La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau. Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, le phishing, les logiciels malveillants et les arnaques d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.
Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, le déploiement de solutions anti-malware avancées et la mise en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux, mais elles n’offrent pas de formation efficace aux employés en matière de sécurité.
Même lorsque des programmes de sensibilisation à la sécurité sont élaborés, il s’agit souvent de séances de formation en salle de classe une fois par année qui sont rapidement oubliées.
Si vous considérez la formation de sensibilisation à la sécurité pour les employés comme un élément à cocher une fois par an qui doit être complété pour assurer la conformité aux règlements de l’industrie, il y a de fortes chances que votre formation n’aura pas été efficace.
Le paysage de la menace évolue rapidement. Les cybercriminels changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations. Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, vos employés seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.
De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés
Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude de phishing et d’ingénierie sociale (social engineering) auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation à la sécurité et la vulnérabilité des employés à certaines des attaques les plus courantes par email.
Il s’agit notamment des courriels comportant des pièces jointes potentiellement malveillantes, des emails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session et des courriels contenant des pièces jointes et des liens vers un site web. Bien qu’aucun de ces courriels n’était de nature malveillante, ils reflétaient des scénarios d’attaque réels.
27 % des employés ont répondu aux courriels avec un lien qui leur demandait d’entrer leurs identifiants de connexion, 15 % ont répondu aux courriels avec liens et pièces jointes, et 7 % ont répondu aux courriels avec pièces jointes.
Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de courriel compromis par une seule campagne de phishing ou avoir à faire face à plusieurs téléchargements de ransomwares. Le coût de l’atténuation des attaques dans le monde réel est considérable. Prenons l’attaque récente de la ville d’Atlanta contre un logiciel rançon par exemple. La résolution de l’attaque a coûté 2,7 millions de dollars à la ville, selon Channel 2 Action News.
L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31 % de toutes les personnes qui ont répondu aux courriels, 25 % étaient des superviseurs d’équipe qui auraient des privilèges élevés.
19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13 % des répondants.
Même le département informatique n’était pas à l’abri. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9 % des intervenants étaient dans les TI et 3 % dans la sécurité de l’information.
L’étude souligne à quel point il est important non seulement d’offrir une formation de sensibilisation à la sécurité aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par année pour s’assurer de sa conformité.
Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés
Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par hameçonnage et à d’autres menaces par courriel et sur le web.
Si vous voulez améliorer votre posture de sécurité, tenez compte de ce qui suit lorsque vous élaborez une formation de sensibilisation à la sécurité pour vos employés :
Créez un point de référence par rapport auquel l’efficacité de votre formation peut être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les ministères les plus à risque
Offrez une séance de formation en salle de classe une fois par an pour expliquer l’importance de la sensibilisation à la sécurité et traiter des menaces dont les employés devraient être conscients
Utiliser des séances de formation informatisées tout au long de l’année et s’assurer que tous les employés suivent la séance de formation. Toutes les personnes ayant accès au courrier électronique ou au réseau devraient recevoir une formation générale, avec des sessions de formation spécifiques à l’emploi et au département pour faire face à des menaces spécifiques
La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de simulation de phishing devrait être transformé en une occasion de formation. Si les employés continuent d’échouer, réévaluez le style de formation offert
Utilisez différentes méthodes de formation pour aider à la rétention des connaissances
Gardez la sécurité à l’esprit grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux
Mettez en place un système de signalement en un seul clic qui permet aux employés de signaler les courriels potentiellement suspects à leurs équipes de sécurité, qui peuvent rapidement prendre des mesures pour supprimer toutes les instances du courriel des boîtes de réception de l’entreprise.
Internet gère actuellement plus de trafic que jamais. Des réunions d’affaires aux inscriptions scolaires, en passant par le paiement des factures, etc., tout est géré en ligne, et de plus en plus de services ne cessent de s’ajouter à la liste.
Plutôt que de choisir d’avoir leurs propres infrastructures informatiques ou leurs propres centres de données, les entreprises préfèrent désormais louer l’accès à tous ces services auprès des fournisseurs de cloud.
L’un des avantages de l’utilisation des services d’informatique dans le cloud computing est que les entreprises peuvent éviter le coût initial et la complexité liés au déploiement et à la maintenance de leurs propres infrastructures informatiques. Elles ne paient que pour ce qu’elles souhaitent utiliser, quand elles l’utilisent.
De nombreuses autres raisons expliquent également cet engouement pour le cloud. Nous allons les évoquer dans ce dossier, mais d’abord, nous allons essayer de donner une définition simple du terme « cloud computing ».
Qu’est ce que l’informatique dans le cloud ?
L’informatique dans le cloud consiste en la fourniture de services informatiques, comme le stockage, les serveurs, les bases de données, les analyses, les applications et les réseaux par l’intermédiaire d’Internet. Ceci, afin d’offrir une innovation plus rapide aux entreprises et pour leur faire bénéficier des ressources plus flexibles.
En 2001, l’auteur Jeremy Rifkin a publié le livre The Age of Access, qui a introduit l’idée que nous entrons dans une nouvelle ère de la civilisation humaine et des affaires où la propriété des actifs n’est plus une stratégie gagnante. Il a fait valoir que tant que vous avez accès à un bien, l’identité de son propriétaire n’est pas pertinente. Pour reprendre ses termes : « La propriété du capital physique, cependant, une fois au cœur du mode de vie industriel, devient de plus en plus marginale dans le processus économique. Les concepts, les idées et les images – et non les choses – sont les vrais éléments de valeur dans la nouvelle économie. »
Depuis de nombreuses années, les consommateurs bénéficient des avantages liés aux abonnements plutôt que d’acheter des articles comme un Smartphone ou une antenne parabolique de télévision. Le cloud le permet maintenant, et à grande échelle, lorsqu’il s’agit de l’infrastructure serveur.
Grâce aux évolutions technologiques, une entreprise n’a plus besoin de posséder un centre de données, elle n’a besoin que d’y avoir accès. Comme l’écrivait Forbes Magazine en 2014, « Les technologies les plus avancées du monde ne sont pas seulement à la disposition des grandes entreprises qui peuvent se permettre de maintenir un personnel informatique coûteux, mais elles sont également accessibles à toute personne disposant d’une connexion Internet ».
D’une manière ou d’une autre, nous en sommes arrivés à une époque où un centre de données sur site avec un personnel de support informatique complet n’est plus un avantage inhérent pour les grandes entreprises. La croissance exponentielle des fournisseurs de cloud computing comme Amazon AWS et Microsoft Azure illustre le fait que les entreprises reconnaissent la valeur du cloud computing.
De la même manière, les fournisseurs de Software as a Service ou de SaaS tels que Salesforce.com et Office 365 ont fermement établi l’hébergement d’applications cloud comme une alternative intéressante à l’hébergement sur site.
Stockage et sécurité des données dans le cloud
Pratiquement tous les services qui ne requièrent pas que vous soyez physiquement proche d’un dispositif informatique que vous utilisez peuvent être fournis via le cloud computing.
Des inquiétudes subsistent quant au stockage et la sécurité des données, notamment pour les entreprises qui déplacent leurs données entre plusieurs services cloud. Si la vôtre prévoit de stocker des informations sensibles, comme les données personnelles d’identification (DPI), les informations de santé protégées (PHI pour « Protected Health Information »), ou les données de cartes de crédit dans un environnement cloud, vous devez réfléchir à la façon dont vous allez atténuer les risques d’atteinte à la sécurité de ces informations.
C’est l’une des principales raisons pour lesquelles des outils de sécurité dans le cloud ont été développés. Ils vous permettent de surveiller les données qui se déplacent vers et depuis le cloud et entre les plateformes cloud. Ces outils peuvent identifier l’utilisation frauduleuse des données, les téléchargements de contenus non autorisés et de malwares.
La confidentialité et l’intégrité des données sont de mise
Il est crucial de garantir la confidentialité des données non seulement pour maintenir la confiance dans votre entreprise, mais aussi pour satisfaire aux exigences de conformité. De nombreuses brèches qui ont été très médiatisées jusqu’alors ont mis en évidence les coûts élevés générés par les problèmes de sécurité des données. Voici pourquoi plusieurs états dans le monde ont mis en place des réglementations strictes pouvant impliquer des amendes sévères en cas de non-respect de la conformité. On compte par exemple la norme de sécurité de l’industrie des cartes de paiement (PCI DSS), la loi américaine sur la portabilité et la responsabilité des assurances maladie (HIPAA) et le Règlement général sur la protection des données (RGPD) de l’Union Européenne. Ces directives nationales et internationales obligent les organisations de garantir la sécurité et la confidentialité de différents types d’informations sensibles qu’elles collectent ou traitent.
L’intégrité des données est également un élément important de la sécurité des données dans le cloud. Le concept consiste à empêcher toute suppression ou modification non autorisée des informations personnelles et sensibles et à garantir que les données restent telles qu’elles étaient au moment de leur collecte.
Pour garantir la confidentialité et l’intégrité des données, il est recommandé de vous fier aux spécialistes d’un fournisseur de services dans le cloud qui se consacrent particulièrement à la protection de votre infrastructure.
Qu’en est-il du filtrage web dans le cloud ?
De plus en plus, vos collaborateurs vont utiliser le réseau Internet de votre entreprise depuis leur domicile, lorsqu’ils sont en déplacement et depuis d’autres endroits, sur une variété de dispositifs qui ne sont pas toujours protégés par des pare-feu et d’autres défenses de périmètre. Le défi en matière de filtrage web est de s’adapter à cette nature changeante de la façon dont ils interagissent avec les ressources web.
Prenons l’exemple d’un scénario qui se produit souvent dans le secteur de la santé : un employé reçoit un e-mail d’alerte de sécurité lui demandant de se connecter immédiatement à son compte Office 365. L’e-mail semble légitime et provenir de son service informatique, tout comme le nom de l’expéditeur. Un hyperlien est intégré au message qui dirige l’employé vers un site web malveillant lorsqu’il clique dessus. Sur le site, une invitation de connexion à Office 365, dont la victime connaît bien, est présentée. Lorsque ce dernier saisit ses identifiants de connexion, le problème de sécurité semble résolu, sauf que ce n’est pas le cas. En réalité, l’employé a été dupé, car le message ainsi que le site web étaient faux et le pirate informatique a pu obtenir ses informations d’identification.
Il existe de nombreuses autres façons pour un utilisateur d’Internet d’atterrir sur un site web malveillant. Par exemple, il peut être redirigé vers le site par le biais d’une publicité malveillante ou arriver sur un site web authentique, mais qui a déjà été piraté et utilisé pour héberger un malware qui sera ensuite téléchargé en silence.
Les cyberattaques font actuellement rage et il peut être difficile de les bloquer. Mais il existe plusieurs mesures qui peuvent être mises en œuvre pour les éviter. L’une des solutions les plus efficaces est la mise en place d’un filtre web pour la sécurité du courrier électronique. Vous pouvez l’utiliser pour empêcher les messages malveillants et les spams d’atteindre la boîte de réception de vos employés.
Les tentatives de visite de sites web malveillants peuvent également être bloquées à l’aide d’un filtre web, associé à la technique d’authentification multifactorielle. C’est une combinaison efficace pour empêcher que les informations d’identification volées soient utilisées par les pirates pour accéder à distance à votre réseau d’entreprise. Vous pouvez aussi ajouter des logiciels antivirus sur les points d’extrémité pour éviter les dommages en cas de téléchargement d’un malware.
Toutes ces solutions de sécurité sont importantes, car aucune d’entre elles ne peut à elle seule bloquer toutes les cyberattaques. L’essentiel est de disposer de plusieurs couches de sécurité qui se chevauchent. Ainsi, si une solution échoue, une ou deux autres mesures se mettront en place pour continuer à assurer la protection de vos données.
L’option la plus intéressante est d’adopter un service de filtrage web rentable qui ajoute la sécurité et la surveillance au niveau de la couche DNS. Un tel système permet à votre entreprise de sécuriser l’activité web avec des outils faciles à utiliser qui arrêtent à la fois les malwares et les activités web malveillantes avant qu’ils n’atteignent votre réseau ou vos appareils.
Les principaux types de filtrage web
Filtrage par URL
Le filtrage par URL est idéal si vous voulez cibler des sites spécifiques, c’est-à-dire des sites que vous connaissez exactement et que vous ne voulez pas que votre équipe consulte. C’est probablement le moyen le plus simple d’être absolument certain qu’un site spécifique est interdit d’accès. Il suffit d’entrer l’URL dans votre système de filtrage pour bloquer l’accès au site en question.
L’inconvénient du filtrage par URL est que, si vous disposez d’une longue liste d’URL à bloquer, leur saisie une par une prendra beaucoup de temps. Et comme le web est un vaste espace, vous ne pourrez pas connaître toutes les URL individuelles que vous souhaitez filtrer, d’autant qu’il y a de nouveaux sites web qui apparaissent chaque seconde.
Il importe donc d’utiliser d’autres types de filtrage pour ratisser plus large.
Filtrage par catégorie
Ce type de filtrage est important si vous ne connaissez pas tous les sites web que vous souhaitez filtrer, alors que vous savez qu’ils ont tous le même type de contenu. Par exemple, vous ne souhaitez probablement pas que vos collaborateurs consultent des contenus pornographiques pendant qu’ils sont au travail. En bloquant tous les sites web appartenant à la catégorie « Adultes », vous pourrez le faire, même si vous ne connaissez pas l’URL de chaque site ou les mots clés différents pouvant se trouver sur l’un de ces sites.
Le filtrage par catégorie n’est pas suffisant, car il s’agit souvent d’une méthode trop large. Il est possible que vous ne souhaitiez pas que vos employés diffusent des médias en continu pour leur propre divertissement pendant les heures de travail. Pour ce faire, vous pourrez donc bloquer les sites qui sont répertoriés dans la catégorie « Diffusion de vidéos en streaming ». Cependant, il y a de fortes chances que vous finissiez par bloquer certains médias dont ils ont besoin pour des raisons professionnelles.
Filtrage par mot-clé
Le filtrage par mot-clé est une option qui vous permet d’élargir davantage le filtrage via le cloud. Il offre plus de spécificité que le filtrage par catégorie, à condition de bien choisir vos mots clés.
Attention toutefois, car si vous choisissez des mots-clés vagues, vous allez finir par bloquer plus de contenus que vous ne le souhaitez. Par contre, en utilisant un ensemble de mots-clés spécifiques et soigneusement choisis, vous allez pouvoir bloquer les contenus indésirables dans un grand nombre de catégories de domaines et sites différents. Lorsque vous choisissez votre solution basée dans le cloud, assurez-vous donc qu’elle aux besoins de votre entreprise et qu’elle soit flexible.
Six avantages d’une solution de filtrage web dans le cloud
Examinons quelques-uns des avantages annoncés de l’informatique dans le cloud et voyons comment ils s’appliquent aux solutions de filtrage web dans le cloud.
Réduction des dépenses en immobilisations
Comme Rifkin l’a supposé, posséder un centre de données rempli de matériel n’est plus un avantage en héritage.
Le matériel nécessite un investissement initial dans l’équipement. Le problème avec l’achat d’équipement est le fait que vous devez acheter pour demain, ce qui signifie que vous devez surprovisionner votre matériel afin de répondre aux besoins prévus (aussi appelé une estimation éclairée) dans quatre ou cinq ans.
L’attrait du cloud est que les organisations ne paient que pour les ressources qu’elles utilisent actuellement, ce qui leur permet de recentrer leurs capitaux d’investissement vers des projets générateurs de revenus.
Les coûts s’ajustent simplement en fonction des fluctuations de la demande.
Un service cloud dissipe les inquiétudes concernant le coût de propriété
Lorsque vous vous abonnez à un service de filtrage web, vous ne payez pas de frais initiaux pour le matériel. Vous n’avez pas à prédire quelle sera votre demande de services de filtrage dans cinq ans.
Le service cloud élimine les problèmes de coût de propriété en ayant un coût fixe et prévisible.
De nombreux organismes gouvernementaux et d’éducation ne peuvent pas tirer parti des structures de nuages de coûts variables en raison des pratiques budgétaires annuelles strictes qu’ils doivent suivre.
Le filtrage web cloud offre le meilleur des deux mondes en ce sens qu’il ne nécessite pas de dépenses d’investissement, mais en même temps, il offre un taux d’abonnement prévisible qui peut s’adapter à un budget inflexible.
Les solutions basées dans le cloud peuvent fournir aux entreprises une protection supérieure du web et de la messagerie à un coût global inférieur de 60 % et éliminer simultanément tous les tracas liés à la gestion de leur propre équipement.
Que se passe-t-il si votre système scolaire décide de mettre en œuvre une nouvelle initiative de tablettes individuelles ?
L’informatique dans le cloud est une question d’agilité et de flexibilité, comme la capacité de répondre aux demandes de flux de travail en temps réel en augmentant et en diminuant la capacité au besoin de façon automatisée. Il s’agit d’avoir la possibilité d’exploiter vos ressources à l’échelle mondiale, ce qui était jusqu’à présent inimaginable.
De nombreuses organisations commencent le processus de mise à niveau du datacenter à 10 Gbps. Si votre application de filtrage web n’accepte qu’un Gbps, vous êtes obligé d’investir dans un autre appareil.
Que se passe-t-il si votre système scolaire décide de mettre en œuvre une nouvelle initiative d’ordinateur portable ou de tablette individuelle ? Votre application actuelle est-elle capable de doubler, voire de tripler vos besoins en matière de filtrage web ?
Avec une solution de filtrage web basée dans le cloud, il n’y a aucun souci d’interfaces physiques ou d’évolutivité. Elle aidera votre organisation à devenir plus agile.
Une plus grande redondance
De nombreuses entreprises ne peuvent justifier les niveaux de redondance qu’elles souhaiteraient pour leur entreprise.
L’informatique dans le cloud permet aux petites entreprises de tirer parti des multiples couches de redondance dont elles ne pouvaient que rêver. Il en va de même pour le filtrage web. En l’absence d’une solution redondante, une panne d’appareil pourrait entraîner l’infiltration de malwares, une rançon de logiciels et des redirections de phishing.
Pour un système scolaire, cela pourrait entraîner des centaines d’appels de parents en colère qui se demandent pourquoi leurs enfants surfent sur du contenu web douteux. Même si vous disposez d’une solution redondante telle qu’un cluster actif/passif, cela signifie que la moitié de vos ressources investies sont simplement inactives, ce qui se traduit par un capital non productif.
Le cloud offre une redondance naturelle. Il n’est pas nécessaire d’avoir plusieurs appareils. Une solution de filtrage web cloud fonctionne tout simplement.
Amélioration de l’efficacité et de la productivité de la main-d’œuvre
La dernière chose dont votre équipe informatique a besoin est la mise à jour du firmware et du système d’exploitation d’une autre application.
Dans l’économie hyper compétitive d’aujourd’hui où l’informatique doit servir de leader à valeur ajoutée pour leurs organisations, vous n’avez pas besoin de vos talents informatiques pour mettre à jour et dépanner laborieusement les périphériques.
Avec une solution de cloud computing, vous obtenez toujours automatiquement la version la plus récente et la meilleure, afin que vos équipes informatiques puissent se concentrer sur des projets à valeur ajoutée.
Cette transition vers les services cloud permet aux entreprises de se concentrer sur leurs clients et leurs solutions et non sur la gestion de leurs appareils ou logiciels informatiques.
La sécurité du web et de la messagerie, livrée sous forme de service cloud, remplace rapidement les serveurs proxy sur site, les applications anti-spam, les applications web malware, les applications de prévention des pertes de données, etc.
Les organisations distribuées et la main d’œuvre mobile
La nature omniprésente du cloud est parfaite pour les entreprises distribuées et la main d’œuvre mobile.
Ces organisations, y compris les détaillants, les hôpitaux, les banques et même les fournisseurs de services de sécurité, déploient souvent la meilleure sécurité réseau au siège social, mais n’offrent souvent qu’une protection minimale aux points de vente ou aux succursales locales.
Pour prévenir les brèches de données et les attaques ciblées, les entreprises distribuées de toutes tailles ont besoin des niveaux de sécurité les plus élevés sur chaque site, même lorsqu’il n’y a pas de personnel informatique sur site.
La sécurité basée sur le cloud facilite les déploiements rapides et agiles avec peu ou pas de maintenance de suivi pour l’informatique d’entreprise. Le cloud est intrinsèquement résilient, sans point de défaillance unique.
L’élasticité du cloud permet aux entreprises de pérenniser leurs besoins de sécurité sans avoir à investir d’emblée dans des applications surdimensionnées. En éliminant le besoin de matériel ou de logiciels supplémentaires, les dépenses d’investissement initiales sont négligeables pour la sécurité dans le cloud.
Découvrez les solutions de filtrage web dans le cloud de TitanHQ
Lorsque vous superviser les activités en ligne qui se déroulent sur le réseau et sur les différents appareils de votre entreprise, vous ne pouvez pas être trop prudent. Les pirates informatiques deviennent de plus en plus intelligents, rendant ainsi vos données sensibles vulnérables aux attaques. Avec l’apparition quasi-quotidienne de nouvelles variantes de menaces cybercriminelles, les entreprises commencent à réaliser qu’elles n’ont pas assez de compétences informatiques ni le budget nécessaires pour investir continuellement de l’argent et du temps dans la lutte contre ces menaces.
Voici pourquoi TitanHQ a établi des normes de sécurité web basées dans cloud et proposé une gamme de services de sécurité qui protègent la messagerie d’entreprise, l’infrastructure réseau, la confidentialité et l’intégrité des données.
WebTitan Cloud
WebTitan Cloud est un service de filtrage web basé dans le cloud qui vous permet de surveiller, contrôler et protéger votre réseau d’entreprise et ses utilisateurs des menaces en ligne. Il vous permet de créer une politique granulaire pour vos utilisateurs pour contrôler l’accès à Internet et de bloquer les malwares dans votre organisation.
Grâce à la plateforme, vous pourrez avoir des rapports complets et voir l’activité Internet en temps réel des utilisateurs et choisir parmi un grand nombre de rapports prédéfinis sur l’utilisation de votre réseau.
La solution basée dans le cloud vérifie votre requête DNS par rapport à une politique prédéfinie qui autorise ou bloque l’accès à certaines URL. Il suffit d’une simple redirection de votre DNS vers les serveurs de WebTitan pour installer et l’exploiter, sans aucune latence.
WebTitan Cloud est spécialement conçu pour permettre un contrôle et pour fournir une protection solide aux utilisateurs, tout en étant facile à configurer et à gérer. De plus, la solution s’intègre facilement dans votre infrastructure existante ou dans un cloud privé.
SpamTitan Cloud
SpamTitan Cloud est une solution de sécurité du courrier électronique basée dans le cloud. Il offre un service complet, protégeant votre entreprise, vos employés et vos clients contre les attaques lancées via les e-mails. La solution, également basée dans le cloud, est simple à configurer et à gérer. Elle ne requiert aucune installation de logiciel et offre – parmi ses nombreuses fonctionnalités – une détection jusqu’à 99,70 % des spams, un blocage des malwares et des virus, un contrôle de l’authentification, une analyse des messages sortants et des structures de rapport robustes.
SpamTitan protège votre entreprise contre les menaces en gérant le trafic de messagerie et en régulant les e-mails reçus par vos employés. La solution peut être installée en quelques minutes, ce qui fait d’elle une solution idéale pour toute organisation. SpamTitan Cloud est conçu pour s’intégrer facilement dans votre infrastructure existante et permet à votre organisation de filtrer le trafic de courrier électronique sans frais généraux coûteux.
TitanHQ propose ces services de sécurité cloud dédiés de façon transparente pour protéger votre entreprise en temps réel. Profitez d’un essai gratuit de nos solutions dès aujourd’hui et découvrez pourquoi tant d’organisations nous font confiance.
Une nouvelle étude publiée dans le Journal of Psychosocial Research on Cyberspace sur le problème du cyberloafing souligne non seulement le coût que cela représente pour les entreprises, mais aussi les impacts de ce comportement sur les employés.
En effet, le cyberloafing, nom anglais pour désigner l’utilisation abusive d’internet en entreprise, implique des pertes de productivité majeures. Et pour les employés, cette pratique peut nuire gravement à leurs perspectives de carrière.
Le coût commercial du cyberloafing
Les employeurs paient leurs employés pour qu’ils travaillent, mais ces derniers ont souvent tendance à perdre une grande partie de leur temps à faire du cyberloafing. Ce qui réduit considérablement leur productivité et donc les profits de l’entreprise.
Ladite étude a été menée auprès de 273 employés.
Elle consistait à mesurer les impacts du cyberloafing en entreprise ainsi que les traits ayant conduit à ce comportement. Elle a révélé une corrélation du cyberloafing avec les sombres personnalités des employés, telles que la psychopathie, le machiavélisme et le narcissisme.
L’étude a également permis de constater que les employés perdent énormément leur temps, car leur comportement n’a pas encore réellement affecté leur travail. Pourquoi ? Parce que les sites qu’ils ont les plus visités n’étaient pas des sites de médias sociaux, mais des sites de nouvelles et des sites de vente en ligne.
L’idéal est que, chaque jour, les employés disposent du temps pour l’utilisation personnelle d’Internet et réalisent leur travail quotidien sans perdre leur productivité. Certains employés parviennent à le faire, en limitant leur utilisation personnelle d’Internet pour que cela ne nuise pas à l’accomplissement de leurs tâches professionnelles.
Mais pour la plupart des employés de nos jours, le cyberloafing constitue un véritable problème, car il est à l’origine d’énormes pertes pour les employeurs.
Une étude sur le cyberloafing réalisée en 2013 par Salary.com a montré que 69 % des employés perdent du temps au travail tous les jours, dont 64 % visitent des sites non liés à leurs tâches quotidiennes. Parmi ces personnes, 39 % ont déclaré avoir perdu jusqu’à une heure sur Internet au travail, et 29 % affirment en avoir perdu 1 à 2. 32 % ont également répondu qu’ils ont perdu plus de 2 heures par jour.
Le cyberloafing peut faire une énorme brèche dans les profits de l’entreprise. Une entreprise comptant 100 employés, qui consacrent chacun une heure par jour à l’utilisation personnelle d’Internet, subirait des pertes de productivité de plus de 25 000 heures-hommes par an.
Les pertes de productivité causées par le cyberloafing ne sont pas le seul problème. Lorsque les employés utilisent Internet pour des raisons personnelles, leurs actions ralentissent le réseau, ce qui ralentit la vitesse d’Internet pour tous. Par ailleurs, l’utilisation personnelle d’Internet augmente le risque d’attaques de malwares et de virus, ce qui peut entraîner d’autres pertes de productivité. A cela s’ajoute le coût de la résolution de problèmes causés par ces attaques qui s’avère souvent très important.
Que peuvent faire les employeurs face à l’utilisation abusive d’internet en entreprise ?
Tout d’abord, il est essentiel que le personnel soit informé des politiques de l’entreprise et des impacts de leurs comportements inacceptables en matière d’utilisation personnelle d’Internet.
Augmenter la surveillance et indiquer clairement que l’utilisation personnelle d’Internet est règlementée peut constituer un excellent moyen de dissuasion. Mais les employés doivent également savoir que, lorsque l’utilisation personnelle d’Internet atteint des niveaux problématiques, cela peut avoir des répercussions non négligeables sur leur travail.
Bien entendu, s’il n’y a pas de systèmes de pénalisation des employés qui enfreignent les règles, ou bien si les politiques de l’entreprise ne sont pas appliquées, ces surveillances n’auront que peu d’impact sur le cyberloafing.
En ce qui concerne les pénalités, il incombe à l’employeur d’en décider.
Des mesures pourraient être prises à l’encontre des personnes concernées par le biais de procédures disciplinaires standard comme les avertissements verbaux ou écrits. Des contrôles pourraient également être mis en place lorsque les employés passent trop de temps en ligne, comme la mise en place de solutions de filtrage de sites web.
Ces solutions peuvent limiter l’accès aux médias sociaux, aux sites d’actualité, etc. A noter que le blocage peut être temporaire, par exemple, si l’employeur veut permettre l’utilisation personnelle d’Internet pendant les pauses ou pendant les périodes où la charge de travail est généralement faible.
WebTitan – Une solution facile pour réduire les pertes de productivité et limiter le cyberloafing
WebTitan est un filtre Internet dédié aux entreprises. Il peut être utilisé pour éviter la perte de productivité liée au cyberloafing, en bloquant l’accès aux contenus Web jugés inacceptables en entreprise.
WebTitan permet de configurer facilement les contrôles Internet pour un employé, un groupe d’utilisateurs ou l’ensemble de l’organisation, avec la possibilité d’appliquer des contrôles de filtrage web temporaires.
Empêcher tous les employés de faire du cyberloafing par des sanctions n’est peut-être pas la meilleure façon d’avancer, car cela pourrait avoir un impact négatif sur leur moral. Cela pourrait également réduire leur productivité et favoriser le développement d’un environnement de travail hostile. Le filtrage web peut aider les employeurs à éviter de telles situations et réduire la responsabilité légale des entreprises, en évitant les activités illégales et l’accès à des contenus pour adultes sur le lieu de travail.
Si vous souhaitez améliorer la productivité de vos collaborateurs et appliquer les politiques d’utilisation d’Internet dans votre organisation, contactez TitanHQ.
Il y a de nombreuses raisons pour lesquelles les entreprises veulent contrôler l’utilisation d’Internet par leurs employés.
Permettre à ces derniers d’avoir un accès illimité à Internet durant les heures de travail peut entraîner une perte de productivité importante, augmenter le risque de téléchargement de malwares et de ransomwares et impliquer certains problèmes juridiques.
Pour toutes ces raisons, nombre d’entreprises choisissent donc d’utiliser une solution technologique permettant d’appliquer une politique d’utilisation d’Internet acceptable.
Dans ce dossier, nous allons nous focaliser sur les principaux avantages qui peuvent découler de l’utilisation d’un filtre web en vue de limiter l’accès à Internet sur le lieu de travail. Nous allons également voir les problèmes liés à l’utilisation d’un logiciel de contrôle de contenu pour limiter l’accès à Internet dans une entreprise.
Le problème de l’utilisation personnelle d’Internet au travail
De nombreux employés ont l’habitude de consacrer un pourcentage considérable de leur journée de travail à l’utilisation personnelle d’Internet, à des jeux en ligne ou à l’accès à leurs comptes sur les réseaux sociaux. Bien entendu, le simple fait d’imposer des restrictions de l’accès à certains sites web ne permet pas d’éliminer les temps gaspillés par les employés pour se détendre sur le net. Néanmoins, cela permet d’améliorer de façon significative leur productivité.
Si chaque employé d’une organisation devait consacrer une heure par jour à l’utilisation personnelle d’Internet, les pertes de productivité seraient considérables. Une entreprise de 100 employés perdrait 100 heures par jour, soit 4 000 heures par semaine, soit 208 000 heures par an !
L’utilisation excessive d’Internet à des fins personnelles au travail peut également entraîner d’autres problèmes. Lorsque les employés utilisent par exemple les services de streaming, téléchargent des fichiers via des réseaux P2P (Peer to Peer) ou se livrent à d’autres activités gourmandes en bande passante, cela aura naturellement un impact sur la vitesse de connexion dans toute l’entreprise.
En utilisant un filtre web capable de restreindre l’accès à Internet et de limiter l’accès à certaines activités consommant beaucoup de bande passante, les entreprises peuvent augmenter leur productivité et s’assurer qu’une bande passante suffisante est toujours disponible pour leurs employés.
Internet au travail, que dit la loi ?
Le Code du travail ne stipule aucune règle précise quant à la liberté pour un salarié d’utiliser ou non Internet au travail. Néanmoins, il existe quelques dispositions d’ordre général qui permettent de déduire le cadre légal de l’usage de l’Internet au bureau en dehors du cadre des missions professionnelles des employés.
Selon l’article 4121-2 du Code de travail, il incombe à l’employeur d’adapter le travail à l’homme ; de donner les instructions appropriées aux employés et de tenir compte de l’évolution des nouvelles technologies.
D’autre part, l’employeur n’a pas l’obligation d’autoriser ses salariés à utiliser Internet au travail, sauf si l’usage est indispensable pour l’accomplissement de leurs fonctions. Si c’est le cas, il a donc la responsabilité de réglementer l’utilisation d’Internet et de donner des instructions à ses employés.
Par ailleurs, l’art. 1222-4 précise que l’employeur n’a pas le droit surveiller l’utilisation d’Internet de ses employés sans les avoir préalablement informé de l’existence d’un contrôle et des processus utilisée pour réaliser ce contrôle.
Responsabilité juridique et sanctions
Les entreprises disposent toutes des informations ou données qui sont protégées par des droits d’auteur, comme des logiciels, des vidéos, de la musique ou des photos sur leur réseau. Sachez que, si un employé télécharge ces informations sur le réseau d’une organisation, ses dirigeants pourraient en être légalement responsables.
Pour réglementer l’usage d’Internet au bureau, l’employeur peut définir des politiques d’utilisation acceptables qui pourront être intégrées au sein du règlement intérieur de l’entreprise. La communication de ces règles peut se faire via des notes de service ou par le biais de l’élaboration d’une charte informatique. Dans ces documents, il faut également intégrer les modalités de contrôle auxquelles pourront être soumis les salariés. Une fois les règles établies, elles s’imposent alors à tous les salariés de l’entreprise.
Sanction de l’usage excessif de l’Internet par les salariés
Les dirigeants d’entreprises peuvent imposer des règles limitant l’utilisation d’Internet. Quant aux règlementations en vigueur, elles peuvent aussi sanctionner les usages considérés comme excessifs de l’Internet au travail.
Fautes graves
L’utilisation de l’Internet sur le lieu de travail peut être considérée comme une faute grave s’il est établi que le salarié a consacré son temps de travail à des activités personnelles.
Les connexions sur des sites non professionnels sont considérées comme abusives. Elles peuvent constituer également une faute grave lorsqu’elles impliquent la violation par le salarié de ses obligations contractuelles.
Manquement à des obligations
La consultation de sites de rencontre et d’activités sexuelles, suivie de la consultation d’un site de téléchargement d’un logiciel malveillant qui permet d’effacer les traces de connexions et de téléchargements, peut être sanctionnée. La raison est le manquement grave de l’employé à ses obligations dans le cadre de son contrat de travail.
Bon à savoir : si l’employé cause un préjudice à son organisation, par exemple en téléchargeant un virus informatique qui porte atteinte au réseau informatique, il pourrait être condamné à verser de dommages et intérêts à son employeur. C’est aussi le cas lorsque l’employé consulte des sites illégaux ou des plateformes en ligne qui sont susceptibles de nuire à la bonne image de son organisation. Dans ce cas, l’employé est coupable d’un délit d’abus de confiance.
Le droit de contrôle pour l’employeur
Selon la loi, tout employeur a le droit de fouiller l’appareil informatique utilisé par ses employés et de surveiller les contenus qu’ils consultent sur Internet. Il peut aussi contrôler –sans en informer l’employé – tout appareil (ordinateurs ou matériels de stockage) du moment que les fichiers qui y sont conservés ne sont pas spécifiés comme personnels.
Bon à savoir : l’employeur peut procéder à des contrôles des sites Internet que ses employés ont visités pendant les heures de travail, même en leur absence.
Pour limiter l’usage d’Internet par les salariés, les entreprises peuvent utiliser des procédés de filtrage des sites web accessibles par les employés depuis les ordinateurs professionnels. Elles peuvent même aller jusqu’à interdire l’accès à Internet à tous ses employés, à condition qu’elles respectent les dispositions de l’article 1121-1 du Code du travail.
Mais pourquoi tout cela ?
En effet, l’accès incontrôlé à Internet laisse la porte ouverte à toute une variété de problèmes juridiques et fonctionnels. La mise en place d’une politique d’utilisation acceptable d’Internet peut vous aider dans une certaine mesure à les éviter, mais ce n’est pas suffisant.
Le danger des téléchargements de malwares et de ransomwares
Si les employés peuvent accéder à des sites web et aux réseaux sociaux, télécharger des fichiers ou visiter des sites web douteux, le risque de téléchargement de malwares et de ransomwares augmente considérablement.
Les kits d’exploitations (menaces automatisées) explorent les vulnérabilités des navigateurs et des plug-ins, pour exécuter des programmes malveillants. Ceci leur permet de diriger le trafic vers des sites web compromis, et ce, par le biais de publicités malveillantes. Lorsque les victimes naviguent sur ces sites, les malwares et ransomwares peuvent porter atteinte à la sécurité de leurs informations.
Certains types de sites web comportent un risque élevé d’infection par des malwares. Le fait de permettre aux employés d’accéder à ces sites — dont bon nombre ne sont pas adaptés au travail — pourrait donc facilement entraîner leur téléchargement.
Bien entendu, les exploitants de sites pornographiques légitimes prennent souvent grand soin de s’assurer que leurs plateformes en ligne ne sont pas compromises. Toutefois, bien qu’ils soient légitimes, ces sites sont souvent utilisés par les cybercriminels comme leurre pour propager des malwares.
L’une des activités en ligne les plus risquées est l’utilisation des sites de Torrents et des réseaux de partage de fichiers P2P. En effet, il y a peu ou pas de contrôles sur les contenus (musique, fichiers, vidéos, etc.) partagés via ces plateformes en ligne. Pourtant, ils sont souvent parsemés de malwares, de spywares et d’adwares.
Attention : Les téléchargements illégaux de logiciels sont extrêmement risqués, car les malwares sont souvent regroupés dans les fichiers exécutables nécessaires pour l’installation de ces interfaces ou dans les générateurs de clés de licence (Keygen).
Les conséquences d’une attaque de malware ou de ransomware peuvent être incroyablement coûteuses pour les entreprises. Nombre d’entre elles en ont déjà été victimes, ce qui a impliqué la mise hors service de leurs systèmes d’informations pendant plusieurs jours, voire des semaines. Évidemment, l’arrêt de l’activité a impliqué de lourdes pertes pour ces entreprises.
Une attaque de ransomware peut entraîner la mise hors service d’un réseau entier, comme ce fut le cas avec les attaques WannaCry en 2017. Au Royaume-Uni, le NHS a subi des perturbations majeures suite à une infection par un malware. Peu de temps après, l’attaque de malware NotPetya a également causé des dégâts considérables. En effet, il a réussi à infecter les systèmes d’informations de la société de transport maritime Maersk et la facture du « nettoyage » s’élevait à environ 300 millions de dollars.
Un filtre web n’empêchera pas tous les téléchargements de malwares et de ransomwares, mais il permet aux entreprises d’empêcher certaines catégories de sites web « à risque » d’être visitées par leurs employés.
La solution de filtrage peut être configurée pour bloquer le téléchargement de certains types de fichiers et l’accès à des sites web connus pour contenir des malwares ou des kits d’exploitation. Grâce à cela, toute tentative de visite d’un de ces sites web renvoie l’utilisateur à un écran de blocage.
Limiter l’accès à Internet pendant la pandémie du Covid-19
Des millions de personnes travaillent actuellement à domicile à cause de la pandémie et les réseaux Internet des entreprises sont souvent mis à rude épreuve.
Le temps que les employés distants passent à regarder des vidéos en continu, à jouer et à utiliser des applications de messagerie instantanée comme Zoom ou d’autres plateformes de vidéoconférence a considérablement augmenté depuis le début de la pandémie. Non seulement ces activités peuvent entraîner une baisse de la production, mais elles exposent également votre entreprise à de nombreuses menaces en ligne. Voici nos conseils pour les éviter :
Se doter d’un antivirus contre les malwares, les ransomwares, etc.
Il est fortement recommandé d’installer un logiciel antivirus sur le poste de travail que vos collaborateurs utilisent, même si cela ne garantit pas une protection totale contre les menaces informatiques auxquels les travailleurs à distance s’exposent. De plus, le télétravail augmente le risque de subir une attaque d’un malware ou de ransomware. Un travailleur à domicile utilisera souvent son ordinateur professionnel pour un usage personnel, et ce, à l’insu de son employeur ou de l’administrateur système. La solution antimalware doit donc être à jour, en ce qui concerne les derniers malwares et devrait pouvoir alerter l’équipe informatique en cas de pratiques à risque.
Effectuer les mises à jour sécurité
Dans une logique de productivité, les travailleurs distants n’ont pas toujours conscience du risque qu’ils pourraient faire courir à leur entreprise. En fait, ils ignorent souvent les mises à jour de sécurité proposées par leur système d’exploitation pour s’éviter d’une certaine période d’inactivité forcée qui, pourtant, est de l’ordre de quelques minutes. Dans une PME, les équipes qui travaillent au bureau ont souvent un responsable informatique qui assure la supervision de ces mises à jour et le risque est donc minimisé. Mais avec l’augmentation du nombre de travailleurs distants, les PME ont des difficultés à limiter les failles de sécurité. Il importe donc d’imposer à vos employés l’application de ces mises à jour critiques.
Sauvegarder en ligne les fichiers sensibles
Quand on parle de télétravail dans les entreprises, il faut savoir que le partage des fichiers en ligne est incontournable. Toutefois, cela n’empêche pas certains employés distants de privilégier la manipulation de fichiers en local. Au cas où il y aurait des problèmes, il est donc difficile de retrouver le contenu de certains documents. Pour éviter une telle situation, vous devez ajouter une couche de cybersécurité, en créant une sauvegarde régulière de vos données sensibles. Cette solution vous protège contre le vol et les erreurs de manipulation des données ainsi que les attaques de ransomwares et de malwares dont le but est essentiellement de les chiffrer.
Vos employés doivent utiliser une navigation sécurisée
Le mode navigation privée proposé par les principaux navigateurs comme Firefox, Safari, Chrome ou Edge ne garantissent que la confidentialité d’une session en ligne. Gardez donc à l’esprit qu’ils ne constituent pas une solution permettant d’assurer la sécurité informatique de votre entreprise contre les cybermenaces. Il faut mettre en place une couche supplémentaire de protection de la navigation sur Internet pour vos employés distants. Cette alternative est particulièrement importante pour les salariés distants, notamment lorsqu’ils utilisent l’ordinateur de votre entreprise à des fins personnelles (téléchargements abusifs, consultation de vidéos en streaming, visite de sites web illégaux ou de jeux en ligne).
Un filtre web offre une protection supplémentaire contre les ransomwares
Le phishing est la principale menace numérique à laquelle font face les entreprises. De nos jours, on estime que plus de 90 % des cyberattaques commencent par un e-mail de ransomware. L’une des meilleures protections contre ces attaques est le filtrage du spam. Cette solution peut empêcher la plupart des malwares d’être envoyés aux utilisateurs finaux.
Cependant, aucun filtre antispam n’est efficace à 100 % et certains messages malveillants peuvent toujours finir dans les boîtes de réception des employés. Pour renforcer la sécurité, on peut donc former ces derniers à identifier les e-mails de phishing et leur enseigner les meilleures pratiques en matière de cybersécurité.
La sensibilisation permet de réduire notablement la vulnérabilité du système d’information aux attaques de ransomware. Pourtant, tôt ou tard, un employé finira par se faire duper et cliquer sur un lien dans un e-mail malveillant qui le redirigera vers un site de phishing. Une fois que l’utilisateur atterrit sur le site web malveillant et divulgue ses informations d’identification, le pirate informatique peut accéder à son compte de messagerie et à toutes les données sensibles qu’il contient.
Le compte compromis peut ensuite être utilisé pour envoyer d’autres e-mails de phishing à d’autres employés. Il n’est pas rare qu’une seule réponse à un e-mail de phishing entraîne la compromission de plusieurs comptes de courriel au sein d’une organisation.
Pourtant, les conséquences de ces attaques sont parmi les plus coûteuses et difficiles.
Pourquoi ?
Parce qu’il faut vérifier chaque email d’un compte compromis pour y trouver des renseignements personnels identifiables et d’autres données sensibles. Et sachez que la vérification manuelle de milliers de courriels peut prendre des semaines et coûter des centaines de milliers de dollars.
Un filtre web est une couche de sécurité supplémentaire qui aide les organisations à améliorer leurs défenses contre ces attaques. Lorsqu’un employé clique sur un lien vers un site web qui figure dans une liste noire, suite à une utilisation antérieure dans le cadre de campagnes de phishing, l’utilisateur sera dirigé vers un écran de blocage.
Sur ce point, sachez que WebTitan peut actuellement bloquer jusqu’à 60 000 tentatives d’accès à des sites web malveillants chaque jour.
Empêcher l’accès à des contenus web inappropriés
Bien que la plupart des employés n’utilisent pas Internet pour accéder à des contenus illégaux et non adaptés au travail, il y en a toujours quelques-uns qui sortent du lot.
Le problème de l’accès à la pornographie au travail est par exemple un vrai problème, dont les conséquences sont bien pires que vous ne le pensez :
En 2014, une enquête menée par le groupe Barna a montré que 63 % des hommes et 36 % des femmes ont vu de la pornographie au travail
Une enquête réalisée par Forbes en 2013 a également révélé que 25 % des adultes avaient vu du porno au travail, tandis qu’une autre enquête a montré que 28 % des employés avaient affirmé avoir téléchargé du porno durant les heures de travail.
Non seulement l’accès à la pornographie au travail implique une perte de productivité importante des employés, mais il peut aussi être à l’origine d’un environnement de travail hostile, c’est-à-dire que les collaborateurs ne communiquent plus et travaillent de manière isolée.
Par ailleurs, cela peut créer d’autres problèmes que vous n’auriez même pas imaginé. À titre d’exemple, sachez qu’il y a déjà eu des cas où des employés ont intenté des poursuites judiciaires à l’encontre de leurs employeurs parce que ces derniers n’avaient pas mis en place des solutions de contrôles de contenu qui empêchent les employés d’avoir accès à de la pornographie sur leur lieu de travail.
De nombreuses entreprises estiment que la meilleure façon de s’attaquer à ce problème est de mettre en place des politiques d’utilisation acceptables ainsi qu’une surveillance accrue des employés par leurs supérieurs hiérarchiques. Lorsque les superviseurs découvrent que des employés abusent d’Internet, des mesures peuvent donc être prises contre eux, tandis que tout le monde peut continuer à l’utiliser.
Cette solution ne s’avère pas toujours efficace parce que, quand l’accès à la pornographie est découvert, les employés ont souvent recours à un licenciement instantané. Cela entraîne des coûts pour le service des ressources humaines et des pertes de productivité jusqu’à ce que de nouveaux employés soient embauchés et formés.
La solution la plus simple est d’utiliser un filtre web pour restreindre l’accès à Internet au travail. Un filtre web peut être utilisé pour bloquer l’accès à des sites web spécifiques ou à des catégories de contenus inadaptés tels que les sites pornographiques.
Le rôle des gouvernements
Pour des raisons politiques, sociales et de sécurité nationale, un gouvernement peut bloquer l’accès à certains contenus en ligne, surveiller le type d’informations que les utilisateurs finaux peuvent consulter et punir des utilisateurs à cause d’une activité en ligne qu’il jugerait inacceptable.
En fait, il est difficile de déterminer si une entité essaie de vous empêcher d’envoyer des informations à d’autres personnes ou d’accéder à un site web. Mais lorsque vous essayez d’accéder à un site bloqué, vous verrez souvent un message d’erreur conventionnel. Dans ce cas, le site peut afficher un message d’indisponibilité technique.
Dans certains pays, le gouvernement peut bloquer une partie entière de l’Internet. En Arabie Saoudite, par exemple, lorsqu’un utilisateur tente d’accéder à du contenu sexuellement explicite, il reçoit un message du gouvernement qui explique la raison du blocage du site en question.
D’autres entités que les gouvernements peuvent également contrôler, bloquer ou filtrer certains contenus web. Les parents, par exemple, peuvent filtrer les informations inappropriées pour leurs enfants. D’autres organisations, comme les écoles et les entreprises, peuvent aussi restreindre l’accès à Internet pour empêcher les étudiants et les employés d’avoir des communications non contrôlées ; d’utiliser du matériel ou des heures de travail de l’entreprise pour des raisons personnelles ; d’utiliser trop de ressources réseau, etc.
Même si le gouvernement dispose des ressources et de la capacité légale pour contrôler une grande partie de l’infrastructure réseau d’un pays, il n’est pas votre adversaire. Cela signifie tout simplement que vous devez toujours contrôler et sécuriser vos communications, votre réseau filaire ou sans fil, vos données sensibles, etc.
Problèmes liés à l’utilisation d’un filtre web pour contrôler l’accès à Internet en entreprise
Un filtre web peut sembler une solution rapide et facile pour éviter les menaces sur le web. Mais sachez que les entreprises qui restreignent l’accès à Internet au travail avec des filtres web peuvent rencontrer d’autres problèmes encore pires si la solution de filtrage n’est pas correctement configurée.
Si vous limitez l’accès à Internet au travail à l’aide d’une solution de filtrage web basée sur un appareil, cela peut entraîner une latence, étant donné que chaque site web doit être inspecté avant que les employés puissent y accéder. Dans le cas de sites sécurisés (HTTPS), chaque page web doit être déchiffrée, inspectée et rechiffrée. D’un, cela rend le système d’information plus lent et, de deux, cela demande beaucoup de ressources.
Il faut savoir que lorsque des filtres web sont utilisés dans le but de restreindre l’accès à Internet au travail, et s’ils manquent de contrôles très granulaires, il peut y avoir un blocage excessif du contenu en ligne. Et même les sites web nécessaires pour le travail peuvent être bloqués. L’équipe de support informatique doit alors consacrer un temps considérable pour trier ces sites afin de les mettre sur une liste blanche.
Autre élément important : si vous limitez l’accès à Internet au travail, les employés qui n’accédaient qu’occasionnellement à un site personnel pourraient ne pas être satisfaits des nouvelles restrictions. Cela peut avoir un effet sur leur productivité et créer un environnement de travail hostile.
Mais pourquoi faire subir à tout le monde les conséquences des actes de quelques employés ?
Comment restreindre l’accès à Internet au travail et éviter ces problèmes ?
Il existe de nombreuses solutions pour contrôler l’accès à Internet et éviter de se retrouver dans des situations compromettantes pour le bon développement de votre entreprise. Voici quelques conseils qui peuvent vous aider à atteindre cet objectif.
Utiliser un filtre web
Les problèmes suscités peuvent être évités en utilisant un filtre web basé sur le cloud. Cette solution permet aux employeurs de restreindre l’accès à Internet au travail, mais comme les solutions sont dans le cloud, ils utilisent les ressources du fournisseur de services. Ainsi, le problème de la latence peut être résolu et le contrôle d’Internet peut être garanti.
De plus, les filtres web dans le cloud sont plus flexibles, évolutifs et ne requièrent pas l’achat d’équipements supplémentaires. Autrement dit, ils vous permettent de faire des économies considérables.
Certains filtres cloud, comme WebTitan, permettent d’appliquer des contrôles basés sur le temps. Les employeurs peuvent utiliser cette fonction pour restreindre l’accès à Internet pendant les périodes de pointe et relâcher le contrôle pendant les pauses, par exemple. Il peut également bloquer l’accès à certains sites à un employé particulier ou à un groupe d’employés.
Puisque le filtre s’intègre avec LDAP et Active Directory, le réglage des contrôles pour différents groupes d’utilisateurs est simple. Par ailleurs, WebTitan peut bloquer les sites web anonymes et donc empêcher les utilisateurs de contourner les contrôles de filtrage de contenu.
Si les employeurs arrivent à limiter intelligemment l’accès à Internet au travail et à accorder de temps en temps un accès personnel à l’Internet, ils pourront éviter la création d’un environnement de travail hostile, tout en protégeant leur système d’information contre les menaces en ligne.
Contrôler l’accès à Internet en entreprise : l’historique de navigation
En tant qu’employeur, vous avez la possibilité, mais surtout le devoir de conserver l’historique Internet de chaque poste au sein de votre entreprise. En effet, c’est une obligation légale pour le chef d’entreprise d’être en mesure de retracer une activité illicite réalisée par l’un de ses employés sur Internet.
De plus, il est important de garder à l’esprit que l’employeur est considéré comme un fournisseur d’accès à Internet pour son personnel sur le plan légal. À ce titre, vous avez tout à fait le droit de sauvegarder un enregistrement de l’historique de navigation Internet de chaque employé, et cela prend même en compte les adresses URL qui ont été consultées.
Le chef d’entreprise a le droit de contrôler l’historique d’activité de chaque collaborateur et de se rendre compte des abus qui peuvent avoir un impact négatif sur l’activité de l’entreprise ou encore engager la responsabilité pénale ou civile du dirigeant. L’historique Internet peut donc vous aider à confondre les employés qui ne respectent pas la charte de la société à ce sujet et peut servir à sanctionner l’employé concerné.
D’ailleurs, il est important de savoir que l’employeur n’a aucune obligation à fournir un accès au réseau Internet. Mais dans le cas où cet accès existe pour le bon déroulement des activités de la société, il doit être utilisé à des fins professionnelles. Il peut être également utilisé pour des raisons personnelles, mais dans la limite du raisonnable. Le défi ici est d’arriver un trouver le juste équilibre entre l’utilisation abusive ou non de cet accès, surtout à des fins personnelles.
Dès lors, il revient au dirigeant de la société de fixer des principes d’usage précis pour les salariés et veiller à ce que tout le personnel soit mis au courant.
Utiliser des mots de passe
De nombreuses entreprises disposent actuellement d’une connexion filaire ou sans fil et il est peu coûteux et facile de connecter plusieurs ordinateurs à l’Internet. Toutefois, si certains employés n’en ont pas besoin, il ne faut pas connecter leurs ordinateurs. Vous pouvez par exemple placer des mots de passe sur les ordinateurs qui accèdent à Internet. Si seuls certains appareils doivent y avoir accès, vous pouvez utiliser des mots de passe peuvent pour les verrouiller. De cette manière, seules les personnes autorisées à utiliser Internet peuvent les utiliser.
Réguler l’accès à Internet par le biais d’un serveur proxy
Vous pouvez aussi mettre en place un serveur proxy pour contrôler l’accès à Internet dans votre organisation et d’en assurer la surveillance et la sécurisation. Le fait de sécuriser un réseau est une bonne alternative pour protéger vos données sensibles, par exemple. En ce qui concerne la surveillance, un proxy sert à enregistrer les historiques de navigation des employés, mais dans ce cas-là, il est toujours recommandé de les informer de l’existence d’un tel système.
En fait, vous avez le droit d’instaurer des logiciels de surveillance pour les connexions de vos employés. Toutefois, vous devez déclarer cela préalablement à la Commission nationale de l’informatique et des libertés (CNIL). Au-delà de la simple surveillance et de l’enregistrement des données de navigation, vous pouvez également utiliser un logiciel qui permet d’analyser, poste par poste, les activités en ligne de vos employés, à condition que vous ayez informé au préalable ces derniers. Sachez également que la consultation des e-mails de vos employés est strictement encadrée.
Définir un code de bonne conduite
Même si l’utilisation d’un filtre web est une solution performante et radicale pour restreindre l’accès des employés au réseau Internet, la communication et la négociation sont également des moyens efficaces à privilégier.
En effet, en informant les employés sur les réels dangers de la mauvaise utilisation d’Internet au sein de l’entreprise, ils pourront mieux éviter les pièges tendus par les cybercriminels. Car, il faut se l’avouer, certains membres de votre personnel ne sauront pas toujours qu’ils sont attirés dans un piège et qu’ils sont victimes de leur naïveté.
L’objectif de la sensibilisation est donc de rendre tous les utilisateurs responsables de leur navigation.
Pour cela, différentes actions peuvent être mises en place. Ainsi, il est possible d’instaurer des réunions d’information telles que des ateliers, des séminaires ou des réunions du comité d’entreprise.
Ce sont des occasions pour rencontrer les représentants du personnel ou les employés eux-mêmes afin de trouver un terrain d’entente sur les conditions d’usage d’Internet au sein de l’entreprise.
Il est très important d’informer les salariés des mesures qui seront prises pour éviter qu’ils ne cherchent des moyens pour contourner les restrictions qui seront mises en place.
Vous pouvez également élaborer un code de bonne conduite en définissant le type de contenu interdit au travail, les règles d’usage de la messagerie électronique, etc. Ce code devra être ensuite diffusé dans toute l’entreprise (dans le règlement intérieur, le journal d’entreprise, sur le tableau d’affichage, dans un document envoyé par mail à chaque employé, etc.).
Avec ces différentes actions, vous impliquez tout le personnel de l’entreprise sans provoquer des tensions.
Limiter le temps d’utilisation d’Internet dans votre entreprise
Il s’agit d’une solution à l’amiable que vous pouvez définir avec vos employés. Il suffit de définir ensemble un temps limite d’utilisation extra-professionnelle de l’Internet. Vous pouvez, par exemple adopter une limite quotidienne de 30 minutes, soit une limite hebdomadaire de deux à trois heures par semaine.
Pour cela, vous pouvez utiliser des solutions logicielles simples. Ils vous permettent de restreindre le temps d’accès à Internet sur chaque PC, comme la consultation des messages instantanés. Pour installer ce type de logiciel, il faut que vous soyez un administrateur de chaque PC connecté à votre réseau. Ce dernier mettra en place un login et un mot de passe d’administrateur à chaque démarrage d’un PC pour filtrer non seulement les contenus qui peuvent être consultés par vos employés, mais aussi le temps d’accès à Internet.
Conserver les logs Internet
Le contrôle de l’accès à Internet dans l’entreprise peut être réalisé à travers plusieurs techniques.
L’employeur a la possibilité de surveiller les adresses IP de chaque poste, contrôler les postes à distance. Sur le plan juridique, le chef d’entreprise est considéré comme le fournisseur d’accès aux réseaux numériques à ses employés. Il engage donc une responsabilité à ce titre même si cette dernière est allégée.
En effet, cette responsabilité n’est pas uniquement réservée aux opérateurs de communication installés sur le marché.
C’est ce statut qui rend obligatoire la conservation des logs Internet de l’entreprise. La non-conservation de ces données est passible directement d’une sanction pénale, à travers une peine d’amende et même d’emprisonnement pour le chef d’entreprise négligent.
En tant qu’employeur, la Loi pour la confiance dans l’économie numérique (LCEN) vous considère comme un fournisseur d’accès aux réseaux numériques à vos employés, ce qui engage votre responsabilité, bien qu’elle soit atténuée. Cette responsabilité n’est pas uniquement réservée aux opérateurs de communications. Elle rend ainsi obligatoire la conservation des logs Internet par votre entreprise. En réalité, ces données doivent être conservées un an après leur date d’enregistrement.
Conclusion
Nul ne peut le nier, Internet est devenu un outil incontournable pour le bon fonctionnement de toute entreprise. Malheureusement, le fait de donner aux employés un accès illimité (ou non contrôlé) au web présente plusieurs inconvénients.
Le fait que les employés passent une grande partie de leur temps sur les médias sociaux (Facebook, Twitter, etc.), les sites d’achats en ligne et les applications de chat en direct ne peut que nuire à leur productivité sur le lieu de travail. D’une part, cela implique des comportements non productifs. D’autre part, l’utilisation d’Internet peut mettre à rude épreuve la consommation de bande passante et accroître les risques d’attaques de malwares sur le réseau informatique de leur organisation.
Selon des recherches menées par IDC, environ 40 % de l’activité réalisée par les employés sur Internet n’est pas liée au travail. Cela peut coûter des milliers d’euros en perte de productivité et en matière d’exposition accrue aux attaques cybercriminelles.
La vérité est que le filtrage de l’accès à Internet peut créer un environnement de travail répressif, ce qui nuit à la confiance et au moral des employés. Le mieux serait donc d’adopter une approche plus souple et surtout de déployer un filtre web efficace.
Vous ne savez pas exactement comment aborder la réalité des employés qui accèdent à des sites web non liés au travail ?
Contactez TitanHQ pour trouver des solutions de contrôle et de filtrage Internet
Le contrôle du contenu Internet est rapide, facile et peu coûteux avec WebTitan. Cette solution vous permet de restreindre facilement l’accès à Internet au travail et d’éviter les problèmes courants associés au filtrage web.
Cette couche de protection supplémentaire est fournie par TitanHQ, une enseigne dont le but est de rendre votre réseau plus sûr. Comme il est essentiel de disposer d’outils de sécurité pour la messagerie électronique et le web, nous vous proposons une solution facile à utiliser, robuste et efficace, que vous pouvez adopter sans compromettre les fonctionnalités de votre réseau. Nos spécialistes comprennent vos risques de sécurité et ils sont là quand vous avez besoin d’aide, afin que votre soit plus facile à réaliser.
Si vous souhaitez limiter l’utilisation personnelle d’Internet au travail, contactez TitanHQ dès aujourd’hui. Vous pouvez bénéficier de conseils professionnels et vous inscrire pour un essai gratuit.
Cela vous permettra d’évaluer la solution WebTitan dans votre propre environnement avant de l’adopter.
FAQ sur le contrôle d’internet en entreprise
Quelle différence entre contrôler, réguler, limiter et filtrer l’accès à Internet ?
Il existe deux principales méthodes qui permettent une meilleure utilisation d’Internet en entreprise.
La première étant de limiter le temps de navigation sur le web. La seconde consiste au filtrage des contenus auquel les utilisateurs peuvent accéder.
Comment limiter le temps d’utilisation d’Internet ?
Pour ce faire, vous pouvez opter pour une solution à l’amiable. Il vous incombe de définir avec vos employés un temps limite d’utilisation de l’Internet dans le cadre extra-professionnelle, mais ce n’est pas souvent la meilleure solution.
L’autre alternative est d’utiliser un logiciel ou un filtre web capable de restreindre le temps d’accès à Internet sur les ordinateurs utilisés au sein de votre entreprise.
Pourquoi le fait de limiter l’utilisation d’Internet à l’amiable est-il insuffisant ?
Si vous choisissez cette option, il est important d’établir une charte de bonne conduite.
Grâce à cela, vous allez pouvoir maintenir une relation saine avec vos employés. Il faudra miser sur la discussion avant l’action. La charte de bonne conduite doit être rédigée et transmise à tous les collaborateurs via un tableau d’affichage commun ou par le biais de l’intranet, entre autres.
N’oubliez pas toutefois qu’il est toujours possible qu’un employé soit victime d’une attaque de phishing ou télécharge des malwares par inadvertance.
Les pare-feu peuvent-ils vous aider ?
Il faut toujours être pragmatique. Vos employés naviguent sur des sites personnels avec leurs ordinateurs ou d’autres dispositifs professionnels.
Un pare-feu peut bloquer les contenus ou les serveurs suspects, mais le mieux serait d’utiliser un filtre de contenu web.
Qu’en est-il donc du filtrage de contenu web ?
Votre administrateur système peut mettre en place un filtre web, mais il est souvent plus pratique et moins onéreux de confier le filtrage des contenus web à des professionnels tiers.
Les contenus web peuvent être identifiés par leurs URL, les types de fichiers ou les mots-clés.
Vous êtes libre de déterminer les sites interdits d’accès, par exemple, lorsque l’un de vos employés fait des recherches en ligne. Le filtrage par type de fichier vous permet également d’interdire le téléchargement des fichiers malveillants selon leur nature.
Les aéroports, hôtels, restaurants, et bien d’autres centres commerciaux s’efforcent actuellement de proposer le service WiFi gratuit pour permettre à leurs clients et visiteurs d’accéder à Internet gratuitement afin qu’ils puissent vivre une meilleure expérience client. En fait, c’est devenu l’une des prestations essentielles qui doivent être fournies par votre établissement si vous voulez vous démarquer de vos concurrents sur un marché de plus en plus compétitif.
La question est de savoir si le WiFi a aussi sa place dans les hôpitaux. Si la réponse est oui, quels sont donc les enjeux et défis auxquelles les personnels informatiques sont confrontés lorsqu’ils mettent en place un tel service ? Pourquoi le filtrage Internet et WiFi dans les hôpitaux est-il si important ?
Pour un hôpital, la fourniture d’une connexion sans fil présente de nombreux avantages, pour ne citer que l’amélioration du bien-être des patients et de l’image de l’établissement, mais cela l’expose aussi à de nombreuses menaces cybercriminelles, dont les répercutions sont souvent dramatiques.
Voici donc ce que vous devez savoir avant de décider d’offrir ce service à vos patients et leur entourage.
Le constat
Les hôpitaux ont beaucoup investi dans des solutions qui leur permettent de sécuriser leur périmètre réseau. Pourtant, ils oublient souvent de déployer un système de filtrage Internet et WiFi.
Les pare-feu de sécurité réseau et logiciel ont leur utilité, mais les responsables de la sécurité informatique savent très bien que les cyberattaques ciblant les employés peuvent contourner ces systèmes de défense.
Les réseaux WiFi constituent un point faible en matière de sécurité informatique. Il est bien possible de mettre en place des systèmes de protection des terminaux installés, mais pas sur les appareils mobiles qui se connectent aux réseaux WiFi.
Il suffit de consulter le portail du Département de la Santé et des Services Sociaux américain pour savoir combien de cyberattaques sont actuellement perpétrées contre des hôpitaux. En effet, les cybercriminels choisissent souvent les établissements de soins de santé en raison de la valeur des renseignements médicaux protégés des patients sur le marché noir du web.
En effet, ces informations valent dix fois plus que les renseignements sur les cartes de crédit. Il n’est donc pas surprenant que les hôpitaux se trouvent dans la ligne de mire des cybercriminels. Même un petit hôpital peut contenir des informations sensibles sur plus de 100 000 personnes. Si un pirate informatique arrive à accéder à un réseau hospitalier, c’est donc une véritable aubaine pour lui.
Il y a également eu une augmentation massive des attaques de ransomwares. Comme les hôpitaux ont besoin d’avoir accès aux renseignements médicaux personnels des patients, ils sont plus susceptibles de payer une rançon pour récupérer les données qui ont été chiffrées par les pirates. À titre d’exemple, le Hollywood Presbyterian Medical Center a dû payer 17 000 $ pour obtenir les clés permettant de débloquer la situation en février dernier. C’était l’un des nombreux hôpitaux à céder aux demandes des cybercriminels.
Le WiFi et sa place à l’hôpital
Le réseau WiFi ouvre l’accès à de nombreux services de communication (e-mail, chat, réseaux sociaux etc.) pour le personnel et les patients dans les établissements hospitaliers. Il s’avère aussi être un excellent outil de divertissement, permettant aux utilisateurs d’accéder à leurs applications internet préférées, à de la musique, à des jeux en ligne ou encore au service de vidéo à la demande.
Utilité du WiFi pour les patients
Imaginez un patient qui est coincé sur un lit, privé de ses vidéos streaming, de ses e-mails de ses plateformes de réseaux sociaux préférées, etc. En fait, l’impossibilité de se divertir et de communiquer avec ses proches peut devenir une double peine pour ce patient.
Même si les chambres d’hôpital disposent souvent d’une télévision et d’un téléphone, sachez que les patients de nos jour se sont habitués à un accès Internet homogène sur leurs appareils portables, comme ils le feraient dans le confort de leur maison. En fournissant ce niveau d’accès, vous rendez leur séjour sanitaire plus agréable.
Le personnel médical ou administratif a également besoin du service WiFi
La disponibilité d’une connexion sans fil contribue à optimiser le temps de travail du personnel médical, car elle permet de lier et de faire fonctionner de nombreux outils informatiques plus rapidement et de façon sécurisée. L’un des domaines le plus évident pour exploiter les fonctionnalités du WiFi concerne par exemple les appareils médicaux et non médicaux connectés comme les dispositifs de surveillance, les lits intelligents et les équipements de mesure (IRM, rayons X, etc.).
En utilisant des équipements connectés comme les tablettes ou les Smartphones, les médecins et infirmières peuvent se connecter à une base de données centrale, accéder aux dossiers médicaux électroniques des patients et la mettre à jour. Cela se traduit par un gain de temps précieux, en évitant de parcourir de nombreux fichiers papier ou de localiser un dispositif informatique pour récupérer ou saisir certaines informations médicales.
Quant aux administrateurs d’hôpitaux, ils peuvent utiliser le WiFi pour suivre et surveiller des actifs clés comme les équipements médicaux. Il suffit par exemple d’effectuer un marquage des fauteuils roulants pour que les administrateurs puissent avoir une vue en temps réel de leur emplacement dans l’ensemble de l’établissement. Ces informations détaillées peuvent les aider à réduire la perte ou le vol des équipements, entre autres.
Le WiFi pour les visiteurs
Grâce à la disponibilité du WiFi dans votre établissement, les visiteurs peuvent se divertir en accédant gratuitement à Internet via leurs appareils mobiles, qu’ils soient aux urgences, à la cafétéria ou dans les aires d’attente. Ils peuvent utiliser les systèmes de géolocalisation pour les aider à naviguer à travers les labyrinthes de votre hôpital, notamment si celui-ci dispose de plusieurs bâtiments répartis sur un vaste campus. Depuis le parking, les patients et leurs accompagnateurs pourront localiser le bon bâtiment, trouver l’étage, le numéro de leur chambre, le local où ils doivent prendre rendez-vous, etc.
L’environnement WiFi des hôpitaux est une mine d’or potentielle pour les cybercriminels
Le nombre croissant d’appareils sans fil qui sont maintenant utilisés dans les hôpitaux incite davantage les pirates informatiques à tenter d’accéder à leurs réseaux WiFi.
Non seulement les médecins utilisent des téléphones mobiles pour s’y connecter et communiquer des renseignements médicaux personnels, mais il y a aussi des ordinateurs portables et un nombre croissant d’appareils médicaux connectés à ces réseaux. Ceci augmente le risque d’attaques cybercriminelles.
De plus, les patients peuvent se connecter à ces réseaux WiFi, tout comme les visiteurs, et ils ont aussi besoin d’être protégés contre de nombreuses menaces, dont voici quelques-unes :
Attaque de type « Man-in-the-Middle »
L’une des menaces les plus courantes sur les réseaux sans fil est l’attaque « Man-in-the-Middle » ou MitM. Il s’agit d’une forme d’écoute clandestine qui utilise un principe très simple. Lorsqu’un utilisateur se connecte à l’internet pour envoyer des données d’un point A vers un autre utilisateur (ou un service) à point B, les pirates informatiques peuvent essayer de trouver des vulnérabilités dans le chiffrement de cette communication. S’ils y parviennent, ils peuvent s’immiscer entre les transmissions et accéder à des informations sensibles. Ainsi, ce que les deux utilisateurs pensaient être privé ne l’est plus.
Distribution de malwares
Les cybercriminels peuvent utiliser le réseau WiFi d’un établissement hospitalier comme moyen de propager des malwares qui seront ensuite capables de lancer divers types d’attaques frauduleuses massives. Pour ce faire, ils tenteront d’exploiter une faille de sécurité ou d’une faiblesse trouvée dans votre système d’exploitation ou votre logiciel. Ensuite, ils vont écrire un code malveillant pour cibler une vulnérabilité spécifique et injecter le malware sur votre réseau. Enfin, le malware peut envahir, endommager, voire mettre hors service tous vos ordinateurs, vos systèmes informatiques et d’autres appareils mobiles, ce qui pourrait nuire au bon fonctionnement et à la réputation de votre établissement.
Snooping, sniffing et phishing
Les pirates informatiques peuvent acheter des kits logiciels ou des appareils spéciaux pour leur permettre d’écouter les signaux WiFi. De cette manière, ils peuvent accéder à tout ce que votre personnel et vos patients font en ligne et visualiser les pages web entières qui ont été consultées, y compris les informations que les utilisateurs de votre réseau ont pu remplir pendant la consultation de ces pages. Ainsi, les cybercriminels peuvent avoir un accès non autorisé aux données de votre personnel ou de votre établissement (snooping) ; mener une attaque par reniflage réseau (sniffing) ou obtenir des renseignements personnels pour perpétrer une usurpation d’identité (phishing).
Points d’accès malveillants
L’objectif de la création de points d’accès malveillants est d’inciter les victimes à se connecter à ce qu’elles croient être un réseau WiFi légitime parce que le nom semble fiable ou similaire à celui de l’établissement hospitalier. Supposons que vous séjourniez dans le CHU de Montpellier est que vous souhaitiez vous connecter au réseau WiFi de l’établissement, dont le SSID légitime est « CHUMontpellierWiFi ». Vous pensez peut-être avoir sélectionné le bon réseau lorsque vous cliquez sur un autre SSID « CHUMontpelierWiFi », alors qu’il s’agit d’un hotspot malveillant mis en place par des cybercriminels. Une fois que vous aurez saisi vos identifiants de connexion sur ce point d’accès appelé « jumeaux maléfiques », les cybercriminels pourront accéder vos informations sensibles.
Désormais, le filtrage Internet et WiFi dans les hôpitaux n’est plus une option. Il doit faire partie de la stratégie de cybersécurité pour tous les établissements de santé.
Le filtrage Internet et WiFi dans les hôpitaux ne consiste pas seulement à bloquer les cybermenaces
Outre les malwares, les ransomwares, le piratage et le phishing, il existe d’autres raisons qui poussent les établissements de soins à mettre en place une solution de filtrage web et WiFi dans les hôpitaux.
Dans ces établissements, l’accès WiFi invité est fourni pour permettre aux patients et aux visiteurs d’accéder à Internet. Cependant, il n’y a qu’une certaine quantité de bande passante disponible. La solution de filtrage peut dans ce cas être utilisée pour restreindre l’accès aux services Internet gourmands en bande passante, en particulier lorsque le réseau est très utilisé.
Des contrôles temporels peuvent être appliqués aux heures de pointe pour bloquer par exemple l’accès aux sites de streaming vidéo. Ceci permet de s’assurer que tous les utilisateurs peuvent profiter d’une vitesse Internet acceptable.
Autres solutions de protection du réseau WiFi
Il existe une myriade de techniques et d’approches qui peuvent contribuer à sécuriser votre réseau sans fil et vos informations très sensibles. Voici quelques-unes des mesures que vous pouvez prendre votre établissement hospitalier :
Installez un réseau privé virtuel (VPN)
Un VPN peut s’avérer utile, car il rend difficile aux criminels de pénétrer dans votre réseau sans fil. La solution VPN fait appel à une technologie avancée qui permet de chiffrer le trafic réseau. Ainsi, vous pouvez vous connecter à un site web via le protocole sécurisé HTTPS. Cela signifie que vos identifiants de connexion, vos mots de passe, vos messages instantanés, les détails de votre carte de crédit et d’autres données sensibles sont chiffrés. Si vous installez et exécutez le VPN sur votre réseau, les pirates, les spammeurs et les fournisseurs d’accès Internet ne pourront pas surveiller ou intercepter les activités réalisées par les utilisateurs finaux sur le web.
Formez votre personnel
La plupart des pirates parviennent à pénétrer dans les réseaux grâce aux erreurs commises par les membres de votre personnel interne lorsqu’ils utilisent votre connexion sans fil. Par conséquent, il est essentiel de les éduquer sur l’importance de la sécurité informatique. Ils doivent être sur la sécurité du poste de travail, la détection de tentatives de phishing ou d’ingénierie sociale, la stratégie de mots de passe, la réaction en cas d’attaque cybercriminelle, etc.
Chiffrez les appareils portables
Actuellement, la plupart des hôpitaux permettent à leur personnel d’utiliser leurs propres appareils portables pour faciliter leur travail au quotidien, en adoptant le système BYOD (« Bring Your Own Device »). Pourtant, cela peut rendre votre réseau WiFi vulnérable aux menaces cybercriminelles, comme les violations de données dues à des pratiques négligentes de la part de vos employés. Bien entendu, il est impossible d’éliminer complètement l’erreur humaine, mais vous pouvez mieux protéger vos appareils et données en vous assurant qu’ils sont chiffrés. En même temps, vous devez mettre en place une politique stricte concernant le transport des informations sensibles en dehors des environnements de travail.
Archivez les données
Il s’agit d’une mesure très importante qui est susceptible de ne pas vous venir à l’esprit. Les pirates informatiques savent que, plus il y a d’informations sur votre réseau, plus il y a de chances qu’ils parviennent à percer ses systèmes de défense. Vous aurez donc intérêt à surveiller le stockage des données de votre personnel et surtout des patients, et à s’assurer qu’elles sont archivées. Des politiques strictes doivent être mises en place pour exiger la suppression de ces données en cas de besoin. En outre, vous devrez procéder à un audit précis des informations stockées par votre établissement de santé afin de bien comprendre ce qui est conservé sur vos systèmes internes.
Patchez tout
N’oubliez pas de maintenir à jour tous vos systèmes informatiques, y compris les dispositifs médicaux électroniques. De nos jours, tout peut être piraté. Il est donc vital de s’assurer que les correctifs de sécurité soient appliqués dès qu’ils sont disponibles.
Prenez au sérieux la sécurité fournies par les prestataires de services web
Pratiquement tous les établissements de soin et de santé utilisent désormais des services dans le cloud et font appel à des fournisseurs de services gérés pour assurer la sécurité de leur système d’information. Vous devez donc vous assurer que les données que vous confiez à ces tiers sont à l’abri des cybermenaces. Cela signifie qu’il faut examiner avec soin le système de sécurité proposé par votre prestataire en matière de cloud computing et de toute autre société impliquée dans la collecte, la manipulation et le stockage des informations critiques.
Enfin, il est important d’empêcher les patients, les visiteurs et les professionnels de la santé d’accéder à des contenus inappropriés en ligne. Le filtrage Internet et WiFi dans les hôpitaux devrait donc inclure un système de blocage des sites et des contenus pour adultes et tout autre contenu inapproprié ou illégal, tels que les sites de jeux ou de pari.
En adoptant une solution de filtrage Internet et WiFi, les établissements de soins et de santé peuvent garantir que les réseaux WiFi sont utilisés en toute sécurité par tous les utilisateurs, y compris les mineurs.
Comment sélectionner le filtre web pour votre hôpital ?
Lorsque vous allez sélectionner le filtre Internet pour votre hôpital, il y a un certain nombre de facteurs à prendre en compte suivant la nature et de la taille de votre établissement et le contrôle de l’accès Internet que vous voulez mettre en place pour le WiFi.
Il faut également examiner la conformité de la solution que vous allez adopter selon les réglementations en vigueur, comme l’HIPAA (Health Insurance Portability and Accountability Act) ou le RGPD (Règlement général sur la protection des données). Selon ces législations, le contrôle d’accès à Internet pour les établissements de soins et de santé devrait par exemple être facile à installer, à configurer et à maintenir. Le système de collecte, de traitement et de stockage des données personnelles est également soumis à des normes rigoureuses.
Le fournisseur de services de filtrage web doit s’engager à maintenir les listes noires et les logiciels à jour afin de garantir que votre filtre Internet fonctionne efficacement, sans aucune latence et avec une qualité de bande passante satisfaisante pour tous les utilisateurs du réseau WiFi.
Pour pouvoir restreindre l’accès à Internet et pour éviter la consultation des contenus web inappropriés, utilisez un filtre Internet qui est suffisamment flexible, qui dispose d’un haut degré de granularité et qui permet la restriction de l’accès par utilisateur, par groupe d’utilisateurs ou par plage horaire. Outre les filtres de catégories prédéfinies, le filtre doit aussi permettre de créer d’autres catégories personnalisées en fonction des politiques que vous souhaitez mettre en œuvre et appliquer.
WebTitan : une solution de filtrage Internet et WiFi simple pour les hôpitaux
« WebTitan Cloud » pour WiFi est une solution idéale et rentable pour le filtrage Internet et WiFi dans les hôpitaux. Il ne requiert aucune installation matérielle ou logicielle supplémentaire et n’affecte pas la rapidité de votre connexion. Basé sur le DNS, il est facile à paramétrer. Une modification des paramètres DNS suffit pour être à l’abri des menaces en ligne.
La solution WebTitan Cloud est hautement évolutive et peut être utilisée pour protéger un nombre illimité d’utilisateurs dans un nombre illimité d’emplacements. Plusieurs sites peuvent être protégés à partir d’une interface utilisateur web facile à utiliser. Des contrôles de contenu distincts peuvent également être définis pour différents emplacements, un utilisateur particulier, un groupe d’utilisateurs, les invités, les visiteurs et le personnel. Comme la solution est liée à Active Directory, le processus est donc à la fois simple et rapide.
WebTitan Cloud pour WiFi prend en charge les listes noires, les listes blanches et permet un contrôle précis du contenu par catégorie ou mot-clé. Il peut bloquer les sites destinés au phishing et ceux connus pour héberger des « exploit kits » et des malwares. Bref, cette solution basée dans le Cloud vous permet donc de contrôler tout ce qui se passe sur votre réseau WiFi.
Sécurisez votre réseau avant qu’il ne soit trop tard !
La technologie WiFi ne cesse d’évoluer et les établissements de santé, comme les hôpitaux, trouvent de nouveaux moyens plus créatifs d’exploiter cette technologie, car elle permet de révolutionner les prestations fournis aux patients et de rationaliser la gestion des soins de santé en général.
Comme indiqué plus haut, les hotspots WiFi constituent toutefois des cibles parfaites pour les escrocs et les pirates informatiques pour perpétrer leurs cybercrimes. S’ils parviennent à mettre la main sur les informations personnelles de votre établissement, de vos employés ou de vos patients, vous pourriez très bien être la prochaine victime d’un acte de piratage informatique.
Néanmoins, si vous suivez les règles simples que nous avons fournies dans ce dossier, vous pourrez améliorer grandement la sécurité du WiFi de votre hôpital, et les chances qu’un pirate s’introduise dans vos systèmes médicaux seront drastiquement réduites. Faites donc preuve de diligence dans ce domaine, car les attaques cybercriminelles ne cessent de croître, ce qui peut être extrêmement préjudiciable à la réputation et au fonctionnement de votre établissement.
Pour en savoir plus sur WebTitan Cloud pour WiFi : pour connaître les tarifs ou bien pour demander un essai gratuit de la solution, contactez l’équipe TitanHQ dès aujourd’hui.
