Le confinement imposé par la crise sanitaire oblige les entreprises à favoriser le télétravail quand cela est possible. Celles qui ne sont pas préparées à ce mode de travail se retrouvent du jour au lendemain à gérer les aspects techniques, financiers, organisationnels, réglementaires et sécuritaires. Ce dernier aspect est souvent négligé par manque de compétences ou de moyens. Une cyberattaque peut ruiner tous les efforts de mise en place du système, voire de l’entreprise entière.

Nous allons passer en revue les différents types de menaces et comment s’en prémunir techniquement, à la fois du point de vue de l’entreprise et du télétravailleur. A retenir, dans 90% des cas, les attaques se font par email !

Les principales menaces :

1. Hameçonnage (phishing)

Menace :
L’objectif est d’extorquer des informations confidentielles en se faisant passer pour un tiers de confiance (banque, administration…) ou un fournisseur habituel (site d’e-commerce, service de livraison, opérateur internet…). Ces menaces ne sont pas spécifiques au télétravail, mais bon nombre de ces tentatives surfent aujourd’hui sur la vague « informations Coronavirus ». Le risque est de se faire voler les identifiants pour accéder au système d’information de l’entreprise. C’est alors la porte ouverte aux autres menaces : rançongiciels, vols d’informations, sabotage… 

Bonnes pratiques :

  • Vérifiez l’authenticité de l’expéditeur : passez la souris sur l’adresse email de l’expéditeur et sur les liens proposés.
  • Vérifiez qu’ils utilisent les noms de domaine connus et habituels.
  • Ne répondez jamais par email à une demande d’informations confidentielles.

2. Rançongiciel (ransomware)

Menace :
L’objectif est de rendre vos données inaccessibles, doit en les chiffrant, soit en chiffrant leur accès, et ensuite vous demander une rançon pour obtenir la clé de déchiffrage. Le risque est donc l’arrêt de l’activité de l’entreprise ou des pertes de données. Cette attaque passe par une intrusion dans le réseau de l’entreprise.

Bonnes pratiques :

  • Mêmes précautions que pour l’hameçonnage :
  • Ne pas cliquer sur les liens et les pièces jointes inconnus non sollicités
  • Effectuez des sauvegardes régulières de vos fichiers sur des supports externes
  • Assurez-vous que votre système d’exploitation, vos logiciels et votre antivirus soient toujours à jour

3. Attaque par déni de service (DDoS)

Menace :
L’objectif est de rendre le site internet ou les serveurs de l’entreprise indisponibles en le saturant de requêtes.

Bonnes pratiques :
La lutte contre les attaques DDoS doit être intégrée en amont dans la politique de sécurité du système d’information : architecture résiliente, services cloisonnés, pare-feu. Dans le cas de l’attaque contre l’AP-HP qui a  eu lieu le 22 mars, les requêtes provennaient d’un pays hors Europe, il a suffi de filtrer ces requêtes. L’attaque n’a duré qu’une heure mais a mis à mal le service d’email et de télétravail.

4. Cyber-espionnage

Menace :
Si vous opérez dans un secteur sensible ou stratégique, vous pouvez être la cible d’une attaque à but d’espionnage. Contrairement aux attaques précédentes qui sont spectaculaires et visibles, le cyber-espionnage s’infiltre de manière discrète dans le système d’information pour accéder aux informations stratégiques en temps voulu.

Bonnes pratiques :
Les mêmes recommandations que pour l’hameçonnage et le rançongiciel

Quelques règles générales

Par rapport à une architecture classique sur site utilisant le réseau d’entreprise, le télétravail introduit de nouveaux points de vulnérabilité : la connexion internet personnelle du télétravailleur et parfois son ordinateur personnel. Pour se prémunir d’une manière générale contre les risques d’intrusion, quelques règles élémentaires sont à observer :

  • L’entreprise doit fournir aux télétravailleurs des ordinateurs ou des smartphones d’entreprise. Ceux-ci garantissent que les mesures de protection et les applications mises en place au sein de l’entreprise, et seulement celles-ci, seront utilisées.
     
  • Le télétravailleur doit utiliser l’ordinateur fourni par l’entreprise. Si l’entreprise ne vous a pas fourni d’ordinateur, soit parce que vous avez déjà l’habitude d’utiliser le vôtre en temps normal, soit parce vous êtes un prestataire, assurez-vous d’utiliser un ordinateur dédié au télétravail. En période de confinement, c’est une très mauvaise idée d’utiliser l’ordinateur familial sur lequel vous avez installé des jeux pour les enfants et l’accès aux réseaux sociaux. Celui a de plus forts risques d’être contaminé par des programmes malveillants.
     
  • Le télétravailleur doit s’assurer que son accès internet est sécurisé : un routeur à jour (en le rebootant), un accès au WiFi avec une clé en WPA2 au minimum, un filtrage par adresse MAC. Privilégiez une connexion par câble Ethernet. Si vous êtes amenés à vous déplacer, n’utilisez pas les WiFis fournis par les cafés ou autres lieux publics, préférez le partage de connexion de votre smartphone.
     
  • L’entreprise doit mettre en place une infrastructure de communication sécurisée, avec en premier lieu un réseau privé virtuel (VPN, Virtual Private Network) : c’est un tunnel de communication sécurisé entre l’entreprise et le télétravailleur qui permet de chiffrer la communication et de restreindre l’accès aux équipements autorisés.
     
  • Mettez en place une authentification unique (SSO, Single Sign-On) : elle permet de mutualiser les systèmes d’authentification aux services de l’entreprise et donc à la fois de simplifier et de renforcer la protection de l’accès.
     
  • Une authentification forte à double facteur : un mot de passe à usage unique (OTP, One Time Password) comme une clé envoyée par SMS, ou bien un authentifieur comme une carte à puce, un capteur biométrique, une clé USB. Même si le cybercriminel possède des identifiants valides et réussit à accéder au réseau, il lui reste cette dernière barrière matérielle à franchir.
     
  • L’entreprise peut également utiliser des outils pour améliorer la sécurité du télétravail : un service de protection Web DNS, un gestionnaire de mots de passe professionnel, le chiffrement des emails, un espace de stockage cloud privé

Toutes ces solutions techniques ne sauraient être efficaces sans une politique de gestion des mots de passe qui doivent être suffisamment longs et complexes, et en définitive sans une sensibilisation et une formation à la sécurité pour les télétravailleurs.