CARAPACE - Pour les cybercriminels de tous poils, l'épidémie de Covid-19 ressemble à une aubaine. En forçant les entreprises à généraliser le télétravail partout où c'est possible, et souvent en catastrophe, le virus les a rendues plus vulnérables à des attaques, elles et leurs employés. Pour s'en protéger, il faut un peu de technologie, et beaucoup de bon sens.
En arrivant aujourd’hui plutôt qu’il y a dix ou vingt ans, la pandémie a parcouru le monde à un moment où le haut débit et les smartphones se sont peu ou prou généralisés, tout comme toutes sortes d’outils de travail, de collaboration et de communication en ligne, bref, un arsenal technologique qui peut permettre de travailler de partout.
Le problème, c’est que le “tout à distance” ouvre des portes à toutes sortes de fraudes, de piratages auxquels il faut trouver des solutions. La fin de la proximité physique peut elle aussi être un problème. Pour se protéger des menaces les plus courantes, il y a des solutions technologiques côté employeur, et des réflexes à respecter pour le télétravailleur.
Des entreprises bien conseillées
Parmi les entreprises, il y a celles qui s’étaient préparées au télétravail, et puis il y a les autres… Si toutes avaient bien du s’y mettre, rares sont celles qui étaient prêtes à le généraliser si vite. Et sans même rentrer dans des détails techniques, le télétravail a, côté sécurité, des inconvénients évidents. En faisant travailler leurs employés chez eux, toutes abandonnent par essence deux barrières de sécurité importantes : d’abord la sécurité physique de leurs appareils, des ordinateurs qui sont d’ordinaire sous leur toit, mais aussi connectées au réseau interne de l’entreprise, plus facile à protéger que la connexion ADSL ou fibre du télétravailleur.
Lire aussi
Arnaques et escroqueries : "Les cybercriminels vont vouloir profiter de la situation" du coronavirus
Lire aussi
Coronavirus : les hôpitaux de Paris ciblés par une cyberattaque
Lire aussi
Cybersécurité : plus de neuf entreprises françaises sur dix pas prêtes en cas d'attaque
Le seul moyen simple de s’assurer que l’ordinateur du télétravailleur est bien protégé, c’est encore de le lui fournir. Surtout, vu que les murs de l’entreprise ne sont plus là pour jouer le rôle de contrôle d’accès, il faut mettre en place des procédures d’identification un peu plus serrées que d’habitude, avant de laisser le télétravailleur accéder aux outils, aux fichiers, et aux systèmes de l’entreprise. Des conseils de base qui ne sont que le début de ceux que déroule la CNIL dans un avis publié ce 1er avril, mais qui n’a rien d’une plaisanterie. En plus de ses conseils, le gendarme des données personnelles liste toutes sortes de ressources en ligne pour qui voudrait parfaire la protection de son entreprise sur les réseaux. Pour les publics plus techniques, le CERT - qui centralise les alertes de sécurité - avertit de failles plus spécifiques au télétravail, et des outils à déployer pour mieux se protéger.
Quand la faille se trouve “entre la chaise et le clavier”
Reste que tous les remparts techniques ne compenseront pas les mauvais réflexes de l’utilisateur, un facteur humain bien connu des professionnels de la sécurité, quand ils expliquent que le maillon faible du réseau se situe souvent “entre la chaise et le clavier”. Et c’est bien ce sur quoi comptent les cybercriminels. Parmi les dangers les plus courants aujourd’hui, les rançongiciels, ces logiciels malveillants qui peuvent crypter le contenu de toutes les machines qu’ils trouve sur son chemin, la vôtre mais aussi toutes celles du réseau d’entreprise auquel vous auriez accès en télétravail. Seul moyen de déverrouiller vos machines : payer une rançon, souvent fort chère, toujours en crypto-monnaie, et sans jamais l’assurance que vos données ne reviennent. Le rançongiciel, une maladie qui s’attrape en cliquant sans trop y faire attention sur un document ou un lien trouvé dans un mail, un mail qui peut tenter l’imposture en se faisant passer pour un autre collaborateur de l’entreprise. Faites-donc bien attention à l’adresse des gens qui vous écrivent, traquez le vrai/faux nom de domaine, et n’ouvrez rien qui vous mette, même juste un peu, la puce à l’oreille.
Une porte ouverte aux imposteurs
En dispersant les équipes, en éloignant les managers, le télétravail entrouvre aussi une porte à d’autres escrocs, pas forcément les plus geeks, mais souvent les plus ingénieux. Eux, ce sont les professionnels de “l’arnaque au président”, un imposture où l’escroc va tenter de se faire passer, de préférence au téléphone, pour un des dirigeants de l’entreprise, soit pour vous soutirer des informations, soit même pour faire opérer des virements frauduleux. Une arnaque facilitée par le télétravail : forcément, quand plus personne n’est au bureau, il devient soudain plus difficile d’aller pousser la porte de son manager ou d’appeler l’assistant du président pour vérifier une information ou une requête suspecte, autant de gens dont vous n’aurez pas toujours le numéro de mobile.
Rester connectés
La solution, qui peut aussi prévenir d’autres problèmes, c’est d’essayer de recréer, en mode virtuel, la proximité que l’on trouve dans un bureau physique. A la place de l’open-space, des salons de chat, par groupe de travail ou par équipe, un espace en ligne où vous pourrez vous tourner vers le groupe pour vérifier une information, ou avertir les autres d’une tentative de piratage.Nombre d’outils gratuits ou payants existent, mais ils devront pour être efficaces pouvoir fonctionner tant sur l’ordinateur que sur un smartphone, pour que le télétravail ne crée pas de l’incommunicabilité.
Prophylaxie de base
Même si l'essentiel de la sécurité du télétravail repose sur les épaules de l'entreprise, vous pouvez y prendre votre part, par des gestes simples, qui valent aussi pour votre propre sécurité en ligne. Rien que vous n'ayez probablement déjà entendu : faites bien les mises à jour du système de votre ordinateur, tablette, ou smartphone. Ce sont elles qui combleront les failles de sécurité les plus récentes, celles qu'utilisent justement les cybercriminels. Pensez aussi à vous déconnecter du réseau d'entreprise, du VPN aussi, quand vous n'êtes pas en train de travailler. Cela allégera la charge réseau de l'entreprise, et empêchera vos enfants d'envoyer des mails à vos collaborateurs, ou à votre patron. Enfin, allez faire un tour dans les options de configuration de votre routeur Wifi ou de votre box, pour vous assurer que votre connexion est bien protégée par un pare-feu. Mais surtout, en ces temps de télétravail, soyez un peu plus méfiant, un peu plus prudent, bref, ne soyez pas cette faille de sécurité, installée "entre la chaise et le clavier."