Page 1

2013 Evaluation du niveau de la sécurité des informations liées au télétravail pour les PME romandes

Stéphane Perroud Copyright © 2013, Minimarisk Sàrl


Introduction Selon le rapport « User Survey Analysis:

romandes dans le cadre de son travail de

Impact of Mobile Devices on Network and Data

thèse du Master en « Management de la

Center Infrastructure » publié en 2012 par

Sécurité des Systèmes d’Information ». Pour

Gartner, les évolutions de la technologie

cela, il a développé :

associées aux changements culturels ont

 un référentiel spécifique à la sécurité du

transformé entreprises.

la

façon

de

L’arrivée

travailler

de

des

périphériques

télétravail « SOFT (Secure Objectives for Teleworking) »

en

se

basant

sur

les

pervasifs (laptop, tablette, smartphone, …) a

principaux standards en la matière (ISO

fait qu‘une part de plus en plus importante du

27001/27002, COBIT et NIST 800-46) ;

travail productif peut être effectuée à distance. Cette nouvelle donne et la préférence des employés pour le télétravail obligent les entreprises à revoir la fourniture de leurs

 une enquête en ligne anonyme basée sur le référentiel

« SOFT »

afin

de

mesurer

rapidement la sécurité du télétravail dans les PME.

services informatiques pour s'intégrer aux

L’approche utilisée dans le cadre de cette

systèmes existants et assurer la sécurité de

recherche est innovante car elle se base sur la

leurs informations.

vision des télétravailleurs de la sécurité des informations, ce qui va à l’encontre des

Une enquête sur le télétravail

approches traditionnelles souvent basées sur

L’auteur a pu constater à maintes fois qu’il était

une vision purement informatique.

difficile d’appliquer les meilleures pratiques en sécurité du télétravail dans les PME. Lors de

Enquête en ligne "SOFT"

ses recherches, il a pu constater ce qui suit :  il n’existe pas de statistiques précises sur le télétravail dans les PME romandes, ni sur le niveau de sécurité associé ;  les principaux référentiels en sécurité de l’information ne traitent que de façon partielle le télétravail ;  la sécurité du télétravail implémentée dans les PME est principalement technique ;  les PME ont des ressources limitées empêchant l’implémentation de toutes les mesures nécessaires à la protection du © Minimarisk Sàrl

télétravail. Pour toutes ces raisons, l’auteur a choisi de

L’enquête en chiffres

mesurer

 Réponses valides : 254

le

niveau

de

la

sécurité

des

informations liées au télétravail pour les PME

 Temps moyen de réponse : 10 min. 6 sec.  Marge d’erreur de l’enquête : 6.14%

Copyright © 2013, Minimarisk Sàrl

1


Le télétravail dans les PME romandes D’après le dossier « Télétravail : davantage

physique

d’efficacité grâce à des formes de travail

sécurisé, surveillance, protection contre les

modernes »

incendies).

d’Economie

Suisse

et

les

recherches du Prof. Dr. Oliver Gassmann de

spécifique

au

télétravail

(accès

Lieu du télétravail

l’Université de St. Gall, il y aurait près de

ont le potentiel pour effectuer un jour de

A la maison (Suisse)

9.4%

75’000 personnes dans les PME romandes qui 15.4%

A la maison (étranger)

9.4%

Autre bureau, office (Suisse)

télétravail par semaine. Cela représente, un potentiel théorique de 50'400 heures par

65.7%

semaine gagnées par ces télétravailleurs.

Autre bureau, office (étranger) Clients

Le télétravail encore mal exploité © Minimarisk Sàrl

L’enquête révèle que l’utilisation du télétravail dans les PME romandes est encore limitée car

L’ordinateur portable le plus utilisé

la majorité des personnes interrogées (62.6%)

La grande majorité (81.1%) des participants

travaillent un jour ou moins par semaine. Le

utilise un ordinateur portable pour les activités

télétravail n’est pas encore vu comme un

liées au télétravail.

moyen

d’augmenter

la

productivité

dans

Type d'ordinateurs

l’entreprise. Ceci peut s’expliquer en partie par le manque d’initiatives gouvernementales en

28.3%

31.5%

Suisse en faveur du télétravail, au contraire d’autres pays comme par exemple les USA, la

PC fixe Laptop

22%

Tablette

France ou le Japon.

Smartphone 81.1%

Temps par semaine consacré au télétravail Moins d'un jour

© Minimarisk Sàrl

1 jour

18.9% 3.1%

34.6% 15.4%

2 jours

Par contre, il ressort que près d’une personne

3 jours

sur trois (31.1%) prête son poste de télétravail

4 jours

à une autre personne, dont 3.1% à des

Je ne fais que du télétravail

28%

© Minimarisk Sàrl

personnes étrangères. Les risques associés à cette pratique sont multiples, comme la divulgation d’information sensible, la perte d’intégrité des informations

Le travail à domicile est privilégié des

sur le poste, ou l’attaque du poste par des

participants télétravaillent depuis leur domicile,

malwares suite à un comportement inadéquat

dont près de 10% depuis l’étranger. Mais la

de l’utilisateur.

L’enquête

montre

que

trois-quarts

majorité (53.5%) n’a pas installé de protection

Copyright © 2013, Minimarisk Sàrl

2


Les risques liés au télétravail Les télétravailleurs ont généralement besoin

considèrent le vol ou la perte du matériel

d’accéder aux informations de l’organisation

comme étant un risque relevant.

hors du périmètre physique de l’organisation. Par

conséquence,

ces

informations

sont

exposées à des risques de sécurité qui n’existeraient pas sans le télétravail. Ceci peut avoir un impact négatif sur l'organisation, comme des dommages financiers, la perte de réputation ou la perte de confiance des clients.

Une fausse perception du risque ? Il

est

étonnant

de

constater

que

les

télétravailleurs semblent surtout concernés par les risques liés à l’entreprise, qu’ils maîtrisent le moins et sont liés à l’information qui est intangible (services inaccessibles, sécurité des données)

ou

au

côté

psychologique

La perception du risque

(isolement, perte de repère). Par contre, les

La sécurité des données est la première

risques directement liés au comportement du

préoccupation des participants (63%), avec

télétravailleur (erreur, vol, fraude, etc.) sont

37% qui considèrent la fuite des données

considérés par ceux-ci comme étant moins

comme un risque majeur.

relevant, alors que la statistique policière de la

L’indisponibilité

des

services

vient

en

deuxième position (37%), dont 20% pour la perte de connexion Internet et 10% pour l’indisponibilité des services de l’entreprise. Risques perçus par les télétravailleurs 70% 63% 60% Télétravailleur Entreprise 50% 37%

40%

criminalité (SPC) en suisse, ainsi que d’autres études (par exemple Symantec) montrent que la perte ou le vol est un risque significatif pour les entreprises. Une

première

apportée

par

explication

pourrait

être

psychométrique

l’approche

développée par Paul Slovic à la fin des années 1970. Celle-ci montre que la perception du risque est surtout basée sur des aspects

30%

30%

20%

20%

17%

culturels

et

émotionnels.

Cette

approche

expliquerait pourquoi les télétravailleurs ont

10%

plus de crainte envers ce qu’ils ne maîtrisent

0% Sécurité données

Indisponibilité Perte efficacité Erreur humaine Vol ou perte services

pas (risques liés à l’entreprise).

© Minimarisk Sàrl

La troisième préoccupation des participants (30%) concerne la perte d’efficacité liée à l’éloignement de l’entreprise et aux diverses obligations familiales qui peuvent perturber la concentration du télétravailleur. L’erreur humaine ne vient qu’en quatrième position

avec

20%

et

seulement

Copyright © 2013, Minimarisk Sàrl

17%

3


Les incidents du télétravail Aucun participant à cette enquête n’a subi d’incidents toutes les semaines, voire tous les jours. La majorité (53.1%) subit moins d’une fois par mois et 31.1% n’en ont jamais eu. Cela montre

que

les

télétravailleurs

sont

relativement bien protégés contre les incidents, mais il est également probable qu’ils ne les ont

Incidents subis par les télétravailleurs 47% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%

37%

Télétravailleur Entreprise 22% 13% 6%

3%

3%

pas tous détectés. Pour pouvoir se prononcer, il faudrait analyser plus en détail la causalité et l’impact de ces incidents, mais cette analyse sortait du périmètre de cette recherche. Nombre d'incidents subis

Une gestion efficace des incidents permet de Jamais

minimiser les impacts négatifs sur l’entreprise

Moins d'une fois par mois

en restaurant les services interrompus le plus

15.7% 31.1%

Au moins une fois par mois 53.1%

© Minimarisk Sàrl

Le Helpdesk

rapidement possible. Pour cela, une fonction essentielle est le Helpdesk car il agit comme le

Au moins une fois par semaine

premier point de contact du télétravailleur en

Tous les jours

cas d’incident.

© Minimarisk Sàrl

soit défini la plupart du temps (90.6%), il ne

Ennemi n°1 : l’indisponibilité

s’agit du Helpdesk que dans 60% des cas.

La majorité des incidents (65.7%) concernaient des problèmes de disponibilité

Bien qu’un point de contact en cas d’incident

avec les

services (47%) ou la connexion Internet (37%). Suivi par l’oubli ou la corruption des mots de passe (22%), et les problèmes avec le poste distant (12.6%). Il est étonnant de constater

Cependant près de 10% des télétravailleurs se retrouvent seuls face aux incidents et risquent fort de ne pas remonter ceux-ci auprès de leur entreprise. Ce qui contribue certainement à une baisse de la productivité et à une augmentation des risques pour l’entreprise.

que seulement 6.3% des télétravailleurs ont subi des problèmes d’intégrité (malware) alors

Point de contact lors d'incident

que 24.4% d’entre eux n’ont pas installé d’antimalware sur leur poste.

Helpdesk

22%

Responsable IT

Cette enquête met en évidence le point suivant : « à part l’indisponibilité des services qui est purement du ressort de l’entreprise, les incidents se situent principalement du côté du

9.4% 59.4% 9.1%

Il n'y a personne de défini Manager ou responsable du télétravail

télétravailleur ». © Minimarisk Sàrl

Copyright © 2013, Minimarisk Sàrl

4


La sécurité du télétravail Monitoring

celles utilisant un WIFI public ou d’une autre

Ce qui est rassurant c’est que la plupart des

personne,

participants ont déclaré que leur entreprise

d’autres moyens de protection afin d’assurer la

surveillait

tentatives

les

d’accès

distants

il

est

Connexions Internet

(55.6%). Par contre il s’agit principalement

80%

d’un monitoring occasionnel (55.6%).

70% 60%

Monitoring du télétravail

50%

100%

40%

80%

d’utiliser

sécurité des informations en transit.

(77.8%), et/ou les activités liées au télétravail

77.8%

indispensable

68.9% 53.5%

30% 55.6%

60%

55.6%

15.4%

20% 10%

40%

13%

5.9%

0%

22.2%

ADSL / Câble

20%

WIFI non sécurisé

WIFI WIFI publicTéléphonie sécurisé

0% Accès distants

Activités

Monitoring continu

© Minimarisk Sàrl

Monitoring occasionnel

Le mécanisme de sécurité les plus utilisés © Minimarisk Sàrl

pour la connexion à distance est le VPN

Cependant, seul 28% des télétravailleurs ont

(62.2%), suivi à 37% par les machines

indiqué que leur entreprise avait un processus

virtuelles

de contrôle interne afin de mesurer l’efficacité

VMware). L’utilisation de la 3G sécurisée

et

l’efficience

des

mesures

de

sécurité

implémentées dans le cadre du télétravail et le comportement

des

télétravailleurs.

Il

faut

rappeler qu’il est essentiel pour une entreprise

(principalement

Citrix

et

est marginale et ne représente que 3.1%. Il est par contre surprenant de constater que 9.4% n’utilisent aucun moyen de sécurité pour protéger leur connexion.

d’avoir un processus de revue périodique des mesures

de

apporter

les

sécurité actions

implémentées

pour

correctives

et/ou

préventives nécessaires afin d’améliorer la

50%

37%

20%

connexion réseau sécurisée pour les activités liées au télétravail. Il est par contre étonnant 5.9%

des

9.4%

3.1%

10%

La majorité des télétravailleurs utilisent une

que

62.2%

60%

30%

Connexion sécurisée

constater

70%

40%

sécurité des informations.

de

Mécanisme de sécurité pour la connexion

0% VPN

Machine 3G sécurisée virtuelle

Aucune sécurité

© Minimarisk Sàrl

personnes

interrogées utilisent encore une connexion WIFI

sans

protection

adéquate

(aucune

sécurité ou WEP). Pour ces personnes et

Copyright © 2013, Minimarisk Sàrl

5


Poste distant

augmentant

En analysant les résultats de l’enquête sur la

réputation pour la PME ou la menace de

sécurité des postes distants, il est surprenant

corruption du poste et des données par un

de constater que les incidents liés au poste

malware provenant d’un site malveillant.

distant et aux données stockées ne soient pas plus fréquents.

par

exemple

le

risque

de

Processus de sécurité La grande majorité des PME ont mis en place

Pratiquement tous les utilisateurs (96.9%)

des processus pour retirer les accès (88.9%)

utilisent un mot passe pour accéder à leur

et les actifs (77.8%) en possession du

poste de télétravail, mais seuls 28% le

télétravailleur à la fin de son contrat de travail.

combinent

Ce qui est plus inquiétant sont les 11.1% des

avec

(authentification

un

forte).

autre Dans

facteur

un

cas,

le

PME qui n’ont aucun de ces processus et qui

télétravailleur doit demander l’ouverture de

permettraient aux télétravailleurs de continuer

l’accès à distance pour pouvoir y travailler.

à accéder à leur infrastructure même lorsqu’ils

Seulement 75.6% des télétravailleurs ont un

ont quitté l’entreprise.

anti-malware/virus installé sur leur poste, alors

Gestion des données

que le risque d’attaque sur Internet est très

L’enquête montre que 9.4% des télétravailleurs

élevé (un tiers concernerait les PME selon

ne

l’étude de Symantec).

sensibles et s’exposent donc à des risques de

Vu

que

seul

16.7%

des

participants

considèrent le risque de vol ou de perte du poste distant comme relevant (voir section « Les risques liés au télétravail »), il n’est pas étonnant de constater que seul 34.6% ont mis

sauvegardent

pas

leurs

informations

perte de données. 11.8% ne sauvegardent que sur un seul support (poste distant ou support amovible)

et

perdront

totalement

leurs

données en cas de vol ou de perte de leur poste distant ou du support amovible.

en place de l’encryption des données, une

Le

protection physique (12.6%), ou un traceur

sécuritaires est un moyen efficace et efficient

GPS (3.1%).

pour

20%

à

part

sauvegarder

les

certains

aspects

informations

de

puisque seul 9.4% des participants l’utilisent. Sauvegarde des données

75.6%

65.7%

70% 60%

60% 40%

qui

l’entreprise, n’est pas encore vraiment exploité,

Mécanisme de sécurité pour le poste distant 120% 96.9% 100% 80%

Cloud,

28%

34.6%

50%

34.6%

44.1%

40%

12.6% 3.1%

0.4%

28%

30% 20%

0%

9.4%

9.4%

Cloud

Pas de sauvegarde

10% 0% Poste distant

© Minimarisk Sàrl

Support amovible

Réseau d'entreprise

© Minimarisk Sàrl

La plupart des télétravailleurs (65.4%) n’ont pas de filtrage des sites Internet visités,

Copyright © 2013, Minimarisk Sàrl

6


La continuité des activités Un

des

grands

responsables

Dans sa brochure « Ma petite entreprise ne

d’entreprise d’aujourd’hui est d’assurer la

connait pas la crise », le Département fédéral

continuité

de l’économie (DFE) conseille aux entreprises

de

défis

leurs

des

activités

face

aux

différentes menaces existantes.

de faciliter l’utilisation du télétravail comme un

Celles-ci peuvent provenir de l’environnement

moyen de protéger ses employés lors de

social, du gouvernement, des fournisseurs,

pandémie.

des

clients,

de

personnes

externes

à

l’entreprise, mais également de personnes en interne (les collaborateurs sont souvent décris comme le plus grand risque de l’entreprise).

Gestion des niveaux de service L’objectif principal d’un plan de continuité des activités est de garantir que l’entreprise puisse maintenir la livraison de ses activités critiques,

50% n’ont pas de plan de continuité

tout en conservant un niveau de service

Selon le sondage effectué, près de la moitié

adéquat.

des participants indiquent que leur entreprise

Afin d’assurer une fourniture de service

n’a pas encore pris conscience de l’opportunité que représentait le télétravail dans la continuité des activités ou n’a tout simplement pas de

adéquate, il est nécessaire que l’entreprise ait mis en place des accords agréés par ses clients sur ces niveaux de service (SLA).

processus de gestion de la continuité des L’enquête nous montre que seulement 24.4%

activités.

des participants indiquent avoir des SLA Télétravail intégré au PCA

définis pour tous ou seulement certains des services liés au télétravail.

6.3%

SLA pour le télétravail Oui 46.9%

Non Ne sais pas

46.9%

18.9%

15% 9.4%

© Minimarisk Sàrl

56.7%

Près de la moitié des participants n’ont pas de solution de secours en cas de panne et seront obliger

de

retourner

travailler

dans

Ne sais pas © Minimarisk Sàrl

leur Les PME doivent prendre conscience que les

entreprise en cas :  d’indisponibilité

Oui, pour tous les services Oui, pour certains services Non

du

site

de

télétravail

(50.4%) ;  de panne ou de vol du poste de télétravail (43.7%) ;  de perte du réseau Internet (44.1%).

Copyright © 2013, Minimarisk Sàrl

SLA sont un élément important dans la gestion de la continuité des activités, de la capacité présente et future du système d’information, et des

ressources

nécessaires

au

bon

fonctionnement des services délivrés.

7


Formation et sensibilisation La formation et la sensibilisation sont des

Le constat est encore plus frappant en ce qui

composants essentiels dans la mise en place

concerne les procédures de gestion des

d’une gestion efficace et efficiente de la

données

sécurité des informations. Pour s’assurer que

télétravailleurs a été formée ou sensibilisée.

les télétravailleurs se conforment aux diverses

Gestion des données

seule

exigences de l’entreprise, celle-ci doit les leur

Formé

Les télétravailleurs sont mal formés Les résultats de cette recherche montrent clairement un problème d’information des télétravailleurs dans les PME romandes.

70% 60% 50% 40% 30% 20% 10% 0%

41%

69%

62%

59%

38%

minorité

des

Pas formé

communiquer de façon périodique et s’assurer qu’ils les ont comprises.

une

35%

32%

69%

65%

32%

Près de 40% des télétravailleurs ne sont pas avertis de leurs rôles et responsabilités liés à la sécurité des informations dans le cadre du

© Minimarisk Sàrl

télétravail, ce qui les empêche d’adopter un comportement répondant aux attentes de

Obligation du management

l’entreprise.

Selon la norme ISO 27001, traitant de la sécurité

En dehors des clauses de confidentialité (NDA), la majorité des télétravailleurs ne reçoivent aucune formation ou sensibilisation sur les risques et les différentes mesures de sécurité liés au télétravail.

de

l’information,

la

direction

a

l’obligation d’informer de manière périodique ses collaborateurs sur le comportement à adopter afin de se conformer aux exigences de l’entreprise. Les responsables de PME doivent prendre

Sécurité de l'information Formé

conscience qu’il est de leur devoir de protéger

Pas formé

les actifs de l’entreprise et que cela passe 75% 80% 70% 60% 50% 40% 30% 20% 10% 0%

75%

69%

62%

56%

des télétravailleurs aux risques, aux mesures

54%46% 44%

de 38%

25%

25%

également par la formation et la sensibilisation

31%

sécurité

et

aux

procédures

liés

au

télétravail. Il est bon de rappeler que la formation et la sensibilisation sont des mesures préventives qui permettent de réduire efficacement les risques

liés

au

comportement

du

télétravailleur. © Minimarisk Sàrl

Copyright © 2013, Minimarisk Sàrl

8


Recommandations Cette

étude

montre

que

l’apparition

du

connaissant le mieux les risques et les moyens

télétravail dans les PME romandes n’a pas été

de sécuriser le télétravail. Il devrait au moins :

accompagnée d’un changement de culture

 communiquer sur les risques et la sécurité

adéquat par rapport aux nouveaux risques liés

liés au télétravail avec toutes les parties

à la sécurité des informations. Cette recherche

intéressées ;

révèle également que les PME n’ont pas fait face à leur responsabilité en fournissant les

 établir un cadre formel de sécurité avec des procédures, comme par exemple pour :

sensibilisations et les formations nécessaires

o

gérer et déclarer les incidents.

aux utilisateurs afin que ceux-ci se comportent

o

sécuriser les réseaux WIFI personnels

en adéquation avec les politiques de sécurité de l’entreprise.

o

Les recommandations qui suivent ont été organisées

par

des télétravailleurs.

cible

afin

de

permettre

gérer les données et les supports (sauvegarde, suppression, restauration, encryption).

rapidement la mise en pratique des résultats

Télétravailleur

de cette enquête.

Le télétravailleur doivt prendre conscience qu’il est un des éléments les plus importants pour

Entreprise L’entreprise est au final responsable de la sécurité de ses systèmes et de son information et doit prendre toutes les mesures nécessaires pour les protéger. Les PME devraient prendre

assurer la sécurité dans le cadre du télétravail. Il doit comprendre qu’il a l’obligation de prendre

connaissances

des

diverses

exigences de l’entreprise et de s’y conformer. Faute de quoi, celle-ci pourrait le sanctionner.

au moins les mesures suivantes :  faire évoluer la culture sécuritaire dans

Politique

l’entreprise vers une approche proactive ;

Le manque d’initiatives sur le télétravail en

 sensibiliser les télétravailleurs aux risques

Suisse et de référentiels traitant de la sécurité

et à la sécurité (politiques et procédures,

du télétravail de façon spécifique, incite

classification

l’auteur à recommander deux actions pour

des

données,

rôles

et

responsabilités) liés au télétravail.

aider les PME à mettre en place une sécurité

Par exemple, publier un guide à l’intention

adaptée au télétravail :

des

les

 effectuer une recherche sur le télétravail en

risques, les mesures de sécurité et les

Suisse afin de comprendre ses enjeux et

comportements adéquats dans les activités

son importance ;

télétravailleurs

pour

expliquer

liées au télétravail.  mettre en place un monitoring sur les activités liées au télétravail.

 le parlement suisse, et les associations liées

à

la

sécurité

des

informations

devraient travailler sur le développement de

Responsable de la sécurité

lois, standards spécifiques au télétravail et

Le responsable de la sécurité est la personne

à sa sécurité.

Copyright © 2013, Minimarisk Sàrl

9


Cette publication présente les résultats de l’évaluation du niveau de la sécurité des informations liées au télétravail pour les PME romandes effectuée par l’auteur lors de son travail de thèse du Master en « Management de la Sécurité des Systèmes d’Information ». Elle contient des graphiques représentant les résultats de cette enquête.

Contact Stéphane Perroud +41-(0)76 490 57 04 stephane.perroud@minimarisk.com

Minimarisk Sàrl Route du Buchillon 35 P.O.Box 173 CH-1162 St-Prex www.minimarisk.com

Copyright © 2013, Minimarisk Sàrl

Télétravail - Management Summary  

Selon le rapport « User Survey Analysis: Impact of Mobile Devices on Network and Data Center Infrastructure » publié en 2012 par Gartner, le...