Nombreux sont les directeurs et responsables de la sécurité des systèmes d’informations qui dorment mal. Après avoir pris la décision de laisser partir leurs collaborateurs télé-travailler loin des systèmes maîtrisés et des environnements sécurisés, la crainte d’un incident est grande et le risque accru. Qu’il s’agisse de prémunir les travailleurs contre une attaque par ransomware qui les mettrait hors d’état de travailler, de prévenir la captation illégitime d’informations via des logiciels espions ou plus banalement d’éviter la perte des documents faute de sauvegardes, les travailleurs sont plus que jamais responsables de leur propre cybersécurité. Livrés à eux-mêmes et parfois contraints de trouver de nouvelles façons de communiquer et de travailler, leur vigilance est aussi bousculée par ces conditions de travail dégradées.
Il faut en tirer une leçon essentielle : la sensibilisation se révèle être la véritable clé de voûte de la cybersécurité. Si c’est le cas dans les conditions de travail habituelles où la crédulité et la négligence des utilisateurs sont les principales failles exploitées par les acteurs malveillants, ça l’est davantage en cette situation où chacun en est rendu à assurer lui-même la maîtrise de son environnement de travail. La différence se voit déjà entre les télétravailleurs avertis qui maîtrisent, par exemple, les risques liés à une connexion WiFi faiblement sécurisée ou les failles de certains services en ligne non autorisés par les entreprises, et les autres. Connaître, comprendre et savoir combattre la menace personnellement, sans l’assistance matérielle et humaine d’un service informatique compétent, est le véritable enjeu actuel.
On ne peut que recommander aux DSI, RSSI et aux managers les plus sensibilisés à ces questions d’en profiter pour diffuser massivement leurs connaissances et leurs expériences, derniers remparts contre les incidents de cybersécurité en l’absence de contrôle des utilisateurs. Pour rappel, voici 3 éléments fondamentaux à prendre à en compte pour télétravailler le plus sereinement possible :
1. Se mettre dans les bonnes conditions psychologiques. Car la situation est inhabituelle et dégradée, notre esprit peut être accaparé par divers facteurs de dispersion : nouveaux problèmes à gérer, espace de travail inconfortable à domicile et sollicitations permanentes de ses proches… L’attention s’en trouve réduite et la vigilance n’est plus constante. L’anxiété provoquée par la situation et alimentée par certaines informations peut aussi nous pousser à la faute (par exemple en cliquant sur un lien malveillant promettant de nous révéler une information inédite) [1].
Les hackers jouent sur ces failles : l’inattention, la dispersion, la curiosité, la peur, le besoin… Cette situation de crise doit donc être une situation de vigilance accrue, quitte à ralentir légèrement son activité et à consacrer plus de temps à la veille et à la diffusion d’informations sur les campagnes d’actes malveillants en cours. Chaque courriel, chaque lien, chaque sollicitation en ligne doit être perçue par les télétravailleurs comme par tout citoyen comme potentiellement à risque, a fortiori s’il s’agit de jouer sur les troubles provoqués par la crise sanitaire. Travailler dans de bonnes conditions de vigilance et de concentration en gardant à l’esprit que les risques sont plus forts qu’à l’accoutumée est donc la première recommandation à formuler. Qui m’écrit ce courriel ? Est-ce vraiment la bonne adresse ? Ce lien est-il suspect ? Cette information n’est-elle pas étrange ? Autant de questions qu’il faut prendre le temps de se poser pour éviter de tomber dans les pièges tendus par les hackers.
2. Les bonnes pratiques d’hygiène numérique sont plus que jamais valables. Utiliser des mots de passe robustes pour tous ses services (à commencer par sa connexion WiFi), être prudent dans ses téléchargements de documents ou de logiciels, réaliser des sauvegardes régulières, séparer autant que possible le personnel du professionnel… Les bases de l’hygiène informatique s’appliquent encore et toujours.
On ne peut que recommander aux utilisateurs fébriles qui douteraient de leur maîtrise des règles de base de prendre quelques minutes pour consulter les guides officiels produits l’ANSSI [2] (Agence Nationale de la Sécurité des Systèmes d’Information). Ceux qui ont plus de temps pourront même en profiter pour suivre le MOOC SecNum Académie [3] produit par la même institution et ainsi monter en compétence en matière de cybersécurité.
3. Utiliser des services de communication alternatifs est parfois une nécessité, mais il importe de bien les choisir. Certaines entreprises disposent en effet d’une messagerie interne indisponible pour certains télétravailleurs, qui se reportent donc sur des services comme WhatsApp, Telegram ou encore Discord. Des outils faciles à utiliser et très populaires, qui ne répondent cependant pas forcément à une forte exigence de confidentialité comme l’a révélé un récent incident : des conversations privées sur WhatsApp se sont retrouvées indexées par les moteurs de recherche, donc accessibles à tous [4].
En prenant grand soin de vérifier la légitimité et la fiabilité des alternatives qui s’offrent à nous, on peut profiter de l’occasion pour basculer vers des services mieux sécurisés et plus respectueux de la confidentialité, comme par exemple Tox, l’alternative libre et chiffrée au célèbre Skype, ou Olvid, la messagerie instantanée française « la plus sûre du monde [5] ». Car la souveraineté numérique est aussi un enjeu en cette période où les pressions et les déstabilisations sur les Etats affaiblis par la crise font rage.
Valentin Fontan-Moret
Consultant-Formateur en Intelligence économique
Il faut en tirer une leçon essentielle : la sensibilisation se révèle être la véritable clé de voûte de la cybersécurité. Si c’est le cas dans les conditions de travail habituelles où la crédulité et la négligence des utilisateurs sont les principales failles exploitées par les acteurs malveillants, ça l’est davantage en cette situation où chacun en est rendu à assurer lui-même la maîtrise de son environnement de travail. La différence se voit déjà entre les télétravailleurs avertis qui maîtrisent, par exemple, les risques liés à une connexion WiFi faiblement sécurisée ou les failles de certains services en ligne non autorisés par les entreprises, et les autres. Connaître, comprendre et savoir combattre la menace personnellement, sans l’assistance matérielle et humaine d’un service informatique compétent, est le véritable enjeu actuel.
On ne peut que recommander aux DSI, RSSI et aux managers les plus sensibilisés à ces questions d’en profiter pour diffuser massivement leurs connaissances et leurs expériences, derniers remparts contre les incidents de cybersécurité en l’absence de contrôle des utilisateurs. Pour rappel, voici 3 éléments fondamentaux à prendre à en compte pour télétravailler le plus sereinement possible :
1. Se mettre dans les bonnes conditions psychologiques. Car la situation est inhabituelle et dégradée, notre esprit peut être accaparé par divers facteurs de dispersion : nouveaux problèmes à gérer, espace de travail inconfortable à domicile et sollicitations permanentes de ses proches… L’attention s’en trouve réduite et la vigilance n’est plus constante. L’anxiété provoquée par la situation et alimentée par certaines informations peut aussi nous pousser à la faute (par exemple en cliquant sur un lien malveillant promettant de nous révéler une information inédite) [1].
Les hackers jouent sur ces failles : l’inattention, la dispersion, la curiosité, la peur, le besoin… Cette situation de crise doit donc être une situation de vigilance accrue, quitte à ralentir légèrement son activité et à consacrer plus de temps à la veille et à la diffusion d’informations sur les campagnes d’actes malveillants en cours. Chaque courriel, chaque lien, chaque sollicitation en ligne doit être perçue par les télétravailleurs comme par tout citoyen comme potentiellement à risque, a fortiori s’il s’agit de jouer sur les troubles provoqués par la crise sanitaire. Travailler dans de bonnes conditions de vigilance et de concentration en gardant à l’esprit que les risques sont plus forts qu’à l’accoutumée est donc la première recommandation à formuler. Qui m’écrit ce courriel ? Est-ce vraiment la bonne adresse ? Ce lien est-il suspect ? Cette information n’est-elle pas étrange ? Autant de questions qu’il faut prendre le temps de se poser pour éviter de tomber dans les pièges tendus par les hackers.
2. Les bonnes pratiques d’hygiène numérique sont plus que jamais valables. Utiliser des mots de passe robustes pour tous ses services (à commencer par sa connexion WiFi), être prudent dans ses téléchargements de documents ou de logiciels, réaliser des sauvegardes régulières, séparer autant que possible le personnel du professionnel… Les bases de l’hygiène informatique s’appliquent encore et toujours.
On ne peut que recommander aux utilisateurs fébriles qui douteraient de leur maîtrise des règles de base de prendre quelques minutes pour consulter les guides officiels produits l’ANSSI [2] (Agence Nationale de la Sécurité des Systèmes d’Information). Ceux qui ont plus de temps pourront même en profiter pour suivre le MOOC SecNum Académie [3] produit par la même institution et ainsi monter en compétence en matière de cybersécurité.
3. Utiliser des services de communication alternatifs est parfois une nécessité, mais il importe de bien les choisir. Certaines entreprises disposent en effet d’une messagerie interne indisponible pour certains télétravailleurs, qui se reportent donc sur des services comme WhatsApp, Telegram ou encore Discord. Des outils faciles à utiliser et très populaires, qui ne répondent cependant pas forcément à une forte exigence de confidentialité comme l’a révélé un récent incident : des conversations privées sur WhatsApp se sont retrouvées indexées par les moteurs de recherche, donc accessibles à tous [4].
En prenant grand soin de vérifier la légitimité et la fiabilité des alternatives qui s’offrent à nous, on peut profiter de l’occasion pour basculer vers des services mieux sécurisés et plus respectueux de la confidentialité, comme par exemple Tox, l’alternative libre et chiffrée au célèbre Skype, ou Olvid, la messagerie instantanée française « la plus sûre du monde [5] ». Car la souveraineté numérique est aussi un enjeu en cette période où les pressions et les déstabilisations sur les Etats affaiblis par la crise font rage.
Valentin Fontan-Moret
Consultant-Formateur en Intelligence économique
[1] Voir notamment : https://www.usine-digitale.fr/article/comment-les-hackers-surfent-sur-le-coronavirus-pour-multiplier-les-actes-malveillants.N940051
[4] Source : https://www.rtl.fr/actu/futur/whatsapp-vos-conversations-privees-sont-peut-etre-accessibles-sur-internet-7800149540
[5] Selon l’argument de ses créateurs.
Inscription Newsletter
