La sécurité dans le cadre du travail à distance
La sécurité est sans doute le principal élément non négociable lorsque l’on travaille à domicile. Il est évident que si un employé se connecte depuis l’extérieur du bureau, il doit le faire sur une connexion protégée – non seulement pour se protéger, mais aussi pour protéger son entreprise des dommages financiers et des retombées publiques des cyberattaques.
Souvent, la réponse à la question de savoir comment obtenir cette connexion sécurisée est un VPN. Sur le papier, il semble assez fiable : le service informatique établit la connexion, les employés s’y connectent et le tour est joué, ils sont en sécurité.
Toutefois, cet aperçu ne tient pas compte des problèmes courants liés à un VPN. Plutôt que d’assurer la sécurité des travailleurs à distance, les VPN ont tendance à ne donner aux entreprises que l’illusion d’une sécurité totale, ce qui a pour conséquence de rendre la main-d’œuvre distribuée moins sûre.
Tout le monde est-il toujours connecté ?
L’un des problèmes majeurs de cette configuration est qu’un VPN exige une totale conformité des employés pour fonctionner : la seule façon pour que la connexion assure la sécurité est que les employés se connectent effectivement au réseau. Sans cette connexion, rien ne protège leurs communications contre les hackers.
Bien sûr, les entreprises diront naturellement à leurs employés de ne jamais oublier d’utiliser un VPN lorsqu’ils travaillent à domicile, mais il y a toujours des cas où la politique de l’entreprise ne se traduit pas en action. Supposons, par exemple, qu’un employé se réveille tard et oublie de se connecter au VPN alors qu’il s’empresse de le faire. Ou encore, supposons qu’il ait besoin de passer un appel VoIP rapide à un collègue en dehors des heures de travail et qu’il n’ait pas envie de se reconnecter au VPN.
Les conséquences de ces erreurs peuvent être graves, c’est certain. Mais le problème est qu’il s’agit de simples erreurs humaines, et donc d’autant plus faciles à commettre lorsqu’on utilise des VPN.
Pas si au point que ça
La négligence est également possible avec les VPN, car ils peuvent épuiser la bande passante. Comme les VPN créent un réseau privé au sein d’une connexion Internet existante et cryptent tous les fichiers qui y sont transmis, l’utilisation des données sur un VPN augmente de 10 à 15 %. Et pour les employés qui ont une mauvaise connexion internet à la maison, même une telle augmentation peut être désastreuse. S’il existe des moyens d’améliorer les débits binaires dans un bureau à domicile, ces méthodes n’ont en fin de compte qu’un effet limité.
Ainsi, si un téléchargement se déroule mal, ou si la qualité d’un appel vidéo baisse, il sera très tentant pour un télétravailleur de couper son VPN pour compenser (oui, même si les normes de sécurité de l’entreprise stipulent le contraire).
Protection « tout ou rien »
Mais, supposons que tous les employés qui télétravaillent utilisent le VPN conformément aux normes. Cela apporterait-il une sécurité totale à une entreprise au travail distribué ?
Pas tout à fait. N’oubliez pas que, quel que soit le degré de sécurité de votre connexion au réseau privé, un VPN n’est qu’une couche de protection contre les hackers et les agents malveillants. Une fois qu’il y a une brèche, les hackers ont toute latitude pour intercepter les communications comme s’ils faisaient partie de l’équipe engagée. C’est la sécurité tout ou rien dans sa forme la plus évidente, sans réelle protection au-delà de l’accès à la connexion initiale.
Cela signifie que l’obtention d’autorisations d’accès pour les VPN est une véritable mine d’or pour les pirates informatiques, car ils leur servent de ticket express pour toutes les communications de votre entreprise. Ironiquement, l’utilisation d’un VPN donne aux auteurs de cyberattaques un plan facile pour attaquer une connexion d’entreprise.
Faites-vous confiance à votre fournisseur ?
Il est loin d’être impossible pour les hackers d’obtenir des identifiants de connexion VPN, eux aussi. Tout ce que ces mauvais agents ont à faire, c’est d’aller directement à la source : le fournisseur de VPN.
Le fait que le fournisseur de réseau conserve toutes les données d’identification pour se connecter au réseau est un élément essentiel des VPN. Malheureusement, ce n’est pas toujours un cas de confiance bien placée, étant donné qu’une majorité d’entreprises ont subi une violation de données par un tiers en 2018. (Considérez également que même le principal fournisseur de VPN, NordVPN, a lui-même subi une violation massive de données).
Encore une fois, étant donné qu’un réseau privé virtuel ne donne aux entreprises qu’une seule couche de défense contre les hackers, cela signifie que le fournisseur est en fait la seule forteresse qui protège l’ensemble de votre réseau. Si cela vous paraît alarmant, il est alors nécessaire d’envisager d’autres options.
Recherche d’alternatives
Quelles sont donc ces autres options ?
Plutôt que d’acheminer toutes les communications de l’entreprise via un serveur sécurisé spécialement conçu à cet effet, il est plus sûr et plus pratique d’appliquer les normes de sécurité à toutes les communications dès leurs envois. Cela signifie qu’il faut inclure des méthodes de sécurité comme le cryptage, la création de canaux privés de bout en bout et d’autres protections intégrées directement dans la plateforme de communication de l’entreprise. Cette approche « secure-by-design » est expliquée plus en détail ici.
Là encore, alors que le travail à distance devient le cadre opérationnel des entreprises, il est plus important que jamais de bien comprendre toutes les implications des méthodologies de sécurité utilisées par votre entreprise – et, dans le cas des VPN, pourquoi il est sage de chercher des alternatives.
Pour plus de conseils sur la technologie et le télétravail, abonnez-vous pour recevoir notre magazine gratuitement !