Connect with us

Technologie

Think Tank sécurité : En 2021, activez, autonomisez et confiez vos utilisateurs

Published

on


Le travail à distance n’est pas nouveau, mais il est très certainement là pour rester. Ce n’est pas seulement une opinion, c’est une déclaration basée sur ce que les travailleurs britanniques disent réellement, selon Morgan Stanley dans son rapport de 2020.

Après un nombre sans précédent de personnes ayant la possibilité de travailler de la maison dans le premier confinement, seulement 34% du personnel de bureau est retourné à un environnement de travail de bureau sûr Covid-19 après lockdown 1, contre 70% en Allemagne, 73% en Espagne, 76% en Italie et 83% en France.

Ayant eu la possibilité de travailler de la maison, de nombreux travailleurs britanniques sont maintenant désireux de conserver au moins un élément de travail à domicile ou à distance dans le cadre de leurs rôles.

Il convient également de noter que 50 % des travailleurs qui étaient nouveaux au travail à distance – des personnes qui n’avaient jamais travaillé auparavant de la maison avant lockdown 1 – voulaient continuer à travailler à distance à temps plein ou à temps partiel à l’avenir.

La possibilité de cybercriminalité n’est évidemment pas passée inaperçue par des acteurs hostiles. En effet, Darktrace a noté un bond de 12% (mars 2020) à 60% (mai 2020) dans le pourcentage de trafic malveillant dirigé vers les travailleurs à domicile. La plus grande partie a été fournie par hameçonnage d’une sorte ou d’une autre. Le National Cyber Security Centre (NCSC) a même mis en place un service de signalement pour permettre aux destinataires de phishing de transmettre leurs courriels aux fins d’enquête ([email protected]).

L’impact de la stratégie de tiering et des lockdowns 2 et 3 du Royaume-Uni n’a pas encore été évalué dans la même mesure, mais il semble juste de penser que peu de choses auront changé en termes d’intention des travailleurs ou des criminels.

Les entreprises les plus robustes en termes de maintien en tant qu’usua, avaient tendance à être celles qui avaient l’expérience d’une pratique de travail plus agile, avaient configuré en toute sécurité du matériel en place avec les équipes et avaient déjà mis en œuvre un plan de sécurité mature, avec des politiques et des procédures appropriées et efficaces en place.

Ces entreprises ont examiné le changement de leur environnement de travail et, par conséquent, des évaluations des risques pour la sécurité ont été effectuées et des mesures d’atténuation des risques ont été mises en place, du moins pour permettre une transition en douceur et les mettre dans un bon endroit pour examiner et prolonger ces protocoles sécurisés.

Selon (ISC)2,, 30 % des équipes de sécurité dans le monde ont fait le déplacement vers une main-d’œuvre éloignée en une seule journée et, dans la plupart des cas, avec un seul préavis d’une journée. C’est impressionnant et témoigne des compétences et de l’engagement des praticiens de l’informatique et de la sécurité. Bien que nous ne puissions pas dire si ces entreprises entrent dans la catégorie bien préparée, on a certainement l’impression qu’elles le pourraient – ce genre d’agilité apparaît rarement du jour au lendemain.

Il est juste de dire, cependant, qu’il ne s’agissait pas d’une situation universelle. Un grand nombre d’entreprises étaient culturellement encore freinées par la mentalité des « clochards sur les sièges, les heures travaillées » lorsqu’il s’agissait de la gestion du personnel et, à ce titre, étaient enfermées dans l’idée que le personnel devait être au bureau pour travailler. Pour des organisations comme celle-ci, la transition vers une main-d’œuvre totalement éloignée a été plus difficile, tant sur le plan technologique que culturel.

L’un des changements que nous avons remarqués au cours du temps qui s’est écoulé depuis le premier verrouillage est la commercialisation généralisée d’outils qui surveillent les employés ou enregistrent et font état de la « productivité ». Je n’ai pas l’intention de nommer l’un ou l’autre de ces éléments, mais j’aimerais avoir l’occasion d’en discuter en termes génériques de sécurité et de les juxtaposer à la sécurité fondée sur des principes.

Gestion des risques et outils basés sur l’homme

Avant de le faire, cependant, je veux parler de gestion des risques, parce que tout d’abord, il conduit bien à la surveillance des employés et d’autre part parce qu’il est clair que beaucoup peuvent maintenant faire face à un risque accru d’activités criminelles ou d’incidents de sécurité accidentels causés par les employés – n’oublions pas que toutes les menaces internes ne sont pas hostiles. Une circonstance ou un environnement de travail inconnu peut mener à un comportement involontairement risqué ou à l’exposition d’actifs d’information de l’entreprise à un visionnement inapproprié.

Il peut être facile, lorsqu’on considère le nouveau paysage des risques associé à tant de travail à distance, de croire que ces risques sont tous gérables avec des solutions technologiques, certaines basées sur des serveurs, certaines basées sur le réseau et d’autres côté client. Nous utilisons des outils anti-malware, des outils anti-phishing, des outils de détection et de prévention des intrusions, etc.

Toutefois, nous déployons une gamme de ces mêmes solutions technologiques depuis quelques années maintenant, et pourtant nous voyons encore le nombre d’atteintes à la protection des données augmenter, et non diminuer.

Aujourd’hui plus que jamais, nous devons tenir compte de la valeur que la sécurité basée sur l’homme – le meilleur mais souvent l’outil le plus mal déployé in notre arsenal – apporte à la table. Presque toutes les incursions de logiciels malveillants dans une organisation sont facilitées par notre propre peuple qui interagit involontairement avec elle. Ainsi, en ces temps inhabituels, nous devons élever nos attentes à l’égard des utilisateurs, mais aussi les soutenir dans les défis auxquels ils sont confrontés.

Les chefs d’équipe, par exemple, doivent communiquer régulièrement avec leurs équipes pour s’assurer qu’ils restent à bord avec toutes les exigences en matière de sécurité, et il doit y avoir un mécanisme de déclaration efficace pour les incidents et les quasi-accidents. Un excellent leadership fait que les utilisateurs se sentent importants, ce qui, à son tour, nous donne une multitude qui font partie de la solution, pas considéré comme un problème. Il est temps de moderniser nos attitudes en matière de sécurité. Il est temps d’activer, d’autonomiser et de confier.

Le problème de la surveillance

Confier? Ah, maintenant nous allons au cœur de l’autre affaire. Il y a eu une énorme utilisation d’outils de surveillance à distance depuis le début du verrouillage. Souvent commercialisés sous forme de surveillance de la productivité, bon nombre d’entre eux sont équipés d’un « mode furtif » permettant aux gestionnaires de surveiller ce que font leurs employés sans qu’ils en soient conscients.

Dans certains cas, ce mode furtif est la fonctionnalité qui est le plus fortement poussé comme la grande chose au sujet de l’outil. Il ne fait aucun doute que cette utilisation de ces outils est dû à des attitudes culturelles historiques qu’on ne peut pas faire confiance au personnel pour qu’il soit productif à moins qu’il ne soit surveillé, que nous devons nous assurer que tout le monde travaille ses heures et qu’à moins d’être surveillés continuellement, nos gens se relâcheront tout simplement.

Malheureusement, le déploiement de ces outils de surveillance en mode furtif, sans politiques appropriées en place et à l’insu du personnel, est illégal.

Laisse celui-là s’accrocher une seconde. Le suivi des employés sans transparence, politique et diligence raisonnable est une violation directe de la législation sur la protection des données et un domaine dans le domaine dans le passé où le Commissariat à l’information est intervenu à maintes reprises, assez souvent pour exiger des codes de pratique de l’employeur dans ce domaine.

Le deuxième effet d’entraînement malheureux de cette culture héritée est la sécurité elle-même. Les praticiens de la sécurité, que ce soit sciemment ou subliminalement, ont développé une mentalité dictatoriale, fondée sur des règles et non confiante. Cela a, à son tour, abouti à l’utilisation de politiques basées sur des règles conçues pour dire aux utilisateurs toutes les choses qu’ils ne sont pas autorisés à faire, ainsi que l’achat de nombreux outils informatiques conçus pour les attraper à le faire.

C’est désuet, qui érode la confiance, qui enracine la culture pauvre et qui aboutt finalement à une culture du blâme « nous et eux ».

La voie à suivre est d’abandonner ces moyens obsolètes de gestion des utilisateurs et de la sécurité – cela ne fonctionne pas de toute façon – et d’aller vers une approche plus habilitante fondée sur des principes.  Si nous travaillons avec notre peuple, l’aidons à comprendre les principes de ce que nous essayons d’atteindre et à lui donner les moyens d’atteindre un résultat positif, nous encourageons à notre tour l’initiative, la discrétion et, si j’ose dis-le, même l’utilisation du bon sens.

En fin de compte, nous nous retrouverons avec une main-d’œuvre éloignée nouvellement instruite, habilitée, disciplinée et très motivée qui travaille avec nous pour sécuriser nos actifs.

À plus long terme, cela pourrait en fait se traduire par une réduction du coût de possession en diminuant la dépendance à l’égard de la seule technologie.

Il est inutile de dire à un enfant de ne pas sortir des bornes à moins que vous ne lui expliquiez aussi ce qu’est un bollard. De même, il est inutile de dire à nos gens toutes les choses qu’ils ne peuvent pas faire à moins que nous utilisions également le leadership, l’explicitité et le respect positif pour leur expliquer ce qu’ils Anc faire.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance