Télétravail et cybersécurité : que faut-il craindre ?

Rédaction

Dans le cadre de ses mesures de confinement, le Gouvernement a invité les entreprises qui le peuvent à systématiser le travail à distance. Cependant, le télétravail réduit le niveau de sécurité informatique des entreprises, car les salariés, moins vigilants, n’ont souvent pas les équipements adéquats et accèdent aux données de leurs entreprises par un réseau Internet vulnérable.

Pour Alexandre Lazarègue, avocat spécialisé en droit du numérique, « le télétravail fait ainsi peser des risques de cyberattaques pour les entreprises. Des groupes de criminels organisés sont à l’œuvre pour élaborer des attaques sophistiquées où ils peuvent agir à distance, rester anonymes et augmenter de façon exponentielle le nombre de victimes : création de faux sites de vente de matériel sanitaire, multiplication des escroqueries par courriel ou par SMS (fausses informations quant à des remboursements et crédits d’impôts mis en place par le gouvernement dans le cadre de la crise du Covid-19, fausses démarches de l’assurance maladie, etc.), mise en ligne de fausses cartes géographiques de propagation du virus dont la consultation entraîne le téléchargement d’un logiciel malveillant, envoi massif de messages d’information malveillants usurpant l’identité d’organismes de santé, campagnes fictives de dons au profit de personnels soignants, etc.) ».

Selon Alexandre Lazarègue, cinq risques du travail à distance doivent faire l’objet d’une attention particulière :
• Le rançonnage : des logiciels malveillants, une fois installés sur un PC, une tablette ou un smartphone, peuvent chiffrer les données stockées dans les espaces mémoires. Pour libérer ces fichiers, les cyber-kidnappeurs réclament une rançon.
• Le phishing et l’usurpation d’identité : il consiste à hameçonner les victimes via une pièce jointe de mail qui permet de voler les identifiants et mots de passe en trompant l’interlocuteur.
• L’espionnage : « C’est une menace sous-estimée par les PME qui pensent ne pas être dignes d’intérêt pour les officines ou agences en quête de secrets industriels, de savoir-faire exclusif, ou de travaux de recherche innovants. Il est pourtant fréquent et rendu possible par la vulnérabilité des logiciels non mis à jour », souligne Alexandre Lazarègue.
• L’atteinte à l’image numérique et à la crédibilité d’une entreprise : elle se concrétise, par exemple, par des défigurations de sites Web, des dénis de services, des exfiltrations et divulgations de données, des prises de contrôle à distance d’un système…
• La fraude au président : un escroc se fait passer pour un dirigeant de société et demande à un collaborateur d’effectuer un virement.

Le Clusif (Club de la sécurité de l’information français) vient de publier un dossier sur le télétravail et la cybersécurité (1). Ce document se focalise sur les aspects humains du télétravail et les nouveaux usages du numérique, en lien avec la cybersécurité. Ce nouveau mode d’organisation pose plusieurs questions : comment les DSI et RSSI s’assurent-ils de la compatibilité des missions en télétravail ? Quid du bien-être des collaborateurs et des risques psychosociaux qui les rendent plus vulnérables ? Ces nouveaux modes de travail impacteront-ils les processus de recrutement, d’intégration et les bassins d’emploi ? Comment les missions du RSSI évolueront-elles ? Risque-t-il de devenir le gendarme, garant de l’efficacité du télétravail ? « Le RSSI ne doit pas se transformer en « police » au service des managers ou en instrument de collecte des « preuves » du travail effectif (enregistrement des horaires de connexion, des volumes de surf à usage personnel, de l’activité sur le réseau, etc.) », expliquent les auteurs. L’étude du Clusif met en exergue plusieurs points de vigilance que les DSI et RSSI doivent gérer :

  • L’abus de ressources professionnelles pour des activités personnelles peut augmenter les comportements à risque.
  • Les risques SSI ne sont pas les mêmes selon le mode de travail : open space, flex office, espace de coworking, domicile, maison de campagne.
  • La complexité des solutions et l’incompréhension ambiante autour des nouvelles technologies rendent les personnes plus vulnérables aux fake news, solutions « magiques », social engineering. « La proximité avec les réseaux sociaux peut être un facteur aggravant : détachement de l’entreprise et communication non maîtrisée sur la crise gérée de l’intérieur, propension à s’épancher (victimisation). Ces comportements peuvent générer une atteinte à la réputation de l’entreprise », rappelle le Clusif.
  • Les réductions budgétaires sont un frein à la nécessaire évolution de l’outillage numérique pour son adaptation au télétravail.
  • Les personnes fatiguées, inquiètes, stressées sont des cibles plus vulnérables pour le social engineering.

Le Clusif formule plusieurs recommandations, par exemple :

  • Les supports SI et SSI doivent être particulièrement attentifs aux demandes des utilisateurs afin de ne pas rajouter un stress technique.
  • Les utilisateurs doivent être sensibilisés sur les risques du réseau familial et des équipements personnels (disque dur familial, clé USB, entre autres). Notamment, les échanges de périphériques USB entre les ordinateurs professionnels et personnels doivent être découragés.
  • Prêter davantage attention à l’utilisation d’outils non autorisés et au recours au shadow IT (partage de fichiers, e-mail personnel, etc.).
  • Adapter des modules de sensibilisation aux nouveaux usages pour aider les collaborateurs à mieux appréhender les nouveaux risques.

De son côté, l’Anssi, dans son guide de recommandation sur le nomadisme numérique (2), insiste sur la prise en compte de trois éléments dans la politique de sécurité des systèmes d’information (PSSI) : l’ouverture du SI de l’entité pour les accès distants, la maîtrise des nouveaux flux liés au nomadisme et la maîtrise des équipements de connexion des utilisateurs. « Le domicile à partir duquel un utilisateur fait du télétravail est à considérer comme un lieu non maîtrisé, car il est très difficile d’évaluer de façon pérenne l’environnement du point de vue de la sécurité. Ainsi, la principale caractéristique du nomadisme est le degré d’exposition de l’information, en raison de la localisation de l’utilisateur dans des lieux n’ayant pas les moyens de protection physique habituellement mis en œuvre dans les locaux de l’entreprise », souligne l’Anssi, qui préconise plusieurs bonnes pratiques.

(1) Télétravail, cybersécurité et collaborateurs : les nouveaux équilibres, Clusif, octobre 2020. Ce document est téléchargeable gratuitement sur le site du Clusif : www.clusif.fr.
(2) Recommandations sur le nomadisme numérique, Anssi. Document téléchargeable sur le site de l’Anssi : www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/

Dix bonnes pratiques pour se prémunir des cyberattaques

  1. Appliquer les mises à jour de sécurité sans délai pour les logiciels et les systèmes d’exploitation.
  2. Sauvegarder les données sur des supports non connectés aux machines (disque dur externe, clé USB).
  3. Protéger les accès et mots de passe, avec des restrictions d’accès, une gestion des droits et cloisonner les usages.
  4. Utiliser une connexion VPN (réseau Internet sécurisé) : un logiciel VPN crée un tunnel de connexion Internet qui rend ce qui transite à l’intérieur anonyme et incompréhensible pour des personnes extérieures. Il est évidemment fortement déconseillé de se connecter aux réseaux Wi-Fi publics.
  5. Mettre en place un protocole de vérification dans le traitement des e-mails : il ne faut jamais ouvrir des mails dont la provenance ou la forme est suspecte (expéditeur inconnu, style très impersonnel, texte visiblement traduit en français de manière automatique…).
  6. Ne pas utiliser ses outils informatiques personnels, mais privilégier les moyens professionnels sécurisés fournis par l’entreprise (téléphone, ordinateur, VPN, etc.).
  7. Mettre en place une charte informatique, document de portée juridique qui permet de fonder les sanctions disciplinaires, mais aussi civile ou pénale et qui peut être annexée au règlement intérieur.
  8. Mettre en place un protocole de vérification des coordonnées bancaires : les demandes de paiement, les factures doivent faire l’objet d’un contrôle de vigilance accrue à travers la mise en place d’un protocole de double signature et double vérification.
  9. S’assurer contre les cyberattaques, même si les assureurs exigent un socle minimal de sécurité pour assumer les risques.
  10. Prévoir des mécanismes de protection contre le vol (câble de sécurité, marquage visible du matériel, verrouillage automatique, chiffrement…).

Source : Alexandre Lazarègue, avocat spécialisé en droit du numérique.

Les quatre domaines de sécurisation

Toufeik Choukri, consultant et enseignant-chercheur en cybersécurité, rappelle les règles de sécurité applicables aux environnements de travail à distance :

  1. Sécuriser le poste de travail
    • Mettre à jour l’antivirus et les différentes options de l’outil (protection de la messagerie, du Web, etc).
    • Vérifier le Firewall local sur le poste de travail (notamment vérifier les règles les flux entrants).
    • Vérifier le durcissement du poste de travail (les paramètres de sécurité de l’OS et des outils).
  2. Sécuriser les données sur le poste de travail
    • Mettre en place un répertoire chiffré pour protéger les données sensibles (attention à ne pas perdre la clé).
    • Sauvegarder régulièrement les données.
    • Utiliser une solution cloud sécurisée, en cas de partage des données et de collaboration à distance.
  3. Sécuriser la connexion au SI de l’entreprise
    • Mettre en place une connexion au bureau (SI de l’entreprise) chiffrée VPN (protéger les credentials).
    • S’assurer que vous avez les services de filtrages des sites dangereux, si la connexion à Internet est directe.
    • Ne pas avoir en même temps la connexion au bureau (VPN) et la connexion directe vers Internet.
  4. Vérifier la sécurité du SI de l’entreprise
    • Vérifier que les habilitations sont à jour et valides (la présence physique au bureau ne vous protège plus contre les oublis des anciens comptes).
    • Vérifier qu’il n’y a pas de points d’accès au SI de l’entreprise de l’extérieur et non sécurisés (si vous blindez la porte d’entrée « VPN », ne laissez pas les fenêtres ouvertes).
    • Vérifier que vos sauvegardes sont opérationnelles.
    • Vérifier que vos serveurs sont cloisonnés.
    • Réaliser des scans de vulnérabilités pour s’assurer de votre niveau de sécurité.