Télétravail : comment limiter les risques de sécurité informatique pendant le confinement
Possible pour environ « un emploi sur trois », selon le gouvernement, le télétravail, qui n’avait « pas été anticipé » par nombre d’employeurs, qu'ils soient publics ou privés, connaît un boom en cette période de crise sanitaire. Sa mise en œuvre « non maîtrisée peut augmenter considérablement les risques de sécurité pour les entreprises ou organisations qui y recourent », avertissait, lundi 23 mars, Cybermalveillance.gouv.fr, qui décline sur son site une série de recommandations de sécurité informatique.
Car il est désormais clair que l’activité de cybercriminels s’est largement intensifiée. « Les cybercriminels vont chercher à mettre à profit la possible désorganisation et confusion des entreprises et organisations, ainsi que la dématérialisation des procédures qui en résulte, pour intensifier leurs attaques ».
L’hameçonnage - messages visant à dérober des informations confidentielles (mots de passe, informations bancaires) en usurpant l’identité d’un tiers de confiance - est l’une des plus fréquentes. Les attaques de ce type ont augmenté « de plus de 400 % », affirmait Jérôme Notin, directeur général du site Cybermalveillance.gouv.fr, à France inter le 31 mars, en raison du télétravail, qui incite les criminels à récupérer les données comme votre login ou votre mot de passe. Les vols de données ou les faux ordre de virement sont aussi monnaie courante.
Une politique d’équipement des télétravailleurs
Les collectivités, elles, sont notamment frappées par les rançongiciels, « des attaques qui consistent à chiffrer ou empêcher l’accès aux données de l’entreprise (ou de la collectivité) et à généralement réclamer une rançon pour les libérer » (lire Maire info des 31 janvier, 20 février et 24 mars).
Pour s'en prémunir, Cybermalveillance.gouv.fr préconise une douzaine de recommandations aux employeurs. La première consiste à « définir et mettre en œuvre une politique d’équipement des télétravailleurs ». Il s’agit concrètement de « privilégier l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise ». Lorsque ce n’est pas possible, il convient alors de « donner des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel) ».
Sécurisation des accès extérieurs, complexification des mots de passe
La maîtrise et la sécurisation des accès extérieurs sont également à ne pas négliger. « Limiter l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu » et « systématiser les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français) » sont autant de manipulations essentielles pour limiter les risques.
On ne le dira jamais assez mais le renforcement de la politique de gestion des mots de passe - « suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé » - peut s’avérer être un bon rempart à une attaque informatique à laquelle Cybermalveillance.gouv.fr conseille, quoi qu'il se passe, de se préparer. « La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera (…) L’évaluation des scénarios d’attaques possibles permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance… ».
Autres conseils encore : mettre en place « une journalisation de l’activité de tous vos équipements d’infrastructure », « durcir les sauvegardes de vos données » ou « utiliser des solutions antivirales professionnelles ». Pour aller plus loin, le site recommande la lecture d’un guide sur le nomadisme numérique, publié en octobre 2018 par l’Agence nationale de la sécurité des systèmes d’information (Anssi) (à télécharger ici).
Ludovic Galtier
Suivez Maire info sur twitter : @Maireinfo2
Suivez Maire info sur Twitter : @Maireinfo2