Télétravail : comment protéger les entreprises contre la recrudescence des cyberattaques

Cette année 2020, déjà difficile sur le plan sanitaire et économique, sera à marquer d'une pierre blanche en ce qui concerne la cybercriminalité. Les attaques informatiques se sont multipliées, exploitant souvent des failles liées au travail à distance.

Le premier confinement a démontré la résilience d’une grande partie de nos entreprises portée par des équipes informatiques dévouées qui avaient comme seul objectif l’impossible mission de mettre en télétravail trois millions de collaborateurs… en quelques jours. Comme me le disait récemment une dirigeante d’une grande banque française, nos informaticiens étaient les mal-aimés, ils sont devenus nos sauveurs. Mission pleinement réussie. Au détriment de la sécurité ?

Un récent sondage mené par l’éditeur informatique Avira indiquait que 77% des Français n’auraient pas renforcé la sécurité de leurs postes informatiques. Ce chiffre interpelle alors que 55% d’entre eux travaillent depuis leurs ordinateurs personnels. Il pose d’autant plus question que 62% des employeurs n’ont pas fourni de solutions de cybersécurité à leurs collaborateurs.

Alors que les cyberattaques se sont multipliées depuis le premier confinement (+569% selon Interpol et +600% selon l’ONU), à quoi doivent s’attendre les entreprises ces prochains mois, tant en termes de risques que de conséquences. Et surtout, après avoir géré l’urgence, comment peuvent-elles maintenant se protéger efficacement, rapidement et à coût limité ?

Des menaces et des conséquences plus nombreuses que ce que l’on croit

Avec la massification du télétravail, la liste des menaces qui pèsent sur les entreprises s’allonge et les vulnérabilités sont de plus en plus nombreuses. Les pirates peuvent exploiter davantage de faiblesses et ces failles sont "faciles" : l’utilisation d’un VPN (virtual private network), la technologie la plus ancienne pour l’accès sécurisé à nos organisations, par un collaborateur depuis son ordinateur personnel qui serait infecté, est la porte ouverte immédiate sur un piratage massif de l’ensemble de l’organisation.

Les cyberattaques peuvent prendre plusieurs formes : les ransomwares, des logiciels malveillants qui prennent en otage les données de l’entreprise jusqu’au versement d’une rançon ; les attaques DDOS (ou attaque par déni de service) qui ont pour but de rendre indisponible un service et d'empêcher ses utilisateurs légitimes de l'utiliser ; les keyloggers, quelques lignes de code qui permettent d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur, pour récupérer, par exemple, ses mots de passe...

Les cyberattaques sont aussi plus sournoises : une entreprise ne sait pas forcément quand un intrus a pénétré son réseau, ce qui lui laisse tout loisir de préparer une attaque importante. Lorsque que la cible découvre l’intrusion, il est souvent trop tard et c’est toujours le signe d’une préparation incomplète.

Contre la cyber malveillance, la prévention est toujours une obligation, sans être suffisante en soi. En effet, une fois l’attaque découverte, ses conséquences peuvent être majeures. Si les entreprises peuvent être confrontées à une perte plus ou moins longue de leur activité ou au versement d’une rançon, elles peuvent aussi voir leur propriété intellectuelle piratée, être victimes d’intelligence économique, perdre des marchés importants, ou encore voir leur réputation entachée durablement.

Remettre en question les idées reçues pour se protéger

Pour aider à se prémunir contre le piratage, la prévention passe par une redéfinition des règles et des bonnes pratiques, et par la mise en place de "gestes barrières" de la cybersécurité. Nombre d’organisations privilégient aujourd’hui le maintien en condition opérationnel (ou MCS) ; elles doivent remplacer cette doctrine par le MCS - ou "maintien en conditions de sécurité".

Elles doivent également remettre en question les idées reçues et les réflexes comme, par exemple, l’utilisation du VPN en privilégiant des approches aujourd’hui reconnues comme le Zero Trust Network Access (ZTNA) donnant accès aux seules ressources utiles pour le collaborateur. C’est également le cas pour les modes et politiques d’authentification, certaines de ces politiques sont si contraignantes que les collaborateurs doivent noter leurs mots de passe pour s’en souvenir. Il est aujourd’hui possible de renforcer l’authentification sans contrainte supplémentaire pour l’utilisateur, par exemple avec l’intelligence artificielle permettant d’identifier un utilisateur en fonction de son comportement sur son poste de travail.

En résumé, les entreprises doivent trouver un équilibre entre une sécurité procédurière et une sécurité opérationnelle, et compléter leurs contrôles et leurs audits par des tests grandeur nature. Elles devront aussi repenser leurs plans de continuité d’activité pour entrer dans un fonctionnement de résilience by design, en intégrant la crise comme une situation maitrisable plutôt que comme un événement extérieur auquel il faut réagir.

Cette année 2020, déjà difficile sur le plan sanitaire et économique, sera à marquer d’une pierre blanche en ce qui concerne la cybercriminalité. Les attaques informatiques se sont multipliées (entre six et sept fois plus selon les sources) et, sans que cela soit une surprise, il est impossible d’attendre de la part de cyber-voyous une once de solidarité ou d’humanisme. Il faudra sans doute attendre plusieurs années avant de mesurer le réel impact de ces attaques - dormantes pour certaines - pour les entreprises et leurs collaborateurs.