Le télétravail augmente les risques d’introduction de cybercriminels. Avec l’aimable autorisation de Freestocks
La pandémie de COVID-19 a contraint les sociétés à prêter une attention toute particulière à la sûreté et la sécurité afin de protéger la santé de leurs employés et d’éviter toute propagation possible du virus dans leurs locaux. Ainsi, dans la mesure du possible, nombre de sociétés ont opté pour le télétravail et ont réduit à un strict minimum le nombre d’employés n’ayant d’autre choix que de travailler sur place.
Si la distanciation physique des employés permet dans une certaine mesure de les protéger sur le plan sanitaire, elle a engendré des complications dans un aspect totalement différent de la sûreté, celui de la cybersécurité. Les employés travaillent de leur domicile sur leurs ordinateurs personnels, aussi les angles d’attaques possibles de cybercriminels augmentent.
« Les sociétés sont indéniablement plus exposées par les temps qui courent », déclarait Andrew Brewer, directeur général de CMS Consulting, une société spécialisée dans la cybersécurité, à l’équipe du CIM Magazine. « Toute personne en télétravail constitue désormais un risque distinct pour la société. Au domicile, chaque environnement de travail est différent ; avec cette multitude d’environnements, et [la pandémie] qui s’est propagée si rapidement, les sociétés font face à une tempête, et c’est l’occasion rêvée pour les malintentionnés de dérober. Je n’envie pas les sociétés qui ne s’étaient pas préparées à ce genre de situation. »
Pour une industrie par tradition si peu axée sur le numérique telle que l’exploitation minière, la cybersécurité pourrait ne pas soulever d’inquiétudes, surtout pendant une crise sanitaire mondiale. Pourtant, d’après M. Brewer, les failles dans la cybersécurité d’une société peuvent entraîner des préjudices financiers considérables et même compromettre la sécurité des travailleurs.
« L’industrie minière est unique de par sa complexité, la valeur de ses données, le type d’équipement qu’elle utilise, l’échelle de ses activités et la nature de l’environnement dans lequel elle opère », expliquait M. Brewer. « Les données dont dispose une société minière sont extrêmement coûteuses, en termes d’investissement financier et de temps qu’elles requièrent ainsi que de leur grande valeur pour la société, indispensables pour aller de l’avant. Si ces données venaient à être dérobées par un cyberespion, les préjudices financiers pour la société et ses actionnaires pourraient être dramatiques. »
À DÉCOUVRIR: Sachez protéger les données de votre société contre les cyberattaques
« Lorsqu’on travaille sous terre et que l’on doit déplacer des objets volumineux dans des espaces restreints, une infrastructure de communication complexe est essentielle pour garantir le bon fonctionnement, mais surtout la sécurité de l’équipement », poursuivait-il. « Si un auteur malveillant prend le contrôle, cela pourrait créer un environnement extrêmement dangereux pour les personnes travaillant sous terre. »
L’avènement des machines automatisées et des mines connectées à Internet implique que les sociétés minières ont déjà augmenté leurs risques de cyberattaques. La « surface de la menace », comme l’appelle M. Brewer, augmente d’autant plus lorsque les employés sont en télétravail, entraînant proportionnellement à la hausse le danger.
Dans un bulletin d’information envoyé à ses membres, le Global Mining Guidelines Group (GMG, le groupe sur les directives mondiales en matière d’exploitation minière) qualifiait le coronavirus de « plus grande menace à la cybersécurité de tous les temps ». Le GMG recommandait à ses membres « de revoir à la hausse leurs normes d’hygiène informatique » en s’assurant que leurs modems et leurs équipements sont numériquement et physiquement protégés d’une invasion, et en apprenant à leurs employés à éviter d’ouvrir des courriels et de cliquer sur des liens suspicieux, à corriger et à mettre à jour leurs systèmes et à travailler en respectant, autant que faire se peut, les voies ou l’équipement officiellement recommandés.
Le GMG suggérait également que les sociétés mettent en place un plan de continuité des activités (PCA), un plan de contingence dans l’éventualité d’une urgence, si elles ne l’ont pas déjà fait. En outre, les sociétés doivent apprendre à « stratifier, donner la priorité et externaliser les activités de sécurité de l’information » pendant cette période de télétravail et de budgets serrés.
Pour M. Brewer, différents points de vue de la culture d’une entreprise doivent être envisagés dans la gestion de la cybersécurité.
« Tout d’abord, vous devez savoir où vous en êtes », indiquait-il. « Évaluez votre attitude actuelle globalement du point de vue de la sécurité. Il faudra y inclure la politique, le procédé, les personnes, la technologie et l’environnement physique dans lequel est hébergée l’infrastructure. [Une fois] que vous comprenez là où vous faites erreur, corrigez, adoptez les bonnes pratiques et demandez à quelqu’un de surveiller pour vous. »
En outre, expliquait M. Brewer, il est important que ce « quelqu’un » soit qualifié afin de protéger correctement les systèmes de la société.
« La pénurie de talents est bien réelle de nos jours, et demander à votre équipe de TI, ou parfois simplement à votre " copain informaticien " de gérer ces tâches est tout simplement… Comment dirais-je ? Je pense qu’aucun tribunal ne trouverait raisonnable qu’une société ayant autant en jeu laisse entre les mains de personnes non expertes la gestion d’un environnement aussi complexe et changeant que la cybersécurité. »Traduit par Karen Rolland