L’économie indépendante se développe. Selon le dernier Office of National Statistics, le nombre de travailleurs indépendants au Royaume-Uni a augmenté de 213 000 pour atteindre 4,79 millions au cours des trois mois précédant septembre 2016, et 15,1 % de tous les travailleurs sont des travailleurs indépendants.
Ces chiffres ne sont pas surprenants. Après tout, nous voyons de plus en plus de personnes suivre ce chemin mois après mois. Les entrepreneurs démontrent clairement qu’ils jouent un rôle précieux en aidant les organisations à fonctionner. Cependant, il est important que les entreprises comprennent les risques liés à l’embauche de sous-traitants, et l’un de ces défis est la menace pour la sécurité des données.
2015 a été une année au cours de laquelle nous avons été témoins de nombreuses attaques très médiatisées dues à des oublis de sous-traitants et d’employés ou à des activités criminelles de personnes travaillant au sein de l’organisation. Et bien que les organisations aient consacré beaucoup de temps et de ressources à sécuriser leurs périmètres, les cybercriminels savent que le moyen le plus simple d’entrer dans une entreprise est de passer par des personnes employées directement ou indirectement par l’organisation.
C’est une source de préoccupation, comme l’a révélé le rapport 2016 Risk: Value de NTT Security, qui a révélé que 51% des décideurs d’entreprise pensaient que les sous-traitants / le personnel temporaire étaient le maillon de sécurité le plus faible au sein de l’organisation.
La vérification préalable à l’embauche est la base d’une bonne sécurité du personnel. Vérifie les informations d’identification des personnes qu’une organisation souhaite autoriser à accéder à leurs sites et informations et confirme qu’elles remplissent les conditions de l’offre d’emploi. Il va sans dire que la vérification de l’identité d’une personne et de l’authenticité de ses pièces d’identité est un élément clé du processus d’embauche des entrepreneurs.
Lorsqu’il s’agit d’embaucher du personnel contractuel, les employeurs doivent s’assurer que le processus n’est pas négligé et réservé uniquement aux travailleurs permanents. Certains des éléments les plus importants d’une culture de travail sont mis en évidence lors des programmes d’intégration, et s’ils ne font pas partie du processus, les sous-traitants se retrouvent sans ce contexte précieux et peuvent devenir moins efficaces et intégrés dans l’équipe.
Une fois qu’une organisation a sélectionné et intégré ses employés temporaires, elle doit examiner attentivement les systèmes auxquels elle donne accès aux personnes (et ce qu’elles peuvent faire avec cet accès). Dans de nombreux cas, les sous-traitants se voient accorder les mêmes droits d’accès que d’autres rôles internes similaires, mais sans examen des systèmes et des applications auxquels ils doivent accéder pour effectuer le travail pour lequel ils ont été embauchés.
Les entreprises doivent également se rappeler que, dans le monde, des milliers de personnes quittent leur emploi chaque mois, et nombre d’entre elles partent avec des mots de passe pour des applications professionnelles sensibles et peuvent accéder aux comptes de leur ancien employeur longtemps après leur départ.
Et cela ne s’arrête pas à la sélection d’un processus d’intégration. La meilleure défense contre les cyberattaques est une main-d’œuvre vigilante et bien informée. Les pirates savent que les employés et le personnel contractuel sont un maillon faible ; ils savent également qu’il existe un manque de sensibilisation à la sécurité dans de nombreuses organisations. Il est donc impératif que les organisations mènent des programmes de sensibilisation à la sécurité pour informer tous les employés, y compris les sous-traitants, des meilleures pratiques, de la sécurité des appareils mobiles à la sensibilisation à la sécurité lors des déplacements.
En résumé, il est essentiel que les organisations aient une plus grande résilience en comprenant pleinement leur exposition aux risques et en prenant les mesures recommandées pour combler les lacunes. Les processus, les procédures et la sensibilisation sont tous des ingrédients essentiels à l’atténuation des risques, ainsi que les bonnes technologies pour aider à protéger et à détecter toute activité malveillante. Notre rapport Global Threat Intelligence 2015 a souligné la nécessité pour les organisations de se concentrer sur l’adoption des bonnes mesures de sécurité de base. La mise en œuvre des fondamentaux qui contextualisent le risque est le fondement de tout plan de réponse cohérent et complet.
Les organisations devraient également bénéficier des progrès de l’analyse des données et se concentrer davantage sur la détection des anomalies. Les progrès de l’apprentissage automatique et les progrès de l’analyse du comportement des utilisateurs aideront les entreprises à identifier les comportements inhabituels qui pourraient indiquer un compromis.
Par Garry Sidaway, SVP Security Strategy and Alliances chez NTT Security