Tenez compte des cyberpolitiques et procédures lorsque vous accueillez à nouveau les employés
6 min readAu cours des 18 derniers mois, des employés du monde entier ont travaillé à distance depuis leur domicile en raison de la pandémie de Covid-19. Une considération qui a toujours été une préoccupation pour de nombreuses équipes de sécurité est l’utilisation des appareils personnels. Communément appelé Apportez votre propre matériel (BYOD), c’est un sujet qui prévalait même avant Covid et qui a constitué un défi important pour de nombreuses équipes de sécurité au fil des ans.
Repensez à mars 2020: les gouvernements émettaient des ordonnances de séjour à domicile dans un délai très court et de nombreux employés devaient travailler à domicile, certains sans accès aux appareils de travail. C’était une époque sans précédent (une expression utilisée avec parcimonie dans cet article) et, en tant que tel, certains employeurs ont permis à leurs employés d’utiliser des appareils personnels à des fins de travail jusqu’à ce que l’équipement autorisé puisse être délivré. D’autres organisations ont étendu leur politique BYOD pour l’autoriser tout au long de la pandémie, en particulier si l’infrastructure et les services étaient dans le cloud et pouvaient facilement être surveillés. Pourquoi dépenser de l’argent sur des appareils supplémentaires si tout est déjà accessible par un employé ?
Alors que de plus en plus de lieux de travail dans divers pays commencent à rouvrir, ces décisions doivent maintenant être réévaluées. Ici au Royaume-Uni, lundi 19Juillet a été le jour où toutes les restrictions ont été levées, y compris le travail à domicile.
Pour de nombreux employés, dont moi-même, un appareil fourni par le travail est la norme, uniquement à utiliser à des fins professionnelles. Personnellement, je préfère la séparation entre le travail et le personnel, donc un cahier de travail que je peux éteindre à la fin de la journée et ranger est une bénédiction. Cependant, pour d’autres, un seul appareil est plus rentable et signifie qu’ils peuvent tout faire n’importe où. Tous les employeurs et employés doivent tenir compte des implications en matière de sécurité et de confidentialité que cette option soulève.
Les appareils personnels comportent toutes sortes de risques à prendre en compte :
- Plusieurs comptes d’utilisateurs.
- Services et navigateurs synchronisés avec d’autres appareils.
- Mots de passe enregistrés.
- Fichiers personnels, y compris des photos.
- Logiciel non approuvé.
- Fuite potentielle de données.
- Infections potentielles de logiciels malveillants.
Apporter quelque chose comme ça au bureau sans mettre en place des contrôles, c’est comme inviter un renard à dîner dans un poulailler – cela n’aura pas un bon résultat. Alors, que doivent prendre en compte les équipes de sécurité pour les employés qui retournent au bureau ?
Premièrement, un cadre clair de politiques et de procédures doit être mis en place que les employés doivent suivre. l’ISACA Cadre COBIT, ainsi que d’autres, tels que ISO 27001 et SSAE 18, ont tous des contrôles liés à la gestion des actifs et des appareils personnels. Par conséquent, s’ils sont déjà en place, les organisations disposent déjà d’une base de référence que les employés doivent suivre.
Ces politiques et procédures doivent clairement détailler ce que les employés peuvent et ne peuvent pas faire avec des appareils personnels, avec des conséquences claires en cas de non-conformité. Si les organisations ne suivent pas ces cadres ou d’autres, il n’y a aucune raison pour qu’une politique sur les appareils personnels ne puisse pas être mise en place pour s’assurer qu’il existe des directives claires pour l’avenir.
Les politiques peuvent couvrir tous les types d’appareils ou être aussi spécifiques que nécessaire. Par exemple, une organisation pourrait interdire l’utilisation d’ordinateurs portables personnels mais autoriser l’utilisation d’appareils mobiles personnels uniquement pour les besoins de messagerie et de calendrier. Cela pourrait prendre la forme d’une politique signée que les employés acceptent s’ils veulent utiliser un seul téléphone mobile pour tout. Le degré de restriction qu’une organisation veut être dépend de son profil de risque.
Les politiques documentées ne peuvent aller plus loin, de sorte que les organisations auront probablement également besoin de la mise en place de contrôles techniques. Il existe de nombreux systèmes et services différents qui peuvent être mis en place, en fonction des restrictions requises et du budget disponible. Tous ces contrôles reviendront à nouveau sur le profil de risque de l’organisation.
Si une organisation autorise uniquement les mobiles personnels, la gestion des applications mobiles (MAM) pourrait être déployée sur ces appareils. Cela permettrait au téléphone de fonctionner normalement pour l’employé, mais restreindrait les aspects du travail à des applications spécifiques et empêcherait les fuites de données en désactivant les éléments copiés ou transférés de ces applications vers des applications personnelles.
Cependant, si une organisation autorise également les ordinateurs portables personnels, il convient de réfléchir à la manière dont cet appareil est surveillé pour détecter les risques tels que ceux énumérés ci-dessus. Si la politique relative aux appareils personnels définit clairement que tous les appareils personnels nécessitent l’installation d’un logiciel de point de terminaison, l’employé peut soit l’accepter dans le cadre des conditions de la politique, soit se voir attribuer un appareil d’entreprise.
Ce logiciel pourrait toujours permettre aux employés d’utiliser leur appareil normalement, mais certains risques, tels que l’installation de logiciels, le provisionnement de compte, les alertes de logiciels malveillants et les fuites de données, seraient couverts. Cela pourrait poser des défis à l’employé à la maison, mais c’est le compromis lors de l’utilisation d’un appareil personnel.
Fournir l’accès au réseau est une autre affaire : les organisations peuvent mettre en place des contrôles pour empêcher les appareils personnels d’accéder au réseau du bureau. Cela peut aller de la liste d’autorisation MAM à l’interdiction d’accès aux câbles LAN, un contrôle couramment adopté pour empêcher les visiteurs de brancher des appareils. Si ces contrôles sont mis en œuvre, les organisations doivent examiner attentivement si elles doivent être assouplies ou supprimées pour les employés qui reviennent.
La formation est un autre facteur à considérer, tant pour les employés que pour les équipes de sécurité elles-mêmes pour faire face à ces nouveaux risques. Les employés doivent comprendre grâce à une formation de sensibilisation à la sécurité ce qu’ils doivent et ne doivent pas faire, et les conséquences de leurs actions.
De même, si une organisation commence à autoriser l’utilisation d’un large éventail de nouveaux appareils, les équipes informatiques et de sécurité doivent être en mesure de relever les défis que ces appareils posent. l’ISACA État de la cybersécurité 2021 rapport détaille les défis du manque de personnel et de formation dans les équipes de sécurité, de sorte que les organisations doivent s’assurer que leurs équipes de sécurité sont bien préparées, à la fois en termes de personnel et de compréhension des nouvelles exigences pour les préposés au scrutin.
Bien sûr, ces points ne sont pas exhaustifs, mais donneront aux équipes de sécurité et aux organisations des points de départ initiaux à considérer lorsqu’elles chercheront à accueillir de nouveau les employés au bureau.
Simon Backwell, CISM, est responsable de la sécurité de l’information chez Benefex et membre de l’ISACA Groupe de travail sur les tendances émergentes