Connexion Pro

Conseils pour votre quotidien d'entrepreneur

Télétravail en période de crise : se protéger contre la cybercriminalité

En cette période de confinement au cours de laquelle le télétravail est devenu la norme, les autorités ont constaté une recrudescence de la cybercriminalité. En cause ? Un changement significatif dans l'organisation du travail et une ambiance anxiogène due à l’épidémie de Covid-19, dont les pirates profitent pour attaquer particuliers comme entreprises. En tant qu’employeur, vous avez malgré tout les moyens de vous en prémunir ou, tout du moins,
d’en limiter le risque.

Au sommaire de l'article

Les 4 risques majeurs de cybermalveillance en période de crise

La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques. Des risques qu'il convient de comprendre pour mieux vous protéger.

1.  L’hameçonnage ou phishing

Considéré comme une forme de spam (message indésirable), le phishing est une technique qui consiste à envoyer un message à un internaute afin de dérober ses informations personnelles (identifiants de connexion, mots de passe, numéro de carte bancaire, etc.). Le plus souvent, l'utilisateur reçoit un email usurpant l'identité d'un tiers de confiance, comme un fournisseur d'énergie, une banque ou même un organisme public. En cliquant sur le lien, il se retrouve sur un site dupliqué, l’invitant à entrer ses informations confidentielles afin de les récupérer. 

L'hameçonnage – qui a bondi en même temps que le télétravail - peut présenter différents objectifs : avoir accès à la boîte email professionnelle, pénétrer dans le système d'information de votre entreprise, réaliser un faux ordre de virement ou encore installer un rançongiciel (voir ci-après). À titre d'exemple, de nombreux Italiens ont reçu un email semblant provenir de l'OMS (Organisation mondiale de la santé) et qui les invitait à télécharger un document présentant les précautions à prendre pour se prémunir « du grand nombre d’infections au coronavirus dans la région ». Le message était en réalité frauduleux et la pièce-jointe infectée(1).

(1) Source : Coronavirus : comment pirates informatiques et escrocs profitent de la pandémie - Le Monde – 2020.

2.  Le vol des données

Cette attaque consiste à pénétrer le réseau d'une entreprise ou son Cloud afin de voler ses données, soit pour lui réclamer une rançon, revendre les informations ou les diffuser afin de lui nuire. Pour cela, le pirate peut compromettre l’ordinateur d’un collaborateur – via le phishing par exemple - ou directement pirater le système de l'entreprise afin d'y avoir accès à distance.

Les sites liés au Covid-19 présentent un risque supérieur

Selon un expert de la cybersécurité, plus de 4 000 sites Internet portant sur le coronavirus ont été créés en l'espace de 2 mois. En comparaison d’un site lambda, ils auraient 50 % de chances de plus d'être malveillants et profitent du climat anxiogène actuel pour tromper les internautes(2).

(2)Source : Update: Coronavirus-themed domains 50 % more likely to be malicious than other domains - Check Point – 2020.

3.  Le rançongiciel ou ransomware

Les pirates peuvent également exploiter une faille de sécurité de votre système informatique ou inviter les télétravailleurs à télécharger une pièce-jointe malveillante. Cette fois, l’objectif sera différent : il consistera à installer un logiciel de rançon, ou rançongiciel, sur le réseau de l’entreprise afin de chiffrer les informations ou d'en empêcher l’accès. Le pirate vous demandera ensuite une somme d'argent afin de vous permettre de débloquer vos données.

Aucune organisation ne semble d’ailleurs épargnée par ce type d'attaque. Pour preuve, l'hôpital de Rouen en novembre 2019 a lui-même été victime d'une cyberattaque par ransomware, chiffrant la majorité des postes de travail et des serveurs informatiques, tout en empêchant l'accès aux applications métiers(3).

(3) Source : Retour d'expérience sur une attaque par rançongiciel au CHU de Rouen en novembre 2019 - Portail d'Accompagnement Cybersécurité des Structures de Santé – 2020.

4.  Les demandes frauduleuses

Moins courante, cette technique consiste à usurper l'identité du dirigeant ou d'une personne de confiance (comptable, fournisseur, prestataire, etc.) afin de demander un ordre de virement frauduleux. L’objectif pourra également être de faire modifier des renseignements bancaires – tel qu’un RIB par exemple – afin de détourner des paiements prévus (facture client, paie, etc.), voire même de réaliser une fausse commande.

En cette période de crise, le risque est plus élevé car la plupart des échanges ne se font pas en présentiel. En compromettant la messagerie d'un collaborateur ou même son téléphone portable, le pirate pourra ainsi usurper son identité pour réaliser ces demandes à distance, et ce, sans éveiller les soupçons.
 


MMAPRO_Livre-blanc-cyber-r-2.jpg

La cybersécurité est un ensemble d’outils, de techniques, de connaissances et de bonnes pratiques qui permettent de réduire au maximum les risques.

Comment prévenir le cyber-risque en entreprise ?
 

Découvrez notre livre blanc


Les bonnes pratiques de l’employeur

En l’absence de préparation, le télétravail peut constituer une menace majeure pour la sécurité de l’entreprise. Pour en limiter le risque, plusieurs solutions existent : 

Maîtrisez les équipements mis à disposition des télétravailleurs
Pour favoriser une meilleure sécurité, l’utilisation des équipements personnels de vos collaborateurs est déconseillée (ordinateur portable, Smartphone, etc.) pour accéder à distance aux infrastructures de l'entreprise (messagerie, système d'information, Cloud, etc.). En mettant à disposition des télétravailleurs des outils dédiés - dont vous aurez au préalable vérifié la sécurité -, le risque de piratage est moindre. Pour limiter le risque, il est préférable d’éviter d’utiliser les équipements professionnels à des fins personnelles (consultation de la boîte email personnelle, connexion à des sites, etc.) afin que toute attaque visant l’individu ne puisse remonter jusqu’à l’entreprise.

En l'absence d'équipements dédiés au télétravail, il est conseillé de redoubler de pédagogie - comme nous le verrons par la suite - afin de sensibiliser vos collaborateurs au risque de cybercriminalité. Il sera notamment important de sensibiliser sur la sécurisation et d'utilisation des ressources de l'entreprise. 

Sécurisez vos accès à distance
Pour plus de sûreté, il est conseillé de limiter les accès à distance aux ressources de l’entreprise à vos collaborateurs. Par précaution, il est également préconisé que toute personne disposant d’un accès puisse être identifiée individuellement afin de pouvoir remonter à la source d’une éventuelle attaque. En plus de filtrer les accès via le pare-feu de l'entreprise, il est préférable de compartimenter les accès aux différents systèmes afin de limiter le risque de propagation. Enfin, les systèmes qui ne nécessitent pas d'accès à distance - voire ceux qui présentent un caractère sensible – peuvent tout simplement être cloisonnés des autres ressources afin d’en interdire l’utilisation.

Dans la mesure du possible, invitez les télétravailleurs à se connecter aux infrastructures de l'entreprise via un VPN, ou réseau privé virtuel, afin de chiffrer toutes les connexions à distance. Cette mesure présente aussi l'avantage de limiter l'accès aux seuls équipements préalablement authentifiés et validés. Il sera aussi nécessaire, autant que faire se peut, d'allouer des ressources humaines à la supervision de l'activité à distance afin de repérer, dans les plus brefs délais, tout comportement « anormal » : connexion d'un nouvel utilisateur, accès en dehors des heures habituelles, connexion depuis une zone géographique inhabituelle, téléchargement d'un volume important de données, etc.

Vos mots de passe respectent-ils les critères de sécurité ?

Les mots de passe constituent votre première protection contre les attaques à distance. S'ils sont trop simples ou utilisés sur différents supports - tout particulièrement si l'utilisateur a le même mot de passe pour un usage privé et professionnel -, le risque d'usurpation est d’autant plus grand. Les mots de passe donnant accès aux différentes ressources (poste de travail, infrastructure réseau, etc.) doivent donc être uniques, complexes, longs et renouvelés plus ou moins régulièrement. Dans l'idéal, ils doivent comprendre des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Mettez à jour vos solutions de sécurité et de sauvegarde
Les failles de sécurité représentent un risque majeur car elles vont notamment faciliter l'intrusion d’un tiers. Pour s'en prémunir, il est recommandé d'installer des antivirus professionnels qui pourront détecter toute éventuelle attaque (cheval de Troie, hameçonnage, rançongiciel, etc.). S'il peut être judicieux d'utiliser des solutions différentes pour l'infrastructure réseau et pour les postes de travail, il est surtout vital d’en vérifier la mise à jour régulière, et ce, sur tous les supports de connexion (ordinateur portable, Smartphone, tablette, etc.).

Le risque zéro n’existant pas, nous vous recommandons de renforcer la politique de sauvegarde des données, tout particulièrement en période de crise. En plus d'être réalisée régulièrement, la sauvegarde nécessite d’être testée afin de vérifier son bon fonctionnement et déconnectée du réseau de l'entreprise – sur un disque dur externe par exemple - afin d'éviter qu'elle ne puisse être touchée par une attaque, tel qu'un ransomware par exemple. Vos solutions Cloud peuvent, elles aussi, présenter un risque. Vous devez donc vous assurer que votre fournisseur (messagerie, hébergement de données, etc.) garantit un niveau de protection suffisant, ainsi que des sauvegardes régulières et protégées.

Mobilisez toutes vos ressources
En cette période où le télétravail est légion, la moindre faille peut représenter un risque pour l'entreprise. Il est donc important de mobiliser toutes vos ressources - humaines comme organisationnelles - autour du respect des règles de sécurité.

  • Les télétravailleurs : parce qu’ils représentent le premier rempart contre les cyberattaques, nous vous conseillons de mettre en place une ou plusieurs séances de formation et de sensibilisation, pour adopter les bons comportements, comme nous le développons par la suite.
  • Les dirigeants : vous même en tant qu’employeur, ainsi que les autres responsables, avez la possibilité de transmettre la bonne parole et les bonnes pratiques de sécurité auprès de vos collaborateurs. 
  • L'entreprise : des processus à l'interne sont également à établir pour être en mesure de réagir en cas d'attaque. Cela passe notamment par l'évaluation des risques, la création d'un plan de continuité d'activité (PCA) tenant compte de la cybermenace et la définition de procédures à mettre en œuvre en cas d’attaque (blocage des accès, assistance d'un tiers, etc.).


Que faire si ne disposez pas des équipements ou des ressources nécessaires ?

Les ressources mises à disposition pour limiter les risques de cybermalveillance peuvent varier en fonction des entreprises. Pour les plus petites d’entre elles dont les moyens et les capacités sont réduits, plusieurs solutions existent pour mieux vous accompagner. 
Face à l’explosion du nombre de personnes en télétravail, les acteurs de la cybersécurité ont adopté des politiques commerciales en réponse à cette crise. 
Pour favoriser une meilleure protection en télétravail, nous vous conseillons dans un premier temps de consulter les best practices référencées par des agences de standardisation (ANSSI, CLUSIF, etc.). En réponse à la crise du COVID-19, la CNIL met également à disposition des fiches pratiques pour orienter les professionnels. 

En l’absence d’interlocuteurs internes appartenant au département de la sécurité de l’information, il est recommandé de faire appel à des prestataires dédiés, experts dans ce domaine. Ces derniers pourront ainsi installer à distance des logiciels de protection et vous accompagner sur les mesures à prendre pour plus de sûreté.

Pour protéger vos équipements pendant la période du télétravail,  plusieurs possibilités s’offrent à vous. Assurez-vous que vos collaborateurs soient équipés d’un pare-feu. Pour plus de sécurité, il s’agit ensuite de déployer un logiciel VPN, qui assurera la protection des équipements de vos salariés. Des licences gratuites, comme OpenVPN, sont disponibles et accessibles. Il est cependant recommandé d’utiliser des licences payantes, car celles-ci vous assurent un support en cas de problème. 

Enfin, pour les collaborateurs utilisant leurs équipements personnels, il est recommandé de passer par leurs boîtes mail et plateformes professionnelles pour travailler de manière plus sécurisée. 


La sensibilisation des télétravailleurs

Vos collaborateurs constituent à la fois la première protection de l’entreprise, mais également sa plus grande faille. Leur sensibilisation s’avère donc indispensable pour une pratique du télétravail vertueuse.

Sensibilisez les télétravailleurs au risque de cyberattaque
En cette période de crise où le risque de cyberattaque est accru, il est primordial de sensibiliser vos équipes aux risques que représente le télétravail. En effet, s’ils comprennent la menace et ses éventuelles conséquences, les télétravailleurs auront davantage de chances d'appliquer les consignes de sécurité que vous avez établies. Pour cela, il est donc important de faire preuve de pédagogie :

  • Présentez dans un premier temps les différentes techniques cybercriminelles (hameçonnage, rançongiciel, etc.) ;
  • Expliquez ensuite les répercussions d’un piratage pour l’individu, comme pour l’entreprise ;
  • Vous pouvez également donner des exemples pour illustrer votre propos et rendre la menace concrète (faux email de l’OMS, attaque du CHU de Rouen, etc.).

Pour vous aider à mieux communiquer auprès de vos collaborateurs, découvrez le kit de supports pédagogiques, informant des risques auxquels sont exposés les utilisateurs.

Définissez les bons comportements à adopter
Une fois conscients des risques, vos collaborateurs doivent connaître les pratiques à adopter pour s’en prémunir. Cela passe par la définition des gestes indispensables en période de télétravail :

  • appliquer strictement les consignes de sécurité de l'entreprise et ne pas s'en détourner, même en cas d'incompréhension de leur utilité ;
  • limiter les interactions entre usage personnel et professionnel, comme nous le développons par la suite ;
  • télécharger systématiquement les mises à jour de sécurité du logiciel antivirus et des équipements connectés (système d'exploitation, navigateur Internet, etc.) ;
  • utiliser régulièrement l'antivirus afin de scanner votre matériel ;
  • appliquer les règles établies par l’entreprise en matière de mots de passe (longueur, caractères, renouvellement, etc.) ;
  • sauvegarder systématiquement votre travail sur un support déconnecté ;
  • vérifier que votre connexion Wi-Fi est sécurisée (mot de passe, chiffrage, etc.) et faire un « reboot » régulier afin de la mettre à jour (redémarrage) ;
  • en cas de doute sur l'expéditeur d'un message, ne pas télécharger la pièce-jointe, ni même cliquer sur un lien ;
  • ne pas laisser vos équipements sans surveillance et ne pas en donner l'accès à un tiers ;
  • utiliser systématiquement les sites officiels - reconnaissables à la mention « https » dans l'URL - pour les téléchargements (application, contenu, etc.).

Illustrez votre propos par « l’arnaque à la fausse attestation »

De nombreux sites frauduleux ont été créés pour permettre de télécharger l'attestation de sortie, obligatoire depuis le 17 mars. Les particuliers ayant utilisé ces plateformes plutôt que celle du Ministère de l'Intérieur ont bien souvent téléchargé un programme indésirable ou ont vu leurs données personnelles collectées(4).

(4) Source : Coronavirus: les autorités mettent en garde face aux arnaques à l'attestation dérogatoire - Huffington Post - 2020

Limitez les usages personnels
En période de télétravail, le principal risque serait qu’un collaborateur soit piraté à titre privé, permettant ensuite un accès aux ressources de l’entreprise. Pour vous en prémunir, il est important d’expliquer aux télétravailleurs que l’usage des équipements doit être compartimenté. Si la mise à disposition d’outils dédiés est possible, il est nécessaire que vos collaborateurs ne les utilisent qu’à des fins professionnelles. En évitant par exemple de se connecter à sa messagerie privée ou à un réseau social, car cela permettrait au pirate de passer par ce biais pour lancer une attaque.

En l’absence d’équipements dédiés au travail, vous pouvez encourager les télétravailleurs sur les bonnes pratiques à mettre en place pour limiter les risques. En cas de doute ou de questions, vos collaborateurs peuvent également faire part de leurs remarques à leur interlocuteur du service des systèmes d’information de l’entreprise.  

Invitez vos collaborateurs à faire remonter l’information
En cas de doute sur l'authenticité d'un message - notamment d'un email -, il est important que vos collaborateurs puissent avoir le réflexe de transmettre l'information à une personne faisant office de référent et dont la cybersécurité est garantie. En son absence, il est nécessaire de systématiquement demander confirmation par un autre canal, idéalement via un appel téléphonique ou vidéo. Ce sont principalement les messages alarmistes, présentant un caractère étonnamment urgent ou inattendus qui doivent faire l’objet d’une plus grande vigilance.

Dans la même optique, il est fortement recommandé aux télétravailleurs d’éviter de transmettre du contenu « sensible » (coordonnées bancaires, identifiants, etc.) par voie électronique pour limiter le risque d'usurpation. En cas de suspicion de piratage, nous conseillons au collaborateur de stopper toute activité et contacter l'équipe de support par un moyen sécurisé ou permettant de s'assurer de l'identité de l'interlocuteur.