Alors que la France a entamé la troisième phase de son déconfinement, le ministre de l’Economie et des Finances Bruno Le Maire a indiqué que le télétravail, sans pour autant qu’il devient la norme à terme, restait « souhaitable ». Selon Gartner, il est probable qu’au moins 41 % des employés travailleront à distance, du moins une partie de leur temps, une fois la crise terminée.
Avec cette nouvelle organisation, les entreprises sont davantage exposées au risque d’un piratage par l’intermédiaire de leurs collaborateurs à distance, intentionnellement ou non. Le défi majeur pour les services IT, aujourd’hui et au lendemain de la pandémie, consiste à réduire les risques liés au travail à distance et à garantir la sécurité des données et des ressources de l’entreprise. Les organisations devraient dès à présent accorder une attention particulière à plusieurs vecteurs de menace.
Les escroqueries inspirées du coronavirus
La situation de crise a rendu les employés plus vulnérables à l’escroquerie et au phishing car les cybercriminels exploitent l’intérêt porté au COVID-19 pour propager davantage de spams. En réalité, les domaines liés aux coronavirus sont 50 % plus susceptibles d’être malveillants que les autres, et ils sont utilisés dans les campagnes d’escroquerie afin d’inciter les utilisateurs à cliquer sur des liens malveillants. Nous observons également une hausse notable de la compromission des emails professionnels liée à la pandémie. Les fraudeurs, qui se font passer pour des chefs d’entreprise, tentent de persuader les employés de partager des données sensibles et de transférer des paiements de factures ou d’autres fonds.
Afin de protéger les employés contre ce risque, il est conseillé aux professionnels de la sécurité d’organiser des formations complètes sur la sécurité à leur attention et de les informer régulièrement des types de phishing les plus courants. En outre, il est essentiel de vérifier si chacun a bien intégré les principes de base et s’il a été attentif, et ce, en menant des simulations de phishing et en dispensant une formation supplémentaire aux employés qui n’ont pas réussi le test.
Du point de vue de la sécurité, il est primordial que les administrateurs de messagerie utilisent une passerelle pour intercepter les spams et le phishing avant qu’ils n’arrivent dans la boîte de réception d’un employé. Enfin, l’équipe chargée de la sécurité IT doit surveiller en permanence les comportements suspects des utilisateurs dans l’ensemble de l’environnement IT afin d’être en mesure de détecter une prise de contrôle de compte avant qu’elle n’atteigne des données sensibles ou un système critique.
Un équipement personnel non protégé, potentielle passerelle vers les réseaux d’entreprise
Le phishing peut être lourd de conséquences, mais son effet le plus immédiat est souvent une infection par un logiciel malveillant. Dans la mesure où de nombreuses entreprises se sont empressées de mettre en place le travail à distance, tous les services IT n’ont pas été en mesure d’acheter, d’installer et de distribuer en temps voulu de nouveaux ordinateurs portables professionnels. Nombreuses sont les organisations qui ont dû autoriser leurs employés à utiliser leur ordinateur personnel pour rester productifs. Cette situation a accru le risque de voir apparaître des ordinateurs infectés et sans protection sur le réseau de l’entreprise. Afin de limiter ce risque, les équipes de sécurité IT devraient adapter les politiques d’accès et les contrôles de détection, veiller à remplacer les équipements à la première occasion, ou au moins collaborer avec les employés pour déployer des solutions de protection au niveau des points d’accès.
La recrudescence des attaques de ransomware
L’un des logiciels malveillants les plus redoutés est le ransomware ; et nous constatons clairement une hausse des attaques avec ce type de logiciels. Si elles veulent être en mesure de les repérer, les organisations doivent procéder à un contrôle permanent de leur environnement IT et activer des alertes en cas de pics d’activité inhabituels dans les référentiels de fichiers. D’autres mesures proactives peuvent également jouer un rôle considérable : outre la formation continue indispensable des utilisateurs sur la manière de résister à la tentation de cliquer sur des liens vers des logiciels malveillants, les services IT doivent veiller à ce que leur politique de restriction des logiciels ne permette pas aux utilisateurs de lancer des fichiers exécutables. Enfin, les organisations devraient durcir leur politique d’accès aux données. Il s’agirait notamment de révoquer les droits d’accès excessifs et inadaptés, de transférer toutes les données sensibles vers des emplacements sécurisés dédiés, de vérifier qui accède à ces données et de contrôler l’escalade des privilèges. En comblant ces lacunes, elles seront en mesure de réduire considérablement les effets d’une attaque par ransomware et de la détecter plus rapidement.
Les pirates accèdent au réseau via le Wi-Fi
Les ordinateurs portables ou de bureau ne sont pas les seuls à comporter des risques accrus lorsque les employés travaillent à domicile. Les réseaux domestiques sont rarement configurés dans une optique de sécurité. Les cybercriminels peuvent également accéder aux données sensibles d’une organisation en infiltrant les réseaux Wi-Fi que les collaborateurs utilisent pour accéder aux systèmes de l’entreprise. Il est donc important de veiller à ce que les employés qui télétravaillent utilisent un VPN et des réseaux distincts pour leur activité professionnelle ainsi que pour leurs besoins personnels ou, tout du moins, n’utilisent pas le Wi-Fi public. Si les membres d’une entreprise ne connaissent pas ces règles élémentaires d’hygiène en matière de cybersécurité, ils risquent de donner aux pirates le contrôle de leurs appareils et de tout ce qu’ils y font – y compris l’accès aux données sensibles. Et malgré toutes ces précautions, si des cybercriminels parviennent à accéder au système, un contrôle régulier des comportements suspects permettra de détecter le coupable avant que son activité n’entraîne une faille de sécurité.
Les cyberattaques contre les VPN
Lorsque l’équipe IT passe en revue les points d’accès VPN et contrôle l’accès des employés, elle doit garder à l’esprit que les attaquants accordent également une grande attention à ces voies royales vers l’intranet. Les organisations doivent donc porter une attention particulière aux vulnérabilités des VPN, notamment en faisant leur mise à jour régulière, en s’assurant que les dispositifs d’infrastructure de réseau et les dispositifs utilisés pour se connecter à distance à des environnements de travail bénéficient des derniers correctifs logiciels et des dernières configurations de sécurité ; sans oublier la mise en œuvre de l’authentification à facteurs multiples. En outre, les stratégies d’atténuation devraient inclure la vérification des changements de configuration, des tentatives de connexion, des menaces de balayage et des dysfonctionnements du matériel afin de garantir une détection instantanée des attaques et une réponse immédiate.
Au sortir de la crise sanitaire, les entreprises vont certainement être plus disposées à permettre à leurs employés de télétravailler, au moins une partie de leur temps. Si bien qu’en plus de gérer les talents à distance, elles devront également maîtriser les risques de sécurité liés à cette nouvelle forme de travail. Les services IT devraient être prêts à s’adapter à cette nouvelle norme du point de vue de la sécurité. Et ils devraient commencer dès maintenant par adopter une approche pluridimensionnelle de l’atténuation des risques axée sur des efforts constants, afin de maintenir des habitudes saines en matière de cybersécurité et de contrôler ce qui se passe sur le réseau.
Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix
