Alors que l'épidémie du coronavirus se poursuit en France, le télétravail devrait massivement se pratiquer dans les prochaines semaines afin de lutter contre la propagation du virus. C'est l'une des annonces d'Emmanuel Macron au cours de son allocution télévisée jeudi soir consacrée à la crise du coronavirus. Le président de la République a ainsi demandé aux entreprises de "permettre à leurs employés de travailler à distance" et d'"intensifier" la pratique du télétravail. Un changement d'organisation qui n'est pas sans risque pour la cybersécurité des entreprises.
"Si le télétravail est anticipé, il peut être complètement sécurisé, rassure Gérôme Billois, expert cybersécurité au sein du cabinet d'études Wavestone. Mais avec l'épidémie qui est en cours, le risque n°1 est l'ouverture soudaine et très large du télétravail, sans que l'entreprise n'ait pris le temps de déployer des mesures minimum de cybersécurité."
Et donc de créer des failles pour le plus grand bonheur des cybercriminels. "Les pirates continuent d'être attirés par les mêmes données qu'habituellement - des données personnelles ou des données bancaires, par exemple. En période de télétravail massif, il peut être plus simple pour eux de pénétrer numériquement l'entreprise", poursuit l'expert.
Déport d'écran et VPN pour compenser les failles du matériel personnel
Premier cas le plus évident : de nombreux salariés utilisent leur matériel personnel (PC, tablette...) pour leur activité professionnelle. "Or, il n'est pas sûr que les ordinateurs personnels soient assez sains pour effectuer du télétravail en sécurité. Bien souvent, ils ne disposent pas des mêmes mesures de protection que ceux utilisés dans les bureaux et en plus, il peut y avoir eu des activités comme le piratage de films ou de séries", souligne Gérôme Billois.
Dans ce cas de figure, "l'entreprise peut fournir des PC portables ou des stations d'accès à distance, mais vu les délais, cela peut être compliqué. A défaut, le déport d'écran est un moyen intermédiaire pour minimiser les risques."
Concrètement, cela passe par une application permettant au salarié de se connecter à son ordinateur professionnel, depuis son PC personnel. "Ainsi, les données restent stockées sur l'ordinateur professionnel. Toutefois, cela reste imparfait. Si l'ordinateur personnel est piraté, le cybercriminel pourra voir toute son activité professionnelle mais au moins, il n'aura pas accès directement à la base de données", souligne Gérôme Billois.
Pratique déjà très répandue, le recours à un VPN "Virtual Private Network" (en français, réseau privé virtuel) est fortement conseillé. Cette technologie permet de relier deux systèmes informatiques à distance via un "tunnel" virtuel. "Certains employés peuvent travailler via une connexion Wi-Fi publique (...) donc recourir à des VPN pour aider à maintenir leur connexion sécurisée", précise l'éditeur de logiciels McAfee.
Sécuriser ses mots de passe face à l'usurpation d'identité
Autre risque potentiel : les usurpations d'identité. "Il est extrêmement important de savoir comment les employés se connectent au système informatique de l'entreprise pour s'assurer qu'il ne s'agisse pas d'intrus", insiste l'expert. Aujourd'hui, les connexions reposent majoritairement sur un identifiant couplé à un mot de passe. Insuffisant.
"Une bonne pratique est d'instituer une authentification à deux facteurs, comme pour les paiements en ligne par exemple. Il est possible d'adresser aux salariés un code par SMS pour se connecter. C'est une mesure qui peut être mise en place en quelques jours", estime Gérôme Billois.
A défaut, il convient de revenir aux règles basiques de la cybersécurité. "Il faut demander aux employés de renouveler leurs mots de passe et d'en augmenter la complexité", précise-t-il. Sans oublier d'utiliser des mots de passe différents pour la sphère privée et professionnelle. "Le "bourrage de mots de passe" est une technique très répandue chez les cybercriminels. Elle consiste à pirater des mots de passe depuis des services grand public, comme des forums en ligne ou des sites commerciaux, pour tenter de se connecter ensuite aux services informatiques des entreprises", explique Gérôme Billois.
Attention aux arnaques par e-mails
Alors que beaucoup d'échanges importants vont être réalisés par e-mails, le télétravail est également propice aux campagnes de phishing ("hameçonnage", en français). Cette pratique malveillante consiste à infecter un ordinateur via l'envoi de e-mails contenant un virus en pièce jointe ou via un lien douteux. En se faisant passer pour une entité connue ou de confiance, les messages frauduleux incitent généralement à télécharger des pièces jointes afin de récupérer des données personnelles.
"Nous avons détecté des pirates qui tentent de profiter des craintes des gens, en prétendant vendre en ligne des masques de protection par exemple, pour les inciter à révéler leurs informations de carte de crédit", détaille McAfee. "Les employés ne doivent ouvrir aucune pièce jointe à un e-mail, ni cliquer sur des liens dont ils ne sont pas sûrs et les signaler immédiatement à la direction."
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés