Comment vous protéger tout en travaillant avec des consultants

Comment vous protéger tout en travaillant avec des consultants

Les responsables ont pris l’habitude de travailler avec des freelances. Même une grande entreprise ne peut pas gérer toutes les tâches en interne, alors imaginez les petites entreprises qui, parfois, n’ont même pas les moyens d’embaucher une personne en plus. Pourtant, l’ajout de cette personne externe au flux de travail numérique de l’entreprise peut amener quelques risques informatiques supplémentaires, surtout lorsque vous travaillez directement avec la personne, sans passer par une agence.

Les dangers des messages entrants

Vous devriez d’abord penser aux éventuelles menaces lorsque vous recherchez le consultant parfait. Il est peu probable que vous décidiez d’embaucher quelqu’un sans avoir vu son portfolio. Le freelance peut vous envoyer un document, une archive avec tous ses travaux ou encore un lien qui ouvre un site tiers, et vous serez très certainement obligé de cliquer sur le lien ou d’ouvrir le fichier. Pourtant, ce site et ce document peuvent contenir tout et n’importe quoi.

Les chercheurs découvrent régulièrement des vulnérabilités dans les navigateurs ou dans les suites de bureautique. Plus d’une fois les cybercriminels ont réussi à prendre le contrôle des ordinateurs d’une entreprise en insérant un script malveillant dans un document de texte ou en intégrant le pack d’un exploit dans le code d’un site. Ces astuces ne sont pas toujours nécessaires. Certains employés sont prêts à cliquer et à ouvrir le fichier reçu, et à lancer l’exécutable sans faire attention à l’extension.

N’oubliez pas que les cybercriminels peuvent montrer un portfolio tout à fait normal (sans qu’il s’agisse vraiment du leur) et envoyer un fichier malveillant plus tard à la suite d’un travail. De plus, quelqu’un peut prendre le contrôle de l’ordinateur ou de la boîte de réception du consultant et s’en servir pour attaquer votre entreprise. Après tout, personne ne sait si le dispositif ou le compte du freelance est bien protégé, et votre système de sécurité informatique n’a aucun contrôle sur ce qui se passe dehors. Vous devez vous méfier de tous les fichiers reçus, même s’ils sont envoyés par quelqu’un avec qui vous travaillez depuis des années.

Les contre-mesures

Si vous devez travailler avec des documents créés en dehors de l’infrastructure de votre entreprise, il est crucial que vous mainteniez une bonne hygiène informatique. Tous les employés doivent connaître les principales menaces informatiques et c’est pourquoi il convient de les former en termes de sécurité. Pour vous aider, voici quelques conseils pratiques :

  • Établissez des règles strictes pour l’échange de fichiers, informez-en les consultants et n’ouvrez pas les fichiers s’ils ne respectent pas les normes établies. Une archive auto-extractible ? Non merci. Une archive dont le mot passe apparaît dans le même e-mail ? Cela ne devrait être nécessaire que pour déjouer les filtres anti-malware des e-mails.
  • Utilisez un ordinateur indépendant, isolé du reste du réseau, ou une machine virtuelle pour travailler avec les fichiers de sources externes, ou du moins pour les vérifier. Ainsi, vous pouvez réduire de façon significative les dangers potentiels en cas d’infection.
  • Vérifiez que cet ordinateur, ou cette machine virtuelle, dispose d’une solution de sécurité pour bloquer l’exploitation des vulnérabilités ou pour intervenir si vous cliquez sur un lien qui ouvre un site malveillant.

Les droits d’accès

Imaginons que vous ayez trouvé le spécialiste dont vous aviez besoin en externe. Pour participer à un projet, les consultants ont souvent accès aux systèmes de l’entreprise : plateformes de partage des fichiers, systèmes de gestion des projets, services de conférence, messageries internes, services Cloud, etc. Vous devez éviter de commettre deux erreurs : ne donnez pas trop de droits aux consultants et n’oubliez pas de révoquer l’accès une fois que le travail est fini.

Lorsqu’il s’agit d’autoriser l’accès, il vaut mieux suivre le principe de la séparation des privilèges. Un freelance ne devrait avoir accès qu’aux ressources dont il a besoin pour le projet en cours. Il peut être dangereux de donner un accès illimité au stockage des fichiers ou à l’historique des conversations. Ne sous-estimez pas les informations stockées dans les services auxiliaires. Selon plusieurs rapports médiatiques, le piratage de Twitter en 2020 a débuté lorsque les cybercriminels ont eu accès aux conversations internes de l’entreprise. Ils ont ensuite utilisé des méthodes d’ingénierie sociale pour convaincre un des employés de l’entreprise de leur donner accès à des dizaines de comptes.

La révocation des droits à la fin du projet n’est pas une simple formalité. Nous ne disons pas qu’une fois le travail fait le consultant va commencer à pirater votre système de gestion des projets. L’existence même d’un autre compte ayant accès aux données de l’entreprise est une menace. Et si le freelance a choisi un mot de passe faible ou a utilisé plusieurs fois le même mot de passe ? En cas de fuite, il y a un autre point d’entrée vulnérable au sein du réseau de votre entreprise.

Les contre-mesures

L’aspect le plus important est la suppression ou la désactivation du compte du freelance à la fin de la relation professionnelle. Vous devez au moins modifier l’adresse e-mail associée et le mot de passe. Cette étape peut s’avérer obligatoire avec les systèmes qui effacent toutes les données associées au compte. Nous vous conseillons aussi de :

  • Tenir un registre centralisé indiquant qui a accès à quoi. D’une part, cela va vous aider à révoquer les droits à la fin du projet. D’autre part, ce document peut s’avérer utile si vous devez enquêter sur un incident.
  • Demander aux consultants d’avoir une bonne hygiène numérique et d’avoir installé des solutions de sécurité (même gratuites) sur les dispositifs qu’ils utilisent pour se connecter aux ressources de l’entreprise.
  • Mettre en place l’authentification à deux facteurs sur tous les systèmes Cloud, dans la mesure du possible.
  • Construire une infrastructure indépendante pour les projets et les fichiers des consultants et des sous-traitants, si possible.
  • Faire une analyse de tous les fichiers téléchargés sur le Cloud ou sur le serveur de l’entreprise pour détecter un éventuel malware.