Les tensions entre les équipes informatiques et les employés travaillant à domicile menacent la sécurité des organisations, les tentatives de renforcement ou de mise à jour de la sécurité du travail à distance étant régulièrement repoussées au nom de la continuité des activités. Joanna Burkey, RSSI de HP, estime que les responsables de la sécurité doivent s'attaquer à ces frictions pour assurer l'avenir du lieu de travail hybride. S'adressant à notre confrère CSO, du groupe IDG, elle revient sur son expérience de ces problèmes et propose de meilleures pratiques pour y faire face. 

Les conflits informatiques créent des risques de cybersécurité pour le travail à distance 

Un rapport HP, intitulé Rebellions & Rejections, combine les données d'une enquête mondiale en ligne YouGov menée auprès de 8 443 employés de bureau qui sont passés au travail à domicile en raison de la pandémie de COVID-19, et d'une enquête mondiale menée auprès de 1 100 décideurs informatiques. L'enquête a révélé que la quasi-totalité (91 %) des équipes informatiques ont ressenti une pression pour compromettre la sécurité au profit de la continuité des activités, à mesure que le travail à distance et le travail hybride se sont imposés, tandis que 76 % estiment que la sécurité a été reléguée au second plan pendant la pandémie. En conséquence, 83 % des équipes informatiques affirment que l'augmentation du nombre de travailleurs à domicile a créé une "bombe à retardement" pour une violation du réseau de l'entreprise. "Ce nouveau rapport montre qu'alors que les cyberattaques sont devenues plus sophistiquées, la main-d'œuvre est devenue moins conforme, ce qui rend la défense de l'entreprise plus difficile", explique Mme Burkey. D'autres conclusions du rapport confirment ce constat, notamment chez les jeunes travailleurs. Plus de la moitié des jeunes de 18 à 24 ans travaillant à distance sont plus soucieux de respecter les délais que d'exposer l'entreprise à une violation des données, et près d'un tiers d'entre eux ont admis avoir essayé de contourner les politiques de sécurité de l'entreprise pour accomplir leur travail. 

Les frictions entre les équipes informatiques et l'ensemble du personnel concernant les efforts déployés pour améliorer la sécurité du travail à distance ne font qu'exacerber la situation. Pas moins de 80 % des équipes informatiques ont admis être confrontées à la réticence des utilisateurs qui n'apprécient pas que des contrôles leur soient imposés à domicile, 67 % d'entre elles étant confrontées à des plaintes hebdomadaires à ce sujet. Selon 83 % des équipes informatiques, il est désormais impossible de définir et d'appliquer des politiques d'entreprise en matière de cybersécurité, car les frontières entre vie personnelle et vie professionnelle sont tellement floues. Le plus accablant est peut-être que 80 % des équipes informatiques considèrent que garantir la sécurité est une tâche ingrate, 69 % d'entre elles ayant le sentiment d'avoir le mauvais rôle pour avoir essayé d'imposer des restrictions. 

Les RSSI doivent faire face aux tensions informatiques pour sécuriser le travail à distance   

Selon Mme Burkey, il incombe aux responsables de la sécurité d'aborder les tensions entre les équipes informatiques et les travailleurs à distance afin de sécuriser l'avenir du travail à distance et hybride. "Il est vital que toute tension soit abordée, sinon il s'agit d'une autre faille dans l'armure, ce qui vous rend plus vulnérable aux attaques. Les responsables de la sécurité jouent un rôle clé dans la résolution des tensions et font de la sécurité une chose à laquelle tout le monde peut adhérer, et pas seulement une chose qu'on leur dit de faire." Elle admet que, compte tenu de la difficulté et de l'incertitude lorsqu'on travaille seul depuis chez soi, il est compréhensible que la sécurité puisse sembler frustrante pour les utilisateurs et que les équipes informatiques puissent apparaître comme les méchants, ou que des compromis doivent être faits. Cependant, les RSSI doivent réévaluer les approches en matière de sécurité, en offrant aux équipes et aux employés la meilleure sécurité et le meilleur support pour le lieu de travail hybride. 

"Cela signifie que ce qui fonctionnait auparavant pourrait ne plus fonctionner", relève Mme Burkey. "Je pense que les organisations qui s'adapteront le mieux au changement au lieu de lutter contre l'inévitable sortiront gagnantes, mais ce processus n'est pas indolore et nécessitera un leadership et une communication solides pour réussir. La conduite du changement pour répondre aux tensions nécessite une approche plus collaborative de la culture de la sécurité, une approche qui voit les équipes de sécurité écouter davantage les utilisateurs finaux et comprendre comment les politiques et les technologies de sécurité peuvent avoir un impact sur les flux de travail et la productivité. "Construire ces passerelles permettra de répartir la charge de la sécurité, les utilisateurs finaux assumant davantage de responsabilités", explique Mme Burkey. Pour construire ces ponts, elle suggère :  

- Ouvrez des lignes de communication avec les utilisateurs finaux pour contribuer à éclairer les décisions stratégiques. 

- Faites des ajustements, par exemple en fournissant la justification d'une décision de sécurité ou en demandant l'avis des utilisateurs avant de déployer de nouvelles politiques. "[Cela] peut faire changer les cœurs et les esprits". 

- Recherchez de nouveaux niveaux de protection des points de terminaison qui offrent une gestion à distance avancée tout en étant aussi discrets que possible pour éviter que les utilisateurs finaux n'essaient de les contourner. 

"En établissant des partenariats de sécurité collaboratifs au sein de la main-d'œuvre, la cybersécurité commencera à devenir une pierre angulaire culturelle", affirme Mme Burkey. Si les RSSI ne parviennent pas à transformer ces relations tendues entre les équipes de sécurité et les employés en partenariats porteurs de succès, alors les frictions et les risques ne feront que s'intensifier, dit-elle. "Les équipes informatiques sont confrontées à un niveau de menace croissant de ransomware, d'attaques contre les firmwares des PC et les imprimantes, et de vulnérabilités exploitées maintenant que les gens travaillent à domicile, il n'est donc pas étonnant que 83 % [des équipes informatiques] pensent que cela a créé une bombe à retardement pour une violation", conclut-elle.