Cybersécurité et télétravail : difficile cohabitation

Afin d’assurer la pérennité de leurs activités, celles-ci ont pour la plupart été forcées de mettre en place le télétravail : ce changement est loin d’être anodin pour la sécurité des systèmes d’information.

Jusqu’alors, les entreprises pouvaient penser que la sécurité de leurs systèmes d'information reposait largement sur leurs équipes internes spécialisées. En réalité, la sécurité des systèmes d'information a toujours été une responsabilité collective. Mais le confinement a clairement mis en lumière la responsabilité des télétravailleurs. Cependant, de nombreuses entreprises n’ont pas eu le temps de former et d’équiper leurs employés pour pratiquer le télétravail en toute sécurité et cette situation est une aubaine pour les cybercriminels.

Selon une étude menée en 2020, 19% des cyberattaques se soldent par une perte de données ou d’argent et 39% conduisent à des perturbations prolongées de l’activité des entreprises. Le télétravail qui s’impose actuellement aux entreprises est voué à s’installer dans la durée et les risques sont considérables pour les entreprises. Il ne faut donc pas attendre pour se saisir des problématiques de cybersécurité liées au télétravail.

Les principales cybermenaces et risques liés au télétravail 

Les campagnes de spear phishing (une attaque de type phishing destinée à une personne identifiée) ont connu une augmentation sans précédent depuis la fin février 2020.  Deux motifs se cachent souvent derrière ce type d’attaque : le vol d’argent ou de secrets. Les cibles les plus courantes du spear phishing sont soit des employés de haut niveau qui ont accès à des informations potentiellement intéressantes, soit les employés de départements dont le travail consiste à ouvrir un grand nombre de documents provenant de sources externes. Les cybercriminels utilisent le coronavirus comme leurre afin d’inciter les destinataires à cliquer sur des liens infectés, en se faisant par exemple passer pour des hôpitaux ou des organismes caritatifs.

Les cybercriminels exploitent également la demande croissante de solutions logicielles de télétravail pour distribuer leurs outils malveillants. Ils peuvent les présenter comme des logiciels produits en collaboration avec ceux-ci ou exploiter les failles de sécurité présentes dans ces produits. Les nombreuses failles de sécurité dont souffrent les solutions de télétravail sont de plus en plus pointées du doigt; l’application de visioconférence Zoom a notamment été critiquée pour l’absence d’encryptage end to end des données visuelles et audio et des cas de hacking avec prise de contrôle du micro, de la webcam et de l’accès root en pleine visioconférence.

Afin de se prémunir contre les failles de sécurité des programmes utilisés pour le télétravail, des correctifs de sécurité sont très fréquemment publiés dans le bulletin d’actualité du CERT-FR.

La défense contre les attaques de type phishing ou ransomware nécessite l’éducation des utilisateurs aux mesures d’hygiène numérique.

Les risques liés à une cyberattaque dans le cadre du télétravail incluent le piratage de comptes professionnels, l’accès aux systèmes d’information de l’organisation, une intrusion sur le réseau de l’entreprise, une demande de rançon, des fraudes aux faux ordres de virement, le vol ou la destruction de données, l’espionnage et un potentiel arrêt de l’activité.

Les recommandations de sécurité pour la mise en place du télétravail

La CNIL et le Gouvernement à travers son site internet destiné à l’assistance et la prévention du risque numérique, cybermalveillance.gouv.fr, ont publié une liste de recommandations destinées aux entreprises mettant en place le télétravail. Ces recommandations visent à assurer la sécurité des systèmes d’information et comprennent notamment les mesures suivantes :

• Il est conseillé d’éditer une charte de sécurité dans le cadre du télétravail comportant un socle de règles minimales à respecter et de communiquer ce document aux collaborateurs. Il est en outre vivement recommandé de tenir les collaborateurs informés régulièrement des nouvelles cyberattaques recensées grâce à une newsletter interne à l’entreprise.

   

• Les postes de travail des employés en télétravail doivent être équipés au minimum d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants. Il est recommandé à ce titre de restreindre voire d’interdire l’utilisation du matériel personnel des employés à des fins de télétravail car de l’avis de l’ANSSI, cela ne permet pas de garantir la sécurité des systèmes d’information.

   

• La mise en place d’un VPN (« Virtual Private Network »), complétée par le chiffrement des connexions extérieures et d’un système de double authentification des utilisateurs est également à privilégier.

   

• Il est important pour les organisations de se tenir informées du recensement de nouvelles formes de cyberattaques en temps réel. Pour ce faire, le suivi régulier des alertes de sécurité publiées par le CERT-FR sera très utile ainsi que l’application des correctifs de sécurité proposés.

   

• Enfin, la tenue et la consultation d’un système de journalisation des activités des utilisateurs, des anomalies et évènements liés à la sécurité des systèmes d’information est plus que jamais cruciale. À ce sujet, la CNIL a précisé dans une fiche dédiée, les bonnes pratiques à adopter, telle que l’information des utilisateurs, et la notification de toute violation des données personnelles à la CNIL et aux personnes concernées en temps utile.

Les recommandations de sécurité pour les télétravailleurs

Des recommandations similaires de la part de la CNIL et du site internet Cybermalveillance.gouv.fr à l’attention des télétravailleurs ont également été publiées. Ces recommandations comprennent notamment les mesures suivantes. 

• Il convient de s’assurer du bon paramétrage de la box internet et du Wi-Fi grâce à un mot de passe fort. Il n’est pas toujours évident de trouver soi-même un mot de passe assurant un niveau de sécurité suffisant, c’est pourquoi la CNIL a mis en ligne un outil d’aide à la génération de mots de passe forts.

   

• L’utilisation des équipements fournis et contrôlés par l’entreprise est à privilégier ainsi que l’utilisation du VPN mis à disposition par l’entreprise. Concernant le VPN, les mises à jour ne sont pas à négliger et il faut garder à l’esprit que la sécurité des données stockées est mieux assurée depuis un VPN plutôt que depuis une messagerie électronique.

   

• L’utilisation d’un équipement personnel pour télétravailler est fortement déconseillée; si toutefois elle est inévitable, il est impératif d’installer sur cet équipement un antivirus et un pare-feu. L’utilisation de comptes personnels doit se limiter au strict nécessaire, toutes les applications doivent être protégées grâce à des mots de passe forts et il convient de veiller à la mise à jour régulière des systèmes d’exploitation et des logiciels utilisés (notamment le navigateur web et ses extensions).

   

• Les informations confidentielles requièrent une attention particulière et ne doivent pas être transmises lorsqu’elles ne sont pas chiffrées via des services grand public de stockage, de partage de fichiers en ligne, d’édition collaborative ou de messageries. Les systèmes de visioconférence qui protègent la vie privée sont à privilégier, dans ce cadre, la vérification des conditions d’utilisation de ces systèmes est essentielle.

   

• Enfin les télétravailleurs sont des cibles de choix pour les tentatives de phishing (ou « hameçonnage »), à cet égard, une vigilance toute particulière est donc de mise. Il convient de se méfier systématiquement des messages provenant de personnes inconnues, ou celles connues qui envoient une communication inhabituelle ainsi que de celles qui cherchent à créer un sentiment d’urgence ou de danger.

Également écrite par Betty Jeulin