La situation dans laquelle le monde est plongé depuis quelques semaines a des effets sur tous les aspects de notre vie. Comme gestionnaires, nous tentons évidemment d’adapter les processus de nos équipes et de nos organisations pour faire face aux défis qu’impose un confinement forcé de la population. Dans cet article paru il y a à peine plus d’un an, je mentionnais entre autre l’importance de penser aux effets d’une épidémie et celle de penser à planifier le télétravail pour réduire les risques de contagion. Allons maintenant dans le détail des risques que représente le télétravail, mais aussi des risques qu’amènent les crises mondiales comme celle de la COVID-19.

Une opportunité pour fraudeurs en tous genres

Plusieurs phénomènes sont observés par les gouvernements, équipes de recherches et équipes de sécurité des organisations en ces temps de changements rapides. Mentionnons notamment les augmentations de courriels d’hameçonnages durant la pandémie (jusqu’à + 600 % d’augmentation) ou encore la mise sur pied massive de sites Internet frauduleux alors que des milliers d’adresses de domaines contenant des références au coronavirus ou à la COVID-19 sont achetés par des fraudeurs souhaitant – notamment – collecter des fonds ou vendre du matériel médical frauduleux.

Cela signifie que les gestionnaires doivent porter une attention particulière à deux risques spécifiques :

• que leur organisation soit ciblée par de l’hameçonnage ;
• que l’information de leurs clients soit compromise et utilisée par des voleurs d’identité.

Avec des employés travaillant seuls, isolés, il est plus important que jamais de les sensibiliser aux risques que leurs propres comportements peuvent représenter. On ne sensibilisera jamais assez nos équipes à exercer leur bon jugement avant d’ouvrir des courriels, des pièces jointes ou des liens vers des pages Internet. Prenez le temps de réitérer les attentes de l’organisation, soit par écrit ou encore lors de rencontres d’équipes virtuelles. Les risques sont réels et la dernière chose que vous souhaitez est certainement de gérer une crise de cybersécurité à distance en plus de tout le reste.

Par ailleurs, bien qu’il soit tentant d’être accommodant avec nos clients et de leur offrir des services / produits adaptés à leurs besoins en temps de crise, il ne faut surtout pas être tenté d’abaisser nos critères d’identification. Pour les gestionnaires responsables de centres de contact ou de conception de processus, il est fondamental de ne pas réduire les contrôles de sécurité. Le manque de supervision directe et l’isolement des employés en contact avec de la clientèle peuvent les amener à passer outre certaines procédures et les exposent à de l’ingénierie sociale de la part de fraudeurs qui profiteraient de ce contexte pour faire pression sur un employé. Assurez-vous de mettre en place des mesures d’escalade des cas problématiques faciles à comprendre et à suivre pour éviter que la solitude d’un employé ou son manque d’accès à des ressources mène à des erreurs coûteuses.

La crise mondiale : opportunité et pression, risques à l’interne

J’avais parlé du triangle de la fraude dans un article passé. Cette notion selon laquelle trois facteurs devaient se retrouver pour qu’un employé passe à l’acte et commette une fraude occupationnelle : opportunité, pression et rationalisation. Je le mentionnais plus tôt, le télétravail présente un risque significatif en raison de l’absence de supervision efficace des employés. On voit l’évidente opportunité que cela représente pour un employé. Sans supervision et avec des accès à de l’information sensible ou à des systèmes critiques, il peut devenir tentant d’en tirer parti : voler de l’information client, faire des modifications non autorisées, etc. Pour les gestionnaires qui supervisent des employés à distance, il est donc important de connaître les outils disponibles pour auditer les accès à ces systèmes. En l’absence d’outils de suivi adéquat, il faut rapidement remédier à la situation. Maintenant, une fois que ces suivis sont en place, l’approche à privilégier est, à mon avis, la dissuasion. Et pour y arriver, il faut clairement mentionner que les accès à des systèmes sensibles sont monitorés et analysés. Cette information devrait être partagée – sans aller dans le détail – avec tous les employés concernés. Ainsi ils ne percevront pas la même opportunité.

Ne perdons pas non plus de vue que la pression sera accrue sur plusieurs employés. Ils peuvent en effet craindre pour leur emploi ou vivre avec un conjoint ou une conjointe qui a déjà été mis(e) à pied. Cette pression financière accrue sur le ménage peut contribuer au passage à l’acte. Alors si les gestionnaires n’ont pas déjà tenté d’encadrer l’opportunité que représente le télétravail (et ainsi mitiger le risque que cela représente), on fait face à une situation dangereuse où il ne s’en faudrait de peu pour qu’un employé passe à l’acte. Bien que les organisations aient peu de pouvoir sur leur environnement externe, nous pouvons – comme gestionnaires – prendre des actions pour rassurer nos employés. Être transparent sur les mesures prises par l’organisation pour éviter les mises à pied, montrer plus de flexibilité ou mettre en place des programmes d’aide, tous ces gestes peuvent réduire la pression perçue par nos employés et réduire les risques pour notre propre organisation.

Conclusion

La situation de la COVID-19 soulève ses propres risques, mais également nous pousse à envisager des modes d’organisation du travail qui maintenus à long terme, hors contexte de crise, pourraient être bénéfiques. Le télétravail peut avoir des effets positifs sur la productivité de nos équipes et de nos organisations, mais il est essentiel de bien planifier cette transformation. Dans un contexte d’urgence, il faut garder un œil sur les risques les plus immédiats et les mitiger. Et également reconnaître les risques inhérents à la crise elle-même, qu’ils viennent de l’extérieur ou qu’ils soient des risques internes. Comme gestionnaires nous faisons face à des défis de gestion important en ne pouvant pas être en contact direct avec nos équipes. Il faut nous assurer que nos employés ne se sentent pas abandonnés, qu’ils ont les bons outils en main, et que nous travaillons activement à rendre nos organisations et nos processus sécuritaires. Une approche itérative permettra de nous adapter rapidement et de colmater les brèches au fur et à mesure, jusqu’à ce que les choses rentrent dans l’ordre et que nous puissions à nouveau adéquatement planifier et gérer notre changement. Et à ce moment, on ne pourra et on ne devra pas oublier qu’il y a des risques qui peuvent sembler abstraits, mais qui sont – au final – bien réels.