Cyber-attaques : comment se protéger à l'heure du télétravail pour tout le monde

En arrivant aujourd’hui plutôt qu’il y a dix ou vingt ans, la pandémie a parcouru le monde à un moment où le haut débit et les smartphones se sont peu ou prou généralisés, tout comme toutes sortes d’outils de travail, de collaboration et de communication en ligne, bref, un arsenal technologique qui peut permettre de travailler de partout. 

Le problème, c’est que le “tout à distance” ouvre des portes à toutes sortes de fraudes, de piratages auxquels il faut trouver des solutions. La fin de la proximité physique peut elle aussi être un problème. Pour se protéger des menaces les plus courantes, il y a des solutions technologiques côté employeur, et des réflexes à respecter pour le télétravailleur.

Parmi les entreprises, il y a celles qui s’étaient préparées au télétravail, et puis il y a les autres… Si toutes avaient bien du s’y mettre, rares sont celles qui étaient prêtes à le généraliser si vite. Et sans même rentrer dans des détails techniques, le télétravail a, côté sécurité, des inconvénients évidents. En faisant travailler leurs employés chez eux, toutes abandonnent par essence deux barrières de sécurité importantes : d’abord la sécurité physique de leurs appareils, des ordinateurs qui sont d’ordinaire sous leur toit, mais aussi connectées au  réseau interne de l’entreprise, plus facile à protéger que la connexion ADSL ou fibre du télétravailleur.

Le seul moyen simple de s’assurer que l’ordinateur du télétravailleur est bien protégé, c’est encore de le lui fournir. Surtout, vu que les murs de l’entreprise ne sont plus là pour jouer le rôle de contrôle d’accès, il faut mettre en place des procédures d’identification un peu plus serrées que d’habitude, avant de laisser le télétravailleur accéder aux outils, aux fichiers, et aux systèmes de l’entreprise. Des conseils de base qui ne sont que le début de ceux que déroule la CNIL dans un avis publié ce 1er avril, mais qui n’a rien d’une plaisanterie. En plus  de ses conseils, le gendarme des données personnelles liste toutes sortes de ressources en ligne pour qui voudrait parfaire la protection de son entreprise sur les réseaux. Pour les publics plus techniques, le CERT - qui centralise les alertes de sécurité - avertit de failles plus spécifiques au télétravail, et des outils à déployer pour mieux se protéger.

Reste que tous les remparts techniques ne compenseront pas les mauvais réflexes de l’utilisateur, un facteur humain bien connu des professionnels de la sécurité, quand ils expliquent que le maillon faible du réseau se situe souvent “entre la chaise et le clavier”. Et c’est bien ce sur quoi comptent les cybercriminels. Parmi les dangers les plus courants aujourd’hui, les rançongiciels, ces logiciels malveillants qui peuvent crypter le contenu de toutes les machines qu’ils trouve sur son chemin, la vôtre mais aussi toutes celles du réseau d’entreprise auquel vous auriez accès en télétravail. Seul moyen de déverrouiller vos machines : payer une rançon, souvent fort chère, toujours en crypto-monnaie, et sans jamais l’assurance que vos données ne reviennent. Le rançongiciel, une maladie qui s’attrape en cliquant sans trop y faire attention sur un document ou un lien trouvé dans un mail, un mail qui peut tenter l’imposture en se faisant passer pour un autre collaborateur de l’entreprise. Faites-donc bien attention à l’adresse des gens qui vous écrivent, traquez le vrai/faux nom de domaine, et n’ouvrez rien qui vous mette, même juste un peu, la puce à l’oreille.

En dispersant les équipes, en éloignant les managers, le télétravail entrouvre aussi une porte à d’autres escrocs, pas forcément les plus geeks, mais souvent les plus ingénieux. Eux, ce sont les professionnels de “l’arnaque au président”, un imposture où l’escroc va tenter de se faire passer, de préférence au téléphone, pour un des dirigeants de l’entreprise, soit pour vous soutirer des informations, soit même pour faire opérer des virements frauduleux. Une arnaque facilitée par le télétravail : forcément, quand plus personne n’est au bureau, il devient soudain plus difficile d’aller pousser la porte de son manager ou d’appeler l’assistant du président pour vérifier une information ou une requête suspecte, autant de gens dont vous n’aurez pas toujours le numéro de mobile.

La solution, qui peut aussi prévenir d’autres problèmes, c’est d’essayer de recréer, en mode virtuel, la proximité que l’on trouve dans un bureau physique. A la place de l’open-space, des salons de chat, par groupe de travail ou par équipe, un espace en ligne où vous pourrez vous tourner vers le groupe pour vérifier une information, ou avertir les autres d’une tentative de piratage.Nombre d’outils gratuits ou payants existent, mais ils devront pour être efficaces pouvoir fonctionner tant sur l’ordinateur que sur un smartphone, pour que le télétravail ne crée pas de l’incommunicabilité.

Même si l'essentiel de la sécurité du télétravail repose sur les épaules de l'entreprise, vous pouvez y prendre votre part, par des gestes simples, qui valent aussi pour votre propre sécurité en ligne. Rien que vous n'ayez probablement déjà entendu : faites bien les mises à jour du système de votre ordinateur, tablette, ou smartphone. Ce sont elles qui combleront les failles de sécurité les plus récentes, celles qu'utilisent justement les cybercriminels. Pensez aussi à vous déconnecter du réseau d'entreprise, du VPN aussi, quand vous n'êtes pas en train de travailler. Cela allégera la charge réseau de l'entreprise, et empêchera vos enfants d'envoyer des mails à vos collaborateurs, ou à votre patron. Enfin, allez faire un tour dans les options de configuration de votre routeur Wifi ou de votre box, pour vous assurer que votre connexion est bien protégée par un pare-feu. Mais surtout, en ces temps de télétravail, soyez un peu plus méfiant, un peu plus prudent, bref, ne soyez pas cette faille de sécurité, installée "entre la chaise et le clavier."