-serveur via le protocole HTTPS.

6. Installer une protection anti-DDoS.

7. Vérifier de façon régulière les rapports d’état de Drupal pour avoir une idée de la sécurité de son site.

8. Utiliser des mots de passe forts et les changer régulièrement.

9. Utiliser l’authentification à double facteur.

10. Enlever les modules qui ne servent pas.

Drupal et ses modules

L’environnement Drupal propose un éco-systéme de modules et autres plugins. Pensez, pour la sécurité de votre espace de travail à la double authentification. Cette fameuse authentification à deux facteurs qui devient, aujourd’hui, indispensable.
Comme vous le savez, pour vous connecter, il vous est réclamé vos identifiants de connexion : login et mot de passe. Avec cette double authentification (2fa, TFA, …) il vous sera réclamé une seconde clé. Ainsi, en cas de vol de vos identifiants, sans la seconde étape de validation de connexion, point de passage possible pour le malveillant.
Pour cette option, vous devez possdéder l’extension mcrypt. Elle doit être installée pour utiliser le module TFA. Pourquoi ? Ce module stocke certaines données sensibles. Informations chiffrées à partir de  la bibliothèque php mcrypt.
Le second code dédiée à cette double authentification sera généra à partir de votre smartphone et d’une application dédiée comme celle proposée par Google.
Dernier point, et pas des moindres, lors de la mise en place de votre site, n’oubliez pas de sécuriser les comptes utilisateurs et de ne pas valider des comptes administrateurs à la pelle, ouvrant, en cas d’oublie, des portes possibles à des modifications non prévues. Les personnes autorisées se devront d’avoir un mot de passe fiable. Le module « password policy » devrait pouvoir les y aider. Il obligera les plus « feignants » à se créer un sésame digne de ce nom en définissant des politiques de mot de passe que vous aurez décidé : majuscules, chiffres, nombre de signes … Vous pourrez, par exemple, imposer deux majuscules dans un mot de passe ; quatre chiffres ; …
Il permet aussi de véfirier que le mot de passe n’a pas déjà été exploité via un historique proposé par le module. Il vérifie le mot de passe haché par rapport à une collection de mots de passe hachés précédents.
Cybersécurité, Justice

Comment le Parti communiste chinois vole les travaux scientifiques

Des chercheurs de la société Avago, basée aux États-Unis et à Singapour, ont mis plus de 20 ans à développer une technologie capable d’améliorer les communications sans fil. Mais un employé a volé le fruit de leurs travaux au profit du gouvernement chinois. Les responsables américains voient dans ce vol un exemple de « l’approche extensive » du Parti communiste chinois qui consiste à voler des technologies et de la propriété intellectuelle. Son but ? Accroître sa puissance militaire et économique, et asseoir sa domination scientifique dans le monde.

La « fusion militaro-civile » s’inscrit dans cette logique. La FMC fait intervenir l’ensemble de la société : toutes les entreprises, toutes les personnes sont amenées à participer à la modernisation de l’armée chinoise, que ce soit en leur offrant des incitations, en les recrutant ou en leur forçant la main.

Voilà qui pose des problèmes considérables à tous ceux — universités, entreprises privées et pays — qui seraient prêts à travailler en collaboration avec leurs homologues chinois.

En mai, le président Trump a publié une proclamation visant à limiter la capacité du PCC à faire un usage abusif des visas d’étudiant pour acquérir indûment des technologies émergentes à l’appui de la FMC. En outre, les organes fédéraux d’application de la loi mènent plus d’un millier d’enquêtes sur le vol possible de technologies américaines, y compris pour les besoins de la FMC.

Le PCC a plusieurs cordes à son arc pour s’approprier les travaux de recherche d’autres pays. Il recrute des ressortissants chinois, paie secrètement des scientifiques étrangers pour qu’ils recréent leurs recherches en Chine et envoie des militaires à l’étranger en les faisant passer pour des civils. Le but est toujours le même : voler des technologies et des informations afin de faire progresser les objectifs militaires et de développement économique de la RPC.

Christopher Wray, le patron du FBI, a déclaré le 7 juillet que le PCC faisait « tout son possible pour exploiter l’ouverture » des démocraties afin de voler des données scientifiques.

Voici, par exemple, comment il s’y prend :

Le piratage d’entreprises étrangères

Dans un cas récent, deux pirates informatiques, en lien avec le ministère chinois de la Sécurité de l’État, ont ciblé des industries de haute technologie* dans 11 pays. Certaines développent des vaccins et des traitements contre la COVID-19.

Leur campagne de piratage, qui a duré plus de dix ans, a notamment ciblé les secteurs de la fabrication de haute technologie et de la défense ainsi que l’industrie pharmaceutique aux États-Unis, en Australie, en Allemagne, au Japon, en Espagne, en Corée du Sud, en Suède et au Royaume-Uni.

Le recrutement de citoyens chinois

En outre, pour faire avancer les objectifs militaires et de développement économique de la RPC, le PCC dispose de nombreux programmes de recrutement et de motivation de ressortissants chinois à l’étranger qui ont accès à des technologies et des informations sensibles.

Hongjin Tan, citoyen chinois et résident légal aux États-Unis, a postulé au programme de recrutement du PCC, le Plan des Mille Talents, et s’est engagé à « compiler » et à « absorber » la technologie américaine, a déclaré M. Wray.

Lorsqu’il a quitté son emploi dans une société pétrolière basée dans l’Oklahoma en décembre 2018, il a emporté des secrets industriels d’une valeur de plus d’un milliard de dollars. M. Tan a plaidé coupable de vol* et de transmission de secrets industriels, et a été condamné à 24 mois de prison.

En juin, Hao Zhang, un citoyen chinois de 41 ans, a été reconnu coupable d’espionnage économique* et de complot avec un ancien employé d’Avago, Wei Pang, en vue du vol de secrets industriels.

Les offres aux experts étrangers

Dans certains cas, Beijing a encouragé des scientifiques étrangers à recréer leurs recherches en Chine — alors qu’ils étaient financés simultanément par le gouvernement américain pour les mêmes travaux.

Selon des procureurs fédéraux, le programme des Mille talents du PCC s’est engagé à verser 50 000 dollars par mois à Charles Lieber, un chercheur à Harvard, et lui a accordé 1,5 million de dollars* pour établir un laboratoire de recherche à l’université de technologie de Wuhan. M. Lieber a accepté ce financement du gouvernement chinois sans les divulguer à Harvard ni à son bailleur de fonds, le département de la Défense, ce qui constitue une infraction aux règles et à la loi américaine.

M. Lieber est accusé d’avoir fait une déclaration fausse, fictive et frauduleuse.

Une enquête récente des Instituts nationaux de la santé (NIH) a révélé que 54 scientifiques ont été licenciés ou ont démissionné parce qu’ils n’avaient pas divulgué leurs liens financiers avec des gouvernements étrangers. Sur les 189 scientifiques visés par l’enquête, 93 % avaient des liens avec la RPC.

Yanqing Ye (FBI)

La dissimulation des affiliations militaires

Yanqing Ye, lieutenante dans l’Armée de libération du peuple, a envoyé des documents en Chine pendant qu’elle faisait des études dans la section de physique, chimie et génie biomédical de l’Université de Boston (BU), affirment des procureurs.

Elle s’est fait passer pour une étudiante sur sa demande de visa et a caché son affiliation militaire. L’un des chefs d’accusation retenus contre elle est d’être une agente d’un gouvernement étranger.

Cybersécurité

Sécurisation des connexions Active Directory

Comment sécuriser des connexions Active Directory aussi simplement que possible ? La société IS Decisions propose sa solution UserLock qui permet de maintenir les portes fermées aux assauts pirates.

La solution de gestion des accès UserLock est évaluée par James Rankin, spécialiste de la connexion de la protection des accès. Il explique qu’UserLock a beaucoup de potentiel. « J’ai trouvé la configuration initiale très facile et en particulier la configuration MFA était également extrêmement simple.« . La fameuse et indispensable double authentification qui laissera n’importe quel pirate au porte de l’espace qu’il convoite. « Il n’est pas surprenant que la sécurisation de l’accès à Active Directory figure en tête de liste des priorités, car un pourcentage important d’entreprises s’appuient sur AD pour étayer leurs applications et services » confirme James Rankin.

Pour en savoir plus sur UserLock est l’amélioration de la gestion et la sécurité d’une implémentation AD, un test complet est présenté ici.

Hacking

De la simple enveloppe au carton Embaleo : comment expédier un pli important ?

Vous pouvez être amené, pour diverses raisons, à devoir expédier par voie postale un courrier important sur lequel vous voulez garder un œil durant son acheminement. Il peut s’agir par exemple de contrats, de réponses à des appels d’offre, de lettres de règlement, etc. Nous allons voir quelles sont les solutions qui s’offrent à vous et quels sont leurs caractéristiques et avantages respectifs.

Le courrier simple

On entend par là écopli, lettre verte ou lettre prioritaire. Si cette solution est la plus économique, ce n’est pas pour autant la plus sécurisée. En effet, à moins d’attendre un signalement direct par son correspondant, il n’est pas possible de savoir si celui-ci a bien reçu le pli. En l’absence prolongée de réponse, cela peut être problématique.

La lettre recommandée avec accusé de réception

Cette formule présente plusieurs avantages. Elle permet de garantir le contenu grâce à trois niveaux possibles de recommandation, et d’être certain que le correspondant a bien reçu le pli grâce au retour de l’accusé de réception signé par ce dernier. Ceci justifie que le recommandé avec accusé de réception, malgré son léger surcoût, est plus utilisé que son homologue sans accusé de réception. La lettre recommandée avec accusé de réception doit notamment être choisie si des considérations d’ordre juridique l’imposent. Dans d’autres circonstances, il peut toutefois s’avérer préférable d’en faire l’économie.

Un bon compromis : la lettre suivie

La lettre suivie, selon l’importance des documents que vous envoyez, peut constituer un parfait compromis entre les deux formules présentées ci-dessus. Si le contenu ne représente pas une valeur poussée (pécuniaire ou juridique) mais n’est tout de même pas anodin, c’est la solution vers laquelle on pourra se tourner, pour des expéditions vers la France ou vers l’international. Comme son nom l’indique, elle permet, grâce à un code, de suivre son envoi durant les différentes étapes depuis le dépôt en bureau de poste jusqu’à la distribution chez le destinataire.

Point important : le volume du pli

Il existe différentes manières d’attribuer le caractère « suivi » à un envoi, la meilleure sera entre autres fonction du volume des documents à expédier. On peut, si celui-ci le permet, utiliser une enveloppe affranchie selon les tarifs standard, sur laquelle on apposera une étiquette payante « suivi » munie d’un code qui sera scanné à chaque étape (on peut également acheter en bureau de poste des enveloppes de lettres suivies prépayées, à l’unité ou en lot).

Quoi qu’il en soit, pour tous les volumes, nous conseillons encore le choix optimal : pour plus de confort et d’économies, ne pas hésiter à recourir à des solutions comme les emballages lettre suivie embaleo. Par leurs formats divers et modulables, ils vous permettront aussi d’envoyer des dossiers entiers voire des objets (dans la limite d’une épaisseur de 3 cm, emballage compris – au-delà, choisir la formule colis).

backdoor

Comment lutter contre le Shadow IT ?

Le Shadow IT se définit par l’accessibilité au service informatique (généralement par le Cloud) d’une entreprise par une personne externe sans l’accord des gestionnaires informatiques de ladite entreprise. Ce phénomène représente une réelle menace pour les sociétés qui en sont victime, car il peut entrainer une fuite de données sensibles. Pour éviter de subir les effets néfastes du Shadow IT sur vos activités, voici quelques mesures à prendre.

Utiliser le CASB

CASB signifie en Anglais Cloud Access Security Broker. Il s’agit d’un logiciel ultra efficace pour signaler les menaces liées à l’utilisation des applications au sein d’une société. Il représente une réelle alternative pour lutter contre le Shadow IT d’autant plus qu’il permet de renforcer la protection complète des données en partant du Cloud jusqu’à la totalité de votre système informatique. En gros, il permet d’examiner le comportement des utilisateurs, et de maitriser les accès. L’idéal serait d’imposer son utilisation au sein de votre direction informatique en vue d’avoir un contrôle général sur l’utilisation du service Cloud afin de pouvoir dévoiler d’éventuelles contraintes liées au Shadow IT. Cliquez ici pour en savoir plus sur le Shadow IT.

Communiquer efficacement sur les risques liés à ce phénomène

L’informatique est omniprésente dans la quasi-totalité des activités humaines. Ces dernières années, environ 23 % des entreprises ont opté pour l’usage du service Cloud dans le cadre de leurs activités. Si vous êtes chef de société, même si vous n’adoptez pas ce type de service, il y a fort à parier que vos employés en font usage sans passer par votre direction informatique. En réalité, il s’agit d’une technologie qu’on peut obtenir et utiliser gratuitement. L’idéal serait donc de mettre en œuvre une méthode de surveillance capable d’identifier la présence du service Cloud et des appareils qui peuvent poser problème. À la suite à cette démarche, vous allez identifier « qui utilise quoi » au sein de vos locaux. Ainsi, vous pourrez sensibiliser vos salariés sur les risques probables et les conséquences qui peuvent en découler.

Cybersécurité, double authentification

La nouvelle loi sur la vérification de l’âge pourrait causer une menace pour la sécurité des données

Le Parlement français a approuvé à l’unanimité, jeudi 9 juillet 2020, l’introduction d’un système national de vérification de l’âge pour les sites pornographiques, quelques mois après que le président Emmanuel Macron s’est engagé à protéger les enfants contre de tels contenus.

Dans le cadre d’une loi plus générale sur la violence domestique, le Sénat a décidé en juin d’introduire un amendement exigeant que les sites web pornographiques mettent en place un mécanisme de vérification de l’âge.

Afin de faire respecter la loi, le CSA, l’autorité de régulation française de l’audiovisuel, se verra attribuer de nouveaux pouvoirs pour contrôler et sanctionner les entreprises qui ne se conforment pas à la loi – les sanctions pourraient aller jusqu’à bloquer l’accès aux sites web en France par une injonction du tribunal.

Le choix des mécanismes de vérification de l’âge sera laissé aux plateformes. Mais les législateurs ont suggéré d’utiliser la vérification par carte de crédit, un système d’abord adopté par le Royaume-Uni, qui a envisagé des dispositifs similaires pour contrôler l’accès à la pornographie mais a dû les abandonner fin 2019 en raison de difficultés techniques et de préoccupations liées à la protection de la vie privée. L’Italie a également approuvé un projet de loi similaire fin juin 2020, qui a suscité les mêmes inquiétudes quant à sa faisabilité et à sa conformité avec les lois de l’UE.

Vie privée et vérification de l’âge : des défis considérables pour la sécurité

D’ores et déjà, de nombreuses voix s’élèvent et s’inquiètent des effets collatéraux que ces mesures pourraient avoir sur la sécurité et la protection de la vie privée en ligne.

PornHub a récemment été victime d’une attaque malveillante qui a duré un an. En 2012, une violation du système YouPorn a révélé les adresses électroniques, les noms d’utilisateur et les mots de passe d’un million de clients. La même année, des pirates informatiques se sont introduits dans Digital Playground, divulguant 73 000 données et numéros d’utilisateurs, dates d’expiration et codes de sécurité pour 40 000 cartes de crédit. Les journaux de chat et les données de connexion de 800 000 abonnés de Brazzers ont été divulgués en 2016. MindGeek, concepteur de tous ces sites, a subi brèche après brèche de sécurité ces dernières années.

Le système de vérification de l’âge permettra à MindGeek d’accéder à un nouveau filon unique de données rentables : des informations sur les sites pornographiques auxquels les utilisateurs du système se connectent sur le web. Le concepteur ne verra pas votre identifiant, mais il connaîtra votre adresse e-mail et votre mot de passe, des données qu’il a déjà compromises à plusieurs reprises par le passé. La vérification de l’âge crée donc un risque très réel de fuite ou de piratage d’une base de données sur les préférences sexuelles et l’historique de navigation dans le porno de plusieurs millions de personnes, liée à leurs identifiants.

Les informations relatives à la sexualité sont privées pour une raison. De nombreuses personnes ont des secrets à garder, et les conséquences d’une atteinte à la vie privée peuvent être catastrophiques. La violation des données du site de rencontres extraconjugales Ashley Madison en est un exemple qui donne à réfléchir. Le site n’a pas réussi à sécuriser les données des utilisateurs, ce qui a entraîné une violation qui a conduit à un scandale pour les politiciens et les PDG, à du chantage, à une fraude d’identité et à deux suicides.

Il n’y a pas que les personnalités publiques qui risquent de souffrir en cas de violation à grande échelle des données pornographiques. Les membres les plus marginalisés de la société ont également beaucoup à craindre. Le type de relations sexuelles que nous affectionnons et dont nous fantasmons peut représenter un enjeu extraordinairement important pour ceux qui sont victimes d’homophobie et de transphobie. Il n’existe pas de lois protégeant les droits des adeptes du BDSM contre la discrimination, et dans certains pays, les pratiques sexuelles privées peuvent entraîner le licenciement.

Comme le souligne de son côté Harold Li, vice-président d’ExpressVPN : « Demander à des sites pour adultes de collecter des identifiants pour la vérification de l’âge est une catastrophe en matière de confidentialité des données. Les systèmes de vérification de l’âge collecteraient une quantité énorme de données personnelles et sensibles sur vos habitudes et préférences – des données qui pourraient être utilisées de manière inappropriée, consultées ou faire l’objet de fuites. »

En vertu des nouvelles lois, les internautes seront tenus de prouver leur âge pour accéder à des sites web à contenu adulte. Cela pourrait signifier le partage d’informations personnelles telles que le passeport, le permis de conduire, le numéro de téléphone ou les informations relatives à la carte de crédit avec des plateformes de vérification de l’âge tierces, ou l’achat d’un passeport-porno auprès de fournisseurs agréés.

Cependant, de nombreuses études ont déjà démontré que ce type de plateformes était régulièrement la cible d’attaques ou rencontrait des failles de sécurité. Qu’il s’agisse d’un simple Adware ou d’extorsion après avoir piraté une webcam, le problème soulevé par cette nouvelle loi semble majeur.

Comment vous prémunir contre les risques de violation de votre vie privée ?

Saviez-vous que votre fournisseur d’accès Internet (FAI) peut voir à tout moment ce que vous faites en ligne. Qu’il s’agisse d’effectuer des achats, de se renseigner sur des problèmes de santé, d’organiser des vacances ou de consulter votre compte bancaire, chacune de vos actions sur Internet créent une piste numérique de données qui peut brosser un tableau très détaillé de vous…

Les FAI voient une myriade d’informations basées sur vos activités, telles que les recherches que vous effectuez, les sites web que vous visitez, les articles que vous lisez, vos e-mails, vos messages instantanés, les fichiers que vous téléchargez, etc.

Désormais, pour  protéger votre vie privée en ligne, il suffira d’utiliser un VPN pour contourner ces limitations. Les VPN vous permettent de préserver votre vie privée et votre anonymat en ligne en créant un réseau privé sécurisé à partir de n’importe quelle connexion Internet à laquelle vous accédez, qu’il s’agisse de la connexion Wi-Fi de votre domicile ou d’un hotspot Wi-Fi public.

Cybersécurité, Securite informatique

Comment travailler en ligne en toute sécurité ?

Le jeudi 12 mars 2020, Emmanuel Macron s’est adressé à ses concitoyens dans le cadre des premières ripostes contre la contamination croissante au Covid19. Dans son discours, le Président français a, entre autres, suggéré le télétravail aux entreprises. Depuis le concept fait recette dans toute la France et même au-delà des frontières. Malgré le déconfinement, certains salariés continuent de travailler depuis leur domicile. Mais une telle option n’est pas sans risque, car les pirates pourraient infiltrer certaines données sensibles de l’entreprise. Pour éviter ces intrusions, entreprises et employés doivent prendre certaines précautions. Quelles sont-elles ?

Changez d’adresse IP

Le salarié a l’habitude d’utiliser son ordinateur pour se divertir ou pour faire des recherches. Lors de ses activités, il se pourrait qu’il se rende fréquemment sur des sites non sécurisés, ou se connecte sur des réseaux wifi publics. L’adresse IP de son appareil est donc certainement connue de ces pages et réseaux insuffisamment protégés. Dans cette situation, il est souhaitable que l’employé change l’identifiant de son ordinateur lorsqu’il se met au télétravail. Le guide d’Opportunités Digitales vous décrit les étapes d’une telle opération. Cette solution permet au salarié de travailler de façon anonyme, le but final étant de ne pas se faire tracer par d’éventuels pirates informatiques.

Sécurisez votre réseau privé

Logiquement, la mise en œuvre du télétravail a induit de nombreuses réformes dans les entreprises. Parmi elles, l’installation d’un réseau informatique exclusif à la structure. Par ce canal, les collaborateurs peuvent s’échanger les données depuis leur domicile. Conscients de la situation, les pirates investissent ces réseaux en quête d’informations importantes sur les sociétés. Ils s’en servent comme moyen de chantage auprès des dirigeants d’entreprises. Pour s’en prémunir, il est nécessaire de crypter toutes les informations qui transitent par le système informatique. Il est donc recommandé aux entreprises de mettre un VPN à disposition de chaque travailleur. Toutes les structures ne savent pourtant pas pourquoi utiliser un VPN en 2020. En réalité le Virtual Private Network (VPN) permet avant tout d’authentifier l’accès au réseau internet. L’entreprise peut également mieux contrôler le partage des données professionnelles par les collaborateurs.

Modifiez votre mot de passe

Les salariés avaient l’habitude d’accéder au réseau de l’entreprise via des codes secrets. À partir du moment où ils se sont mis à télétravailler, il leur est conseillé de modifier aussitôt les mots de passe, car les hackers sont à l’affût de la moindre information sensible. Et, comme aucun système sécuritaire informatique n’est entièrement fiable, les codes conventionnels tels que 12345 ou 00000 sont à proscrire. Les pirates informatiques les maîtrisent du bout des doigts. Il vaut mieux opter pour un mélange de caractères. Les codes secrets longs sont également recommandés. Tout ceci permettra d’augmenter le niveau de sécurité de votre passe d’accès.

Analysez et votre appareil

À défaut de s’attaquer directement au réseau de l’entreprise, les hackers s’en prennent aux salariés. Ils peuvent tenter de prendre le contrôle de leurs appareils via des courriels malveillants. C’est pourquoi tous les travailleurs doivent installer des antivirus sur leur ordinateur. Ce logiciel préviendra toute intrusion de programmes suspects. En plus de cette précaution, le salarié doit actualiser ses programmes. Une mise à jour automatique des applications est la solution idéale.

Sauvegarde

Télétravail et sécurité informatique des entreprises

Le nouvel environnement créé par la pandémie du coronavirus oblige les entreprises à se réinventer. Entre le respect des mesures barrières et la nécessité de se maintenir en vie, plusieurs d’entre elles ont opté pour le travail à distance. Plus que par le passé, ce mode de travail trouve aujourd’hui toute sa justification. Cependant, bien que présentant des avantages, le télétravail n’est pas sans danger. Cet état de faits implique un besoin pour une meilleure sécurisation des réseaux de l’entreprise, sensés être utilisés depuis l’extérieur.

Le télétravail, une chance de survie des entreprises

En ce moment où le confinement et la mobilité réduite des individus dictent leur loi, il devient difficile pour les entreprises de fonctionner de manière classique. C’est pourquoi elles sont amenées à se tourner vers le télétravail afin de respecter les obligations relatives à la distanciation sociale des employés requises par le gouvernement au sein des entreprises.

À y regarder de près, ce mode de travail regorge d’atouts. On peut citer entre autres, la réduction des risques liés aux déplacements, la baisse du taux d’absentéisme et de retards, la flexibilité des employés, la compétitivité, la réduction des contacts et par effet de levier, des risques de contagion.

De plus, le télétravail offre aux entreprises la possibilité de continuer à mener leurs activités dans un contexte virtualisé via les webinaires et les visioconférences. Autrement dit, les échanges et les réunions de travail entre les employés demeurent possibles par l’intermédiaire des TIC (technologies de l’information et de la communication). Par ces mêmes canaux, le management peut évaluer la performance de l’entreprise et fournir directives et orientations sur le travail à exécuter afin de conserver une dynamique de croissance positive pour cette dernière.

Cependant, le travail à la maison amène de nombreux défis. En effet, en dehors des risques psychologiques, le risque technologique est un facteur clef pour les entreprises. En effet les attaques des pirates informatiques ne cessent jamais. Quelles soient menées dans un objectif d’espionnage industriel ou de vol de données sous la forme de “Ransomware”. La sécurité des réseaux de données est une donnée clef de cette période et doit être considérée avec la plus grande des attentions.

Sécurisation des données des entreprises en situation de télétravail

La sécurisation des données est une responsabilité qui incombe aussi bien à l’employeur qu’aux employés. Parlant de l’employeur, il est de son devoir de sensibiliser son personnel aux risques des cyberattaques. Pour ce faire, la mise à disposition d’une liste de contacts d’urgence est fortement recommandée afin de pouvoir répondre à toute question relative à la sécurité.

Il est de la responsabilité de l’employeur de mettre en place un système d’authentification sécurisé (exemple : système à deux facteurs pour accéder aux espaces de travail). Ce dernier est matérialisé par l’envoi d’un code par SMS à chaque employé. De cette manière, chaque travailleur pourra se connecter au réseau en utilisant son identifiant et son mot de passe.

En outre, le chef d’entreprise pourra recourir aux outils collaboratifs en ligne pour les réunions de travail et autres webinaires. À cet effet, l’usage de Slack, Teams pour la messagerie, de Dropbox ou d’OneDrive pour le transfert et la mise à disposition des fichiers partagés ou non, n’est pas superflu. Si le besoin de renforcer la sécurité se fait ressentir vous pouvez mettre en place, une restriction d’accès aux données importantes de l’entreprise. Enfin, le recours à un prestataire spécialisé dans la surveillance informatique peut s’avérer nécessaire.

Par ailleurs, la sécurité des données de l’entreprise impose certaines restrictions aux télétravailleurs. Il doit éviter de se connecter à un wifi public, de même qu’il doit sécuriser son wifi avec un mot de passe. En outre, une vérification permanente de la mise à jour de son antivirus est un réflexe à adopter. L’employé doit séparer les données de l’entreprise des données personnelles. Par conséquent, les différents mots de passe et les périphériques de stockage : disques durs externes, disques optiques, clés USB… doivent être utilisés sur les sites professionnels ou privés.

Précautions à prendre par les télétravailleurs

Après avoir fait le tour des risques encourus par l’employé en télétravail, l’employeur a le devoir de tout mettre en œuvre afin de permettre aux salariés de travailler dans des conditions optimales depuis son domicile. Il lui incombe également de prévoir les procédures d’urgences, ainsi que toute déclaration d’accident et d’assurer un suivi à la lettre des réglementations du Code du Travail et de ses dispositions relatives au télétravail.

L’employeur a également l’obligation de former le télétravailleur à plusieurs aptitudes. Car ce dernier doit savoir prévenir, maîtriser ses charges émotionnelles et gérer les humeurs des clients. De plus, il doit apprendre à gérer son temps de travail en hiérarchisant ses tâches.

Dans la foulée, l’employé a besoin de mieux s’organiser, d’être informé sur les différents risques qu’il encourt en situation de télétravail. Il devra notamment savoir que l’utilisation intensive d’un ordinateur et d’un téléphone le contraint à des postures qui ont des conséquences sur son dos, son cou, ses épaules et son poignet.

De longues conversations téléphoniques exposent le télétravailleur à une source d’émissions d’ondes semblables à celles d’un champ électromagnétique.

Enfin, le télétravailleur doit être formé aux outils NTIC, à la maintenance, à la transformation et à la gestion des logiciels et des procédures. Ces précautions permettent à l’employeur de s’assurer que le télétravailleur est nanti des savoirs théoriques et pratiques exigibles en télétravail.

Équipements informatiques de sécurisation des données

L’un des défis majeurs auxquels les entreprises font face, en situation de télétravail, est la sécurisation de leurs données. Pour ce faire, elles ont, à leur portée, une multitude de solutions proposées par les cyber-experts.

Un détecteur d’intrusion ou un VPN permettent de repérer toute tentative de pénétration ou de forçage d’un réseau local ou d’entreprise. Les appareils de surveillance comme des radars ou des caméras de surveillances permettent de limiter l’accès physique aux données et aux locaux à un nombre réduit de personnes dignes de confiance.

D’autres mécanismes de protection peuvent être mis à contribution. Il en est ainsi des pare-feu (appelés également firewalls) qui permettent de contrôler le flux d’informations. Toute une panoplie d’outils disponibles dans le commerce vous aidera à mieux sécuriser une unité de télétravail. Logiciels antivirus, programmes de tests de vulnérabilité, d’erreurs et de configuration, cartes à puces, lecteurs d’empreintes ou bien systèmes d’authentification rétiniens sont disponible afin de sécuriser la propriété tant matérielle qu’immatérielle d’une entreprise.

Au-delà des éléments mentionné ci-dessus, il n’est pas inutile de souligner l’importance des serveurs Proxy et Proxy anonymes. Ils permettent de conserver les informations à l’abri des regards indiscrets. Enfin, il est important de mettre en place un système de cyberdéfense afin de se prémunir de toute attaque.

Le télétravail est un type de travail à distance. Ce modèle a permis à nombre d’entreprises de survivre pendant la période de confinement imposée par la crise sanitaire du coronavirus. S’il est vrai que cette forme de travail présente de nombreux avantages, des précautions doivent cependant être prises par l’entreprise afin de garantir la sécurité de ses données.

Chiffrement

COVID19: COMMENT SÉCURISER LE TÉLÉTRAVAIL ?

De plus en plus de cas de Covid 19 (coronavirus) poussent les pays à se confiner, forçant ainsi la majorité des salariés à pratiquer le télétravail. Cette mesure est nécessaire afin de limiter la propagation du virus, mais elle est néanmoins risquée et présente de nombreux risques de cybersécurité.

Télétravail & Cybersécurité: Quels sont les risques?

La majorité des professionnels de l’informatique l’ont bien compris : la télétravail est particulièrement bénéfique mais comporte des risques.

Cette étude nous montre que 92% des professionnels de l’informatique considèrent les avantages du travail à distance plus importants que les risques engendrés.

Cependant, leur approbation du télétravail ne vient pas sans inquiétudes. 90% des personnes interrogées estiment que les travailleurs à distance représentent un risque de sécurité en général et 54% sont convaincus qu’ils présentent un risque plus élevé que les employés travaillant sur site.

Les risques sont nombreux : réseaux non sécurisés, espionnage, piratage, employés exploités… Au final, ils concernent tous la manière dont l’équipe informatique réussi à étendre la sécurité de l’accès au réseau de l’entreprise – et aux données sensibles à l’intérieur.

Comment sécuriser le télétravail ?

La sensibilisation des employés aux enjeux et risques de la sécurité informatique est bien évidemment primordiale. Cependant, elle n’est pas suffisante. Voici quelques mesures à prendre afin de sécuriser vos télétravailleurs.

  1. Mise en place d’un VPN

La mise en place d’un VPN (Virtual Private Network) permet d’ouvrir un tunnel sécurisé entre le poste de travail à distance et le réseau de votre entreprise.

  1. Sécurisation des connexions VPN

Afin de sécuriser les accès utilisateur en dehors du bureau, l’équipe informatique doit être capable de limiter l’accès VPN à seulement certains ordinateurs portables autorisés par l’entreprise. Les tentatives d’accès provenant d’une autre machine doivent alors être refusées.

  1. Surveillance et gestion des sessions RDP

Afin de détecter des accès anormaux, il est important de mettre en place une solution de surveillance de vos sessions à distance (RDP). De plus, des alertes en temps réel et une réponse immédiate vous permettent d’agir avant que tout dommage ne soit causé.

  1. Authentification à deux facteurs (2FA) pour les sessions RDP

La 2FA permet de sécuriser l’accès à votre environnement Windows. Pour les sessions à distance, le besoin est encore plus important. Il est primordial de vérifier l’identité des utilisateurs finaux qui se connectent à un ordinateur (distant ou virtuel) sur le réseau.

Une solution pour sécuriser le télétravail

UserLock atténue le risque de sécurité lié au télétravail et protège contre les accès inappropriés ou suspects. UserLock travaille aux côtés d’Active Directory pour aider les administrateurs à gérer et sécuriser les accès pour tous les utilisateurs (à distance ou sur site), sans frustrer les employés ou gêner le département informatique. Découvrez comment fonctionne cette solution dans cet article.

Cybersécurité

La signature numérique : nous vous disons tout sur cette nouvelle tendance

La digitalisation a pris le pouvoir et seules les entreprises promptes à s’adapter aux nouvelles contraintes pourront résister. Désormais, chaque entrepreneur moderne devra ajouter dans sa mallette à outils, la signature numérique. Eh oui, vous l’aurez compris, la signature manuscrite s’effrite petit à petit pour laisser place à la signature électronique. À titre illustratif, le leader mondial spécialisé en signature électronique la firme européenne Yousign.com a doublé ses chiffres en quelques mois. Qu’est-ce qui explique un tel phénomène réponse dans ce guide.

Qu’est-ce-que c’est qu’une signature électronique

Par signature numérique, il faut comprendre une suite de caractères correspondant à un signataire précis et à un fichier spécifique. Ce principe n’a de sens que s’il s’adosse sur la cryptologie qui renvoie à la science du secret. C’est cette dernière, qui permet d’assurer la sécurisation de la signature, vous remarquerez qu’une signature numérique n’est pas obligée d’être visible sur le document.

Signature numérique et signature traditionnelle : la différence

Si pour une signature manuscrite vous n’avez besoin que d’un stylo, d’un document et d’un geste personnel ? Il n’en n’est pas de même pour la signature numérique. En effet, en plus d’un document, elle nécessite surtout un outil de signature, de même qu’un code secret. Outre la différence d’outils, la signature électronique permet de formaliser le consentement du signataire d’un document devant être approuvé. Nonobstant ces légères différences d’un point de vue formel, elles conservent toutes deux, la même valeur probante.

La signature électronique comment ça marche ?

Vous devez faire appel à un prestataire de service de signature électronique, et qui de mieux que Yousign.com pour vous accompagner lors de toutes les étapes de la procédure ? Ce géant Européen de la signature numérique mettra à votre disposition, un espace sécurisé pour que toutes vos opérations s’effectuent sans le moindre souci. Avec Yousign.com utiliser une signature électronique n’exige que ces quelques étapes :

  • Faire un clic sur le lien d’accès envoyé dans votre boîte électronique;
  • La prise de connaissance du document électronique;
  • Effectuer la signature après avoir reçu un code de sécurité via SMS.

Signature numérique : les principaux avantages

La liste des avantages n’est pas exhaustive, voilà pourquoi nous en avons choisi les 3 principaux.

  • Une sécurité plus renforcée : toute signature dispose d’un cachet d’inviolabilité à travers un horodatage. dans un monde en proie à la cybercriminalité, il faut bien protéger sa PME.
  • Baisse des coûts : finis les frais liés à l’impression, l’archivage et l’acheminement des documents ;
  • Un gain de temps considérable : les documents sont désormais suivis en temps réel. Il existe aussi des notifications pour signer avant l’arrivée des échéances. Entre l’envoi et le retour, vous gagnez un temps précieux.