Dans le monde actuel du travail, de plus en plus de sociétés font appel à des consultants, confient des missions à des freelances ou engagent des stagiaires. Ces collaborateurs externes représentent-ils un risque pour la sécurité ? Comment être sûr qu’ils ne vont pas effacer des données, partir avec la liste des clients ou encore introduire un virus dans le système informatique ? Deux experts nous livrent leurs conseils.
Un réseau bien structuré
Pour François Bryssinck, administrateur chez Megabyte, qui fête cette année ses 30 ans d’existence, le premier aspect à évaluer est celui de la structuration du réseau de l’entreprise. « Comment mon réseau est-il architecturé ? Est-il possible de limiter l’accès à certaines données ? A-t-on défini différents profils en fonction des collaborateurs ? Autant de questions à se poser quand on s’interroge sur les risques liés aux collaborateurs externes », commence-t-il. Jean-Paul Boon, administrateur et président du BDE-Group partage son opinion : « Il est possible de travailler avec des réseaux virtuellement séparés. Le travail des externes est réalisé sur un réseau secondaire et n’est copié sur le réseau principal qu’après avoir été validé. »
Ensuite, quand on a dans ses murs un collaborateur externe, il faut bien définir ce à quoi cette personne peut/doit avoir accès. « En fonction de la confiance qui lui est accordée, bien sûr, mais aussi en fonction des tâches à accomplir », commente François Bryssinck. Pour un étudiant qui viendrait faire un stage en comptabilité, ne pas avoir accès aux données comptables de son lieu de stage serait un non-sens. « D’où l’importance, dans ce genre de cas, d’être très attentif au profil du stagiaire ou du collaborateur externe engagé », précise-t-il.
Il est aussi possible de donner uniquement un accès de « consultation », de façon à ce que le collaborateur externe puisse voir les données sans pour autant pouvoir les effacer ou les copier. Il est également possible d’installer des alertes qui informent le gestionnaire de réseau qu’une personne non habilitée a essayé d’avoir accès à certaines données ou travaille avec des plateformes de travail du type SharePoint qui permettent de voir qui a téléchargé des documents. « Mais il faut aussi évaluer la charge de travail que cela représenterait », modèrent nos deux experts.
Réfléchir et investir
Tout ceci implique qu’en amont, la société ait pensé à architecturer son réseau informatique et, malheureusement, ce n’est pas le cas partout. « Les grosses entreprises disposent en général d’un réseau informatique bien structuré. Par contre, dans des PME ou dans des entreprises qui ont connu une croissance rapide, il n’est pas rare que le réseau ne soit pas du tout sécurisé », explique François Bryssinck. « À la base, comme l’entreprise ne comptait que quelques personnes de toute confiance, ce n’était pas nécessaire. Mais lorsque l’entreprise a grandi, cela peut le devenir sans que les responsables ne s’en rendent vraiment compte », poursuit-il. Jean-Paul Boon confirme : « Pour des patrons qui ont ‘la tête dans le guidon’, réfléchir à la sécurité informatique n’est pas toujours considéré comme une priorité. Le budget à allouer à leur sécurité informatique leur semble parfois important et ils préfèrent le consacrer à autre chose. Comme leur réseau informatique ‘tourne’ bien, ils ne voient pas la nécessité d’investir davantage. »
Quelques trucs et astuces
Cependant, des mesures de base et (presque) gratuites peuvent être mises en place pour protéger ses données et son système informatique.
- Le choix du mot de passe, par exemple. « ‘12345’ ou ‘password’ ne sont pas des mots de passe très efficaces. Pourtant, vous seriez étonné du nombre de personnes qui les utilisent », assure François Bryssinck, avant d’ajouter que, pour lui, un bon mot de passe doit contenir des lettres, des chiffres, un caractère spécial et être modifié régulièrement.
- Une autre faille de sécurité classique est le réseau wifi qui peut donner accès au serveur de l’entreprise. « Si votre société reçoit régulièrement des visiteurs, il est préférable de créer à leur intention un réseau wifi séparé qui ne leur donnera accès qu’à internet », conseille Jean-Paul Boon.
- Jean-Paul Boon conseille aussi de faire très régulièrement de bons back-up des données de la société. « Veillez également à effectuer des tests de récupération pour vous assurer que vous pouvez récupérer facilement tous ces fichiers », précise-t-il avant d’ajouter qu’une autre manière de protéger ses données est de travailler autant que possible dans un cloud.
- Mettre en place un processus où les actions réalisées par les externes doivent être validées est une autre façon de se protéger. « Mais cela alourdit la procédure », prévient François Bryssinck. Prenons le cas d’un webmaster qui gère la page web de son client : il est techniquement possible qu’un collaborateur interne doive valider ses publications avant qu’elles ne soient mises en ligne. Cela diminue le risque que le webmaster publie quelque chose d’inapproprié, mais cela allonge la durée de la procédure dans un domaine où il faut en général être assez réactif.
- Autre conseil : mettre à disposition des externes du matériel informatique propre à la société. En effet, les ordinateurs portables des externes ne sont pas toujours mis à jour ou correctement protégés. Si l’ordinateur est (volontairement ou non) infecté, il risque de contaminer tout le réseau de l’entreprise en se connectant à celui-ci. Jean-Paul Boon ajoute : « Je conseille aussi aux entreprises de créer des adresses e-mail propres à l’entreprise pour les externes – même s’ils ne restent pas longtemps – et interdire l’accès aux boîtes mail personnelles comme hotmail et gmail qui représentent une porte d’entrée importante pour les virus. »
- Etre prudent lors du recrutement est aussi une mesure importante. En fonction des missions, il faut sélectionner avec plus ou moins de rigueur les externes et/ou stagiaires… sans pour autant devenir parano ! « On ne peut jamais se prémunir totalement des risques, mais à partir du moment où on a confié des missions à des personnes soigneusement sélectionnées, il faut aussi leur faire confiance. Un collaborateur externe n’aura a priori aucun intérêt à nuire à son client sous peine de le perdre, voire d’être poursuivi », avance François Bryssinck.
- Enfin, pour François Bryssinck, il est primordial de prévoir une procédure de fin de mission très claire : « Un point souvent oublié est celui des collaborateurs sortants et des accès à distance. Lorsqu’un externe arrive à la fin de son contrat, il ne faut pas oublier de couper ses accès. Surtout si la séparation ne s’est pas bien passée. »
Faire appel à des professionnels
Les données sont un capital très important de la société. Pour nos experts, il est indispensable que les sociétés se posent régulièrement la question de leur sécurité informatique. Les sociétés grandissent, la technologie évolue vite, de nouvelles méthodes d’attaque voient le jour. Ces derniers temps, par exemple, les cryptolockers se sont beaucoup propagés. Ils sont souvent envoyés par mail et il suffit qu’un collaborateur clique sur le lien pour que toutes les données de l’entreprise soient cryptées. Les données sont « prises en otage » et rendues uniquement en échange d’une grosse rançon. « Il y a cinq ans, ce type d’attaque n’existait pas », commente François Bryssinck. Les pirates informatiques sont de plus en plus inventifs. Faire le point une fois par an, par exemple, sur les mesures de sécurité de l’entreprise n’est donc pas du luxe. « Malheureusement, cette démarche n’est pas encore tout à fait entrée dans les mœurs des petites sociétés », déplore-t-il. Mettre sur papier et faire signer une vraie politique de sécurité informatique propre aux externes est aussi une procédure qui devrait être systématisée.
L’un comme l’autre, nos deux experts conseillent de faire appel à des prestataires spécialisés en la matière qui proposeront des solutions sur-mesure adaptées au profil de risque et aux besoins de la société. Toutes les sociétés n’ont pas le même degré de risque. Cela doit aussi entrer en ligne de compte dans l’analyse des besoins de sécurité informatique. « Il ne faut pas non plus tomber dans l’excès inverse et trop sécuriser le réseau, ce qui pourrait rendre le travail des employés trop lourd », conclut François Bryssinck.