Cyber sécurité 
Les principales cybermenaces auxquelles est confrontée l'industrie manufacturière sont les ransomwares, les attaques de la chaîne d'approvisionnement, les menaces internes, le phishing et les attaques d'ingénierie
Le terme « Apportez Votre Équipement personnel de Communication » communément appelé AVEC, signifie que les employés peuvent utiliser leurs appareils personnels sur le réseau d’une entreprise pour effectuer leurs tâches professionnelles. Les entreprises préfèrent parfois que leurs employés utilisent leurs propres appareils, car cela leur permet d’économiser la fourniture de technologies et de ressources. Malgré cet avantage financier, les entreprises devraient reconnaître les risques de sécurité que le AVEC peut apporter à leurs employés et à leurs organisations.
Les bonnes pratiques à suivre pour le AVEC comprennent la création d’une politique de sécurité, la nécessité pour les employés d’utiliser un gestionnaire de mots de passe et la séparation des informations personnelles et professionnelles.
Poursuivez votre lecture pour en savoir plus sur les risques de sécurité AVEC et les bonnes pratiques à suivre pour les entreprises afin d’appliquer le AVEC en toute sécurité.
Risques de sécurité AVEC
Bien qu’il existe de nombreux avantages à laisser les employés utiliser leurs propres appareils, votre entreprise peut faire face à plusieurs risques de sécurité.
Les employés peuvent perdre leur appareil
Comme les employés qui utilisent leurs appareils personnels à des fins professionnelles emmènent leurs appareils à l’extérieur du bureau, ils peuvent les perdre ou même se les faire voler. L’autorisation des appareils AVEC signifie que si les employés égarent leurs appareils, il est possible que des informations confidentielles puissent être perdues ou volées.
Une entreprise peut perdre ou se faire voler ses données
Les informations confidentielles divulguées à partir d’un appareil perdu ou volé peuvent se retrouver entre les mains de concurrents ou de cybercriminels. Un appareil perdu ou volé augmente les risques de fuites de données, ce qui entraîne la méfiance des clients et des autres employés.
Les infections par un logiciel malveillant sont plus susceptibles de se produire
Il y a également un risque accru d’infections par un logiciel malveillant sur les appareils AVEC, car les employés seront moins prudents et auront moins de restrictions sur ce qu’ils téléchargent sur leurs appareils personnels par rapport à un appareil fourni par l’entreprise. Si un employé télécharge une application tierce ou clique sur un site Web dangereux à la maison sur son appareil personnel, mais qu’il utilise ensuite ce même appareil au travail, un logiciel malveillant peut infecter l’appareil de votre employé et le réseau de l’entreprise.
Les données peuvent être divulguées par shadow IT
Le Shadow IT ou Informatique fantôme est un logiciel utilisé par un employé sans l’approbation du service informatique d’une entreprise. Puisqu’un lieu de travail qui autorise le AVEC sait que ses employés utilisent leurs appareils à la maison comme au travail, les employés peuvent utiliser des applications ou des logiciels qui peuvent aller au-delà des normes de sécurité informatique de leur entreprise. Le Shadow IT peut accroître la vulnérabilité de votre entreprise aux cyberattaques, car en contournant le service informatique de votre entreprise cela entraînera probablement des violations de données si les identifiants d’un employé sont compromis en raison d’un logiciel tiers.
Bonnes pratiques de sécurité pour le AVEC
Compte tenu des risques de sécurité d’un environnement de travail de type AVEC, cela peut ne pas sembler être un mode de travail sûr. Cependant, il existe des moyens pour votre entreprise et vos employés d’apporter leurs appareils personnels sur le lieu de travail en toute sécurité. Voici 10 des bonnes pratiques de sécurité pour le AVEC.
Créer une politique de sécurité AVEC
La première chose qu’une entreprise doit faire avant d’autoriser le AVEC est d’établir une politique de sécurité. Votre politique de sécurité AVEC doit préciser les applications ou les logiciels que les employés peuvent utiliser sur leurs appareils personnels pendant la journée de travail. Cette politique doit également inclure ce dont l’entreprise est responsable quant à ce qui se passe sur l’appareil d’un employé, comme effacer à distance toutes les données en cas de perte ou de vol ou installer le logiciel nécessaire pour le travail. La politique de votre entreprise doit aborder les dangers du téléchargement d’applications ou de logiciels à partir de sources tierces et les mesures de sécurité que l’entreprise attend qu’un employé applique. Cette politique doit également exiger que les employés de l’entreprise enregistrent leurs appareils auprès du service informatique afin d’avoir un enregistrement à jour des appareils autorisés.
Auditer régulièrement les appareils des employés
Prenez l’habitude d’auditer régulièrement les appareils de vos employés pour vous assurer que tout le monde suit la politique de sécurité du AVEC. Au cours de ces audits, vous devez vérifier le dernier système d’exploitation (OS) de chaque appareil pour les mises à jour, vérifier que seules les applications autorisées sont installées et vérifier que le logiciel de sécurité fonctionne correctement.
Les employés doivent-ils utiliser un gestionnaire de mots de passe professionnel
Chaque entreprise doit fournir un gestionnaire de mots de passe professionnel à ses employés afin qu’ils protègent et stockent leurs identifiants de connexion et y accèdent à partir de n’importe quel appareil. Un gestionnaire de mots de passe professionnel comme Keeper® peut créer des mots de passe forts et uniques, les stocker dans un coffre-fort sécurisé pour chaque employé et faire de l’intégration et du départ un processus facile pour les administrateurs. Il est spécialement important qu’une organisation prenant en charge un environnement AVEC mette en œuvre un gestionnaire de mots de passe, car les employés doivent séparer leurs identifiants de connexion personnels de ceux de l’entreprise.
Imaginez ce scénario : un gestionnaire de réseaux sociaux a quitté son emploi mais a toujours accès aux plateformes de réseaux sociaux de l’entreprise. Si votre entreprise utilise un gestionnaire de mots de passe professionnel, vous pouvez mettre à jour tous les mots de passe des réseaux sociaux, supprimer immédiatement l’accès de l’ancien employé et limiter l’accès des employés actuels avec les contrôles d’accès basés sur les rôles (RBAC).
Mettre en œuvre des mesures d’authentification obligatoires
Si votre entreprise utilise un gestionnaire de mots de passe, vous pouvez appliquer des politiques de sécurité des mots de passe pour authentifier l’identité d’un employé. Vous pouvez le faire efficacement en imposant une longueur de caractères minimale sur les mots de passe de l’entreprise et en exigeant l’authentification multifacteur (MFA) sur les comptes liés à l’entreprise. La MFA exige qu’une personne donne une forme d’authentification supplémentaire avant d’accéder à un compte sous la forme d’un code PIN, d’un code provenant d’une application d’authentification, d’une analyse d’empreinte digitale et plus encore. Dans le cadre d’une entreprise, il est essentiel d’exiger que les employés utilisent la MFA pour sécuriser les comptes en ligne et les informations privées des employés.
Éduquer les employés quant à la sensibilisation à la sécurité
Vos employés doivent comprendre les risques de sécurité associés au AVEC et aux cyberattaques en général. Sensibilisez vos employés aux dangers en ligne dont ils doivent être informés, tels que le phishing. Allez plus loin et effectuez des simulations de tests de phishing pour voir comment les employés réagissent. Une fois que les employés ont compris les risques potentiels en matière de cybersécurité, ils seront mieux équipés pour protéger leurs propres informations et les informations de l’entreprise contre les cybercriminels. De nombreux outils peuvent aider à éduquer les employés à la cybersécurité comme KnowBe4.
Utiliser l’accès au moindre privilège
L’accès au moindre privilège limite les privilèges inutiles pour vos employés, en leur donnant accès à ce dont ils ont besoin pour leurs rôles. Il s’agit d’une pratique de sécurité forte que votre organisation peut utiliser, car si une violation de données se produit, les cybercriminels auront un accès limité aux ressources et aux informations de l’entreprise. Par exemple, un employé du marketing n’aura pas besoin du même accès aux mots de passe et aux feuilles de calcul qu’un d’ingénieur au sein de la même entreprise. En donnant à vos employés le moins d’accès nécessaire pour faire leur travail, vous protégez les ressources internes et réduisez l’impact des violations.
Séparer les données personnelles et professionnelles
Comme le but du AVEC est que les employés utilisent leurs appareils personnels pour leur travail, il est essentiel de séparer les données personnelles et celles liées au travail. Recommandez à vos employés d’utiliser des méthodes de séparation des données pour séparer les données professionnelles des fichiers personnels, ce qui limitera le risque de fuites de données entre les deux.
Exiger l’utilisation d’un VPN ou d’une solution d’accès à distance
Un autre excellent moyen de séparer les données personnelles et professionnelles est d’exiger que les employés utilisent un réseau privé virtuel (VPN) ou une solution d’accès à distance pour travailler. Lorsque vos employés travaillent à l’aide d’un VPN, cela protège leur vie privée en chiffrant leur connexion Internet. Vos employés doivent utiliser des VPN si votre organisation leur permet de travailler à distance, car il peut y avoir plusieurs appareils sur un même réseau ou votre employé peut travailler sur le Wi-Fi public.
Cependant, les VPN sont coûteux, complexes et nécessitent une maintenance permanente. Une alternative robuste à un VPN est l’isolation du navigateur à distance (RBI). La RBI est une fonctionnalité complémentaire de Keeper Connection Manager, qui garantit une expérience de réseau privé sans avoir besoin d’un VPN. Il s’agit d’un service cloud-based qui isole les activités de navigation Web et minimise les menaces de cybersécurité en travaillant dans un environnement à distance et contrôlé.
Interdire aux employés de télécharger des applications non approuvées
Il peut être difficile d’interdire aux employés de télécharger des applications non approuvées sur des appareils personnels. Cependant, les applications qui ne sont pas passées ou approuvées par le service informatique d’une entreprise risquent de contenir un logiciel malveillant qui pourrait infecter d’autres appareils sur le réseau de l’entreprise. Les employés ne doivent jamais jailbreaker leur appareil, c’est-à-dire lorsque quelqu’un contourne le système d’exploitation (OS) d’un appareil (iOS pour Apple, etc.) afin de télécharger des applications ou des logiciels au-delà de la boutique approuvée de l’appareil. L’autorisation d’applications tierces sur l’appareil d’un employé, même s’il s’agit également de son appareil personnel, peut induire le vol de ses informations privées et des données confidentielles de votre entreprise.
S’assurer que les systèmes d’exploitation (OS) de l’appareil restent à jour
Assurez-vous que les employés gardent le système d’exploitation de leur appareil à jour. Le fait de disposer de la dernière version du logiciel sur un appareil garantit qu’il dispose des dernières corrections de bogues, de nouveaux correctifs de sécurité et de performances globales améliorées.
Protéger votre organisation contre les risques de AVEC
Maintenez un environnement sûr pour vos employés en appliquant les bonnes pratiques de sécurité pour le AVEC. Si votre entreprise permet aux employés d’utiliser leurs appareils personnels au travail et pour le travail, assurez-vous que des politiques de sécurité productives sont en place et apprenez à vos employés à protéger leurs données personnelles et professionnelles.
Commencez dès aujourd’hui un essai gratuit de 14 jours de Keeper Business pour donner à tous vos employés leurs propres coffres-forts numériques sécurisés pour stocker leurs identifiants de connexion et leurs informations privées.
