LE DOSSIER : Le télétravail remet la cybersécurité sur le devant de la scène

La crise du Covid-19 et le télétravail ont remis la cybersécurité sur le devant de la scène. La pandémie a poussé de nombreuses entreprises à privilégier le travail à distance pour maintenir leur activité. Une transition brusque qui comporte son lot de risques en matière de cybersécurité et pousse les sociétés à s’adapter à un modèle de communication à distance : mail, chat, vidéoconférence, tout cela sans la présence des équipes techniques. Dans ce contexte de travail à distance, les entreprises doivent réfléchir activement à des stratégies permettant de maintenir une cybersécurité adaptée à cette nouvelle « norme ». Les télétravailleurs ont besoin de flexibilité pour accomplir leur travail en toute efficacité, avec la possibilité d’accéder aux systèmes IT de l’entreprise quasiment à tout moment et en tout lieu.

Le télétravail multiplie les risques d’attaques envers les entreprises

93% des organisations françaises ont enregistré une hausse des cyberattaques depuis le début de la pandémie du Covid-19. C’est ce qui ressort d’une étude baptisée When The World Stayed Home* et publiée par Tanium, fournisseur de solutions de gestion et de sécurisation unifiées des postes de travail et serveurs. La majorité des dirigeants français interrogés (84%) s’estimaient pourtant prêts à adopter la pratique exclusive du télétravail, mais la quasi-totalité d’entre eux (98%) ont été pris au dépourvu par des problématiques de sécurité dans le cadre de cette transition.
Des problématiques au nombre de 3 aux yeux des dirigeants :
·          Identifier les nouveaux appareils personnels sur leurs réseaux (29%)
·          Assurer la surcharge des systèmes d’information liées à la saturation des VPN (21%)
·          Faire face à la recrudescence des failles de sécurité liés aux visioconférences (15%)
Les dirigeants français déclarent avoir observé une hausse des tentatives d’escroqueries après compromissions de messagerie professionnelle ou des transactions frauduleuses (34%), d’attaques ciblant des données sensibles (31%), ou de tentatives de phishing (30%).
Une autre étude récente menée par NortonLifeLock Inc.**, anciennement Symantec Corporation, révèle que 86% des salariés interrogés utilisent leur matériel informatique personnel — ordinateur, tablette, mobile — à des fins professionnelles. Et 42% d’entre eux ne mettent pas à jour leurs systèmes de sécurité régulièrement. Ainsi, l’accès aux données sensibles de l’entreprise depuis chez soi a de quoi effrayer les DSI qui doivent désormais composer avec cette nouvelle façon de travailler.

Le risque zéro n’existe pas !

Si les entreprises se sont adaptées tant bien que mal au contexte de la Covid-19, les pirates aussi. La pandémie les a poussé à adopter une nouvelle approche consistant à cibler les équipements personnels pour accéder aux systèmes professionnels. Pour cela, les pirates ont le plus souvent eu recours à des familles de logiciels malveillants déjà existants, parfois anciens et biens connus comme AveMaria principalement utilisé à l’encontre de grands groupes, ou NetWiredRC déployé à l’encontre de PME, plutôt que de développer de nouveaux outils plus performants. Ces malwares permettent aux pirates, entre autres, de prendre le contrôle à distance de la webcam d’un appareil, d’accéder aux mots de passe et de manipuler le système. L’objectif est d’identifier par exemple les applications les plus utilisées par les télétravailleurs ou celles qui n’ont pas été mises à jour et peuvent constituer une brèche.
Le risque zéro n’existe donc pas. Jamais. Désormais il y a une professionnalisation des attaquants, avec des mails soignés, sans faute orthographe. Les pirates peuvent intervenir à tout moment et de partout. Ils préfèrent attaquer des grosses structures qui ont les moyens de payer mais attaquer des petites structures, en plus grand nombre, c’est aussi rentable. Tout le monde peut être concerné, récemment, ce sont des collectivités locales, des mairies, Régions, conseils départementaux qui ont fait l’objet d’attaques. Il ne faut pas sous-estimer les risques de cybersécurité, c’est du 24/24, 7 jours sur 7. Et n’allez pas croire que votre pirate travaille aux heures françaises. Il est donc important pour les entreprises de mettre en place une politique de sécurité propre à ce nouvel environnement de travail.

Limiter les risques et remédier à la vulnérabilité des employés

Pour fonctionner, la cybersécurité a besoin d’équipements, de maintenance et d’investir en permanence pour s’adapter aux types d’attaques. C’est un peu comme une assurance. Pourtant au sein des entreprises, on a l’impression que cette dépense ne sert à rien et qu’on peut assumer le risque. Selon l’étude annuelle du CLUSIF***, seules 8 % des entreprises françaises ont un budget sanctuarisé pour la sécurité informatique. Pourtant, la cybersécurité doit être aujourd’hui une priorité absolue !
Pour protéger leurs ressources, les entreprises doivent avoir un niveau de sécurité en phase avec les enjeux et la sophistication des menaces, ce qui implique de mettre en place des protocoles plus évolués, du chiffrement, du durcissement d’architecture réseaux – serveurs afin d’éviter que les informations soient facilement interceptées par les cybercriminels. De plus, il est important de travailler sur l’expérience utilisateur. Il faut donc déployer une méthode avec le niveau de sécurité le plus élevé possible, mais qui réponde aussi aux attentes des consommateurs en termes de simplicité d’utilisation.
Aujourd’hui, le nerf de la guerre est bel et bien la question de l’authentification. L’utilisateur connecté doit pouvoir être formellement identifié de même que le « device » avec lequel il se connecte et les données auxquelles il a accès. Les seuls mots de passe ne suffisent plus et les principaux éditeurs de logiciels et spécialistes de la cybersécurité se lancent aujourd’hui dans de l’analyse poussée des comportements. De nombreuses solutions sont ainsi capables de détecter tout mouvement inhabituel et en conséquence de procéder à des vérifications d’identité supplémentaires. « Encore faut-il disposer d’une organisation qui utilise régulièrement ces outils, conclut formellement sur les actions à faire et les suit vraiment. En mot comme en cent : manager et gouverner son informatique selon les bonnes pratiques » souligne Frédéric Vilanova, président-fondateur d’Effective Yellow.
Au-delà de l’authentification, il convient également de catégoriser les données. Il est important de repérer les plus sensibles et de leur réserver un traitement particulier. Par exemple, on peut tout simplement en interdire l’accès à distance ou renforcer les mécanismes de sécurité qui les concernent.
Il est également nécessaire de sécuriser les flux pour éviter toute interception de données lors d’échanges entre l’ordinateur du salarié et l’environnement IT de l’entreprise. L’utilisation d’un VPN permet de créer une sorte de tunnel par lequel vont transiter les données qui peuvent être chiffrées si nécessaire.

Le maillon fiable : le collaborateur

Mais s’il est un élément faillible dans toute entreprise, ce sont bien les collaborateurs. Ainsi, il est primordial de sensibiliser les salariés aux enjeux de sécurité liés au télétravail : absence de mise à jour d’un antivirus, mélange des messageries personnelles et professionnelles, stockage de données de l’entreprise sur des plateformes publiques… Il est donc indispensable d’encadrer les usages notamment grâce à des chartes dans lesquelles seront détaillées les bonnes pratiques, les restrictions et les procédures à respecter.
‘’Le passage du jour au lendemain au télétravail a contraint les entreprises à effectuer des changements auxquels nombre d’entre elles n’étaient pas préparées’’, conclut Frédéric Vilanova. ‘’La recrudescence des cyberattaques et des failles critiques montre clairement que les entreprises sont encore loin d’une stratégie efficace et adaptée à l’environnement informatique de demain. Qu’elles adoptent définitivement le télétravail, choisissent de faire revenir leurs employés dans leurs locaux, ou optent pour un mélange des deux approches, il est clair que l’entreprise de demain sera basée sur un modèle à la carte. L’heure est donc venue de la gérer et de la sécuriser comme il se doit.‘’

 * L’étude When The World Stayed Home  a été réalisée par le cabinet indépendant d’études de marché Censuswide pour le compte de Tanium. Au total, 1 004 cadres dirigeants (PDG, DSI et Directeurs Techniques) d’entreprises du Royaume-Uni, des États-Unis, d’Allemagne et de France (250 personnes) ont été interrogés entre mai et juin 2020.

** NortonLifeLock Inc., anciennement Symantec Corporation est une société américaine fondée en 1982 spécialisée dans les logiciels informatiques.

***CLUSIF : Le CLUSIF, Club de la sécurité de l’information français, est une association indépendante de professionnels de la sécurité de l’information réunissant des Utilisateurs et des Offreurs de tous les secteurs d’activité de l’économie. La société Effective Yellow est membre du CLUSIF.
Etude sur les ‘’Menaces informatiques et pratiques de sécurité en France – Édition 2020’’.

YOUDO375LE DOSSIER : Le télétravail remet la cybersécurité sur le devant de la scène