Analyses Out-Law 5 min. de lecture
20 Apr 2020, 2:58 pm
La période de confinement liée à la pandémie de COVID-19 que nous vivons est sans précédent et bouleverse l’organisation de nombreuses entreprises.
Afin d’assurer la pérennité de leurs activités, celles-ci ont pour la plupart été forcées de mettre en place le télétravail : ce changement est loin d’être anodin pour la sécurité des systèmes d’information.
Jusqu’alors, les entreprises pouvaient penser que la sécurité de leurs systèmes d'information reposait largement sur leurs équipes internes spécialisées. En réalité, la sécurité des systèmes d'information a toujours été une responsabilité collective. Mais le confinement a clairement mis en lumière la responsabilité des télétravailleurs. Cependant, de nombreuses entreprises n’ont pas eu le temps de former et d’équiper leurs employés pour pratiquer le télétravail en toute sécurité et cette situation est une aubaine pour les cybercriminels.
Selon une étude menée en 2020, 19% des cyberattaques se soldent par une perte de données ou d’argent et 39% conduisent à des perturbations prolongées de l’activité des entreprises. Le télétravail qui s’impose actuellement aux entreprises est voué à s’installer dans la durée et les risques sont considérables pour les entreprises. Il ne faut donc pas attendre pour se saisir des problématiques de cybersécurité liées au télétravail.
Les campagnes de spear phishing (une attaque de type phishing destinée à une personne identifiée) ont connu une augmentation sans précédent depuis la fin février 2020. Deux motifs se cachent souvent derrière ce type d’attaque : le vol d’argent ou de secrets. Les cibles les plus courantes du spear phishing sont soit des employés de haut niveau qui ont accès à des informations potentiellement intéressantes, soit les employés de départements dont le travail consiste à ouvrir un grand nombre de documents provenant de sources externes. Les cybercriminels utilisent le coronavirus comme leurre afin d’inciter les destinataires à cliquer sur des liens infectés, en se faisant par exemple passer pour des hôpitaux ou des organismes caritatifs.
Les cybercriminels exploitent également la demande croissante de solutions logicielles de télétravail pour distribuer leurs outils malveillants. Ils peuvent les présenter comme des logiciels produits en collaboration avec ceux-ci ou exploiter les failles de sécurité présentes dans ces produits. Les nombreuses failles de sécurité dont souffrent les solutions de télétravail sont de plus en plus pointées du doigt; l’application de visioconférence Zoom a notamment été critiquée pour l’absence d’encryptage end to end des données visuelles et audio et des cas de hacking avec prise de contrôle du micro, de la webcam et de l’accès root en pleine visioconférence.
Afin de se prémunir contre les failles de sécurité des programmes utilisés pour le télétravail, des correctifs de sécurité sont très fréquemment publiés dans le bulletin d’actualité du CERT-FR.
La défense contre les attaques de type phishing ou ransomware nécessite l’éducation des utilisateurs aux mesures d’hygiène numérique.
Les risques liés à une cyberattaque dans le cadre du télétravail incluent le piratage de comptes professionnels, l’accès aux systèmes d’information de l’organisation, une intrusion sur le réseau de l’entreprise, une demande de rançon, des fraudes aux faux ordres de virement, le vol ou la destruction de données, l’espionnage et un potentiel arrêt de l’activité.
La CNIL et le Gouvernement à travers son site internet destiné à l’assistance et la prévention du risque numérique, cybermalveillance.gouv.fr, ont publié une liste de recommandations destinées aux entreprises mettant en place le télétravail. Ces recommandations visent à assurer la sécurité des systèmes d’information et comprennent notamment les mesures suivantes :
Des recommandations similaires de la part de la CNIL et du site internet Cybermalveillance.gouv.fr à l’attention des télétravailleurs ont également été publiées. Ces recommandations comprennent notamment les mesures suivantes.
Également écrite par Betty Jeulin