Une étude menée par le cabinet Forrester Consulting pour Tenable révèle que le télétravail est désormais une source de cyberattaques. Les projets informatiques lancés en urgence pendant la crise sanitaire ont donc accru le risque. Du point de vue du RGPD, le niveau de sécurité de l’entreprise et la gestion des violations de données sont l’enjeu majeur. On vous en parle sur ce blog.

Le télétravail, un nouveau vecteur de cyberattaques

En avril 2021, le cabinet Forrester Consulting conduit une enquête pour le compte de Tenable intitulée « Au-delà des frontières : l’avenir de la cybersécurité dans le nouveau monde du travail ». A ce titre, plus de 1300 responsables sécurité, dirigeants et employés en télétravail ont été interrogés dans le monde, dont 153 en France.

Le constat est simple. Pendant la crise sanitaire, beaucoup d’entreprises ont pris des décisions en urgence pour rendre possible le télétravail des équipes. Force est de constater que la cybersécurité a été mise de côté. Et ce bien que le confinement aura aussi été une période propice pour faire avancer ce sujet.

La conséquence ? Un élargissement de la surface d’attaque… et une hausse des cybermenaces. 70 % des responsables sécurité et des dirigeants ont attribué les récentes cyberattaques, dont leurs compagnies ont fait l’objet, aux projets lancés pendant la pandémie.

Ce défi s’ajoute à d’autres liés à la transition digitale des entreprises. Car la tendance est à basculer sur le cloud certaines fonctions stratégiques comme les ressources humaines, la comptabilité ou la finance. Ce mouvement aussi apporte son lot de risques.

Les télétravailleurs, une cible facile pour les pirates informatiques

Selon l’étude du cabinet Forrester, 65 % des entreprises sondées déclarent avoir connu une cyberattaque ciblant les télétravailleurs. Avec pour conséquence :

• le vol de propriété intellectuelle (42 %) ;
• des rançongiciels (39 %) ;
• des violations de données (37 %).

Ce n’est pas une surprise. Nous vous avons précédemment expliqué pourquoi il est crucial de vous pencher sur votre niveau de cybersécurité. Les années 2019-20 ont montré une expansion de la menace des cyberattaques.

• Les cyberattaquants ont diversifié leurs cibles. Ils recherchent notamment les infrastructures stockant des données sensibles. Les hôpitaux publics sont donc des cibles de premier choix mais aussi les PME exerçant une activité impliquant la manipulation de données de santé, par exemple.
• L’ingénierie sociale, vecteur de vulnérabilités. L’humain reste le maillon faible de la cybersécurité et les hackers l’ont bien compris. Ils utilisent notamment des techniques pour exploiter nos peurs et nos faiblesses. Le ransomware est donc sans surprise devenu une méthode courante.

Tout ceci explique que la cybersécurité associée au télétravail soit devenu un enjeu phare en 2021.

Former les télétravailleurs, un impératif pour préserver votre cybersécurité

L’étude menée par le cabinet Forrester montre un certain manque de connaissance des règles élémentaires de sécurité à respecter.

Or la priorité jusqu’ici a surtout été de prévoir les ressources de support nécessaires pour répondre aux questions qui ne manqueront pas d’arriver au jour le jour. Bien sûr, ces questions ont concerné les difficultés du quotidien pour utiliser les outils de l’entreprise, pas les mesures de sécurité à appliquer.

Et si votre entreprise réfléchit actuellement à un basculement complet en télé-travail, ces questions de ressources restent très présentes.

Assurer la sensibilisation et la formation du personnel constitue pourtant une des 10 pratiques à mettre en place pour sécuriser ses données.

Il s’agit d’informer les équipes pour qu’elles puissent assurer une bonne hygiène de sécurité. Et ainsi savoir par exemple :

• Comment envoyer des fichiers de données à des tiers autrement que par une pièce non sécurisée par e-mail ;
• Comment se connecter aux bases de données de l’entreprise autrement que par son ordinateur ou son téléphone personnel ;
• Comment réagir en cas de mail étrange invitant à télécharger une pièce-jointe ;

Gérer les violations de données, une priorité

Si votre entreprise détecte une violation de données personnelles, elle sera dans la plupart des cas tenue de la notifier à la CNIL. Ce qu’il s’agisse :

• d’une intrusion non autorisée par un hacker ;
• de l’envoi par erreur d’un fichier de données aux mauvais destinataires ;
• de la mise en ligne des données associées aux comptes utilisateurs des clients…

Le régulateur n’est néanmoins pas dans une approche répressive mais plutôt d’accompagnement des entreprises. La priorité est de s’assurer, en cas de survenance d’une attaque, comment l’entité contient ses effets et fait évoluer sa politique de sécurité.

A ce sujet, l’ANSSI et le Ministère de la Justice ont publié en 2020 un guide sur les rançongiciels. Et face à la multiplication des attaques de ce type, la CNIL a également publié un article.

Pour autant, dans certains cas, la CNIL a prononcé des amendes publiques pour réprimer des manques élémentaires :

• une violation des mesures de sécurité de base (l’absence de chiffrement https, une politique de mots de passe insuffisante…) ;
• l’absence de notification à la CNIL d’une violation pourtant documentée en interne.

L’accompagnement des entreprises n’est donc pas un quitus donné au laxisme.

Conclusion : Élevez le télétravail et la cybersécurité au même niveau de priorité

La mise en conformité RGPD des entreprises inclue l’installation d’une politique de sécurité respectant les standards actuels.

De ce point de vue, la digitalisation en cours des entreprises génère de nouveaux risques parce qu’elle élève la surface d’attaque potentielle. Installé dans l’urgence, le télétravail massif prolonge cette tendance dans un contexte où la sensibilisation à l’hygiène numérique reste insuffisante.

Il est donc essentiel de revoir le plan de sécurité en place. Et ce plan devra aussi traiter le risque de survenance d’une violation de données personnelles. En pareil cas, il sera attendu de savoir enquêter rapidement, notifier la violation au régulateur et prendre les mesures nécessaires pour contenir l’attaque.

Le Data Protection Officer est une ressource intéressante. C’est un des acteurs-clé pour la mise en place d’une politique de sécurité efficace.

Besoin d’aide ? Data Vigi Protection peut vous aider à passer ce cap délicat et à maîtriser le niveau de sécurité de vos traitements de données personnelles.

Article rédigé par Maxime Jaillet

Le mot de passe est mort, vive l’authentification sans mot de passe. Peut-être pas tout de suite mais pour améliorer votre cybersécurité, il vous faudra trouver des modalités d’authentification alternatives. Et il en existe diverses, avec leurs avantages et leurs inconvénients. Au fur et à mesure que ces technologies gagnent en maturité, il s’agit pour vous de les déployer progressivement dans vos applications. On vous en parle sur ce blog.

L’authentification sans mot de passe, la solution à tous vos problèmes ?

Il existe de nombreuses méthodes pour sécuriser l’accès à une application informatique interne ou à un compte utilisateur en ligne. Le mot de passe reste à ce jour la référence, ce qui est le plus communément utilisé.

Et pourtant, depuis les années 2010 notamment, cette approche ne cesse d’être critiquée :

• pour son impact négatif sur l’expérience utilisateur. Bien des internautes abandonnent en cours de route la création d’un compte utilisateur, découragés par la complexité de la politique de sécurité appliquée aux mots de passe.
• Pour les contraintes de gestion et de stockage qu’elle fait peser sur les équipes techniques. Sans parler des efforts nécessaires pour former les équipes en interne et les faire adhérer aux protocoles de sécurité à respecter.

Le gros des critiques se concentre sur la cybersécurité.

• Un mot de passe est considéré comme sécurisé s’il respecte des caractéristiques que la CNIL a identifié dans une recommandation. Elle en contrôle d’ailleurs régulièrement le respect, notamment sur les sites web. Or, paradoxalement, trop de complexité nuit à la sécurité. Elle amène les utilisateurs à multiplier les comportements dangereux. Laisser un post-it sur son bureau avec une liste de mots de passe, par exemple.
• Globalement, personne ne comprend l’utilité d’un mot de passe complexe. Pas étonnant qu’une fois de plus, les pires mots de passe (123456, password…) soient aussi les plus utilisés, selon le rapport publié par Nordpass  ;
• Ces dernières années, de très nombreuses attaques informatiques ont entraîné le vol de mots de passe. D’autant plus profitable que nous sommes nombreux à utiliser le même mot de passe pour sécuriser plusieurs comptes en ligne…

L’heure est donc à rechercher des alternatives valables, tant pour améliorer l’ergonomie et l’expérience utilisateur que la sécurité informatique.

En 2020, un rapport du World Economic Forum, rédigé avec l’Alliance FIDO, pointe à ce sujet l’authentification sans mot de passe comme « la prochaine avancée majeure en matière de transformation numérique ».

Qu’est-ce que l’authentification sans mot de passe ?

On demande à l’utilisateur (un client, un salarié) de s’authentifier pour accéder à son compte utilisateur ou à tel outil informatique interne. Jusqu’ici, concrètement, il devait saisir un identifiant et un mot de passe.

Il existe de nombreuses méthodes alternatives qui vont s’appuyer sur l’utilisation de clés de sécurité ou sur une reconnaissance biométrique du terminal. Par exemple, l’utilisateur peut :

• renseigner son adresse e-mail ou son SMS, recevoir un lien d’accès via lequel il sera authentifié sans fournir d’informations complémentaires ;
• recevoir un code à usage unique qu’il saisira sur un champ dédié à cet effet lors de son parcours d’authentification ;
• utiliser une carte d’accès. Il s’authentifie en insérant cette carte dans un lecteur dédié et moyennant la saisie d’un code Pin ;
• recourir à un dispositif biométrique. Il sera alors reconnu par son empreinte digitale, celle de son réseau de veines ou la reconnaissance faciale.

Toutes ces méthodes présentent de réels avantages mais aussi des inconvénients non négligeables. Les méthodes d’envoi d’éléments par e-mail ou SMS sont vulnérables face aux attaques de phishing. L’utilisation d’une carte d’accès est complexe et coûteuse, elle est difficile à généraliser.

Comment mettre en place un mécanisme d’authentification sans mot de passe ?

Il serait illusoire de penser que vous allez pouvoir basculer votre entreprise ou votre collectivité territoriale dans une démarche d’authentification sans mot de passe.

• Parce que les technologies utilisées doivent encore pour certaines d’entre elles faire leurs preuves, tant en matière de sécurité informatique que pour l’amélioration du parcours utilisateur ;
• Parce que le mot de passe est profondément ancré dans les habitudes de votre entreprise. Déshabituer tout le monde nécessitera un processus long et patient.

Votre objectif cible sera par conséquent plutôt de commencer à mettre en place de manière ponctuelle des méthodes d’authentification sans mot de passe. Et donc de l’imposer pour certaines solutions tierces, fournies par des sous-traitants.

En ce qui concerne l’existant, l’important est de s’assurer du niveau de sécurité des pratiques en place et de les améliorer, dans la mesure du possible :

• En vous assurant que la politique de mots de passe respecte les exigences de la CNIL ;
• En installant des solutions de type SSO (Single Sign-On) afin que les collaborateurs de l’entreprise utilisent les mêmes identifiants et mots de passe pour s’authentifier aux diverses applications qu’ils utilisent.
• En prévoyant lorsque possible une authentification à deux facteurs. La saisie d’un mot de passe s’accompagnera d’une action à partir d’un autre terminal (recevoir un code par SMS et le saisir par exemple).

L’authentification sans mot de passe est une tendance lourde portée par les grandes entreprises américaines. Après le rachat de Duo Security en 2018 pour intégrer l’authentification multi-facteurs à ses outils de sécurité, Cisco a ainsi annoncé intégrer une fonctionnalité d’authentification sans mot de passe dans Duo. Microsoft également a annoncé travailler à abandonner le mot de passe en 2021. Et il y a bien d’autres exemples.

Conclusion : Et si vous vous intéressiez à l’authentification sans mot de passe ?

Si abandonner les mots de passe est vite apparu comme une nécessité, c’est souvent resté un vœu pieux dans les entreprises.

Cela pourrait progressivement changer, notamment grâce à l’émergence de standards ouverts et grâce aux investissements des grands acteurs.

Pour votre entreprise, c’est une manière d’améliorer la sécurité informatique et notamment l’accès aux applications internes, l’authentification des clients et des utilisateurs en ligne. L’abandon du mot de passe a aussi un vrai intérêt pour améliorer les parcours utilisateurs. En interne, cela facilitera le quotidien des salariés utilisant les applications métiers.

Alors ? Etes-vous prêt à vous lancer ?

Article rédigé par Maxime Jaillet

C’est une immense fuite qui porte sur les données publiques de 533 millions de comptes Facebook. Près de 20 millions de français sont concernés. A l’origine, une vulnérabilité affectant la fonctionnalité d’imports de contacts que le réseau social propose aux utilisateurs. Désormais, les autorités de régulation ont ouvert des investigations. On vous dit tout dans cet article.

Fuite de données sur Facebook – Que s’est-il passé ?

L’affaire a été révélée par un tweet d’Alon Gal, cofondateur d’une société spécialisée dans la cybercriminalité, et largement médiatisée.

Un internaute a mis en ligne, sur un forum de discussion, une base de données portant sur pas moins de 533 millions de comptes Facebook, dont 20 millions de français. Au total, 106 pays seraient concernés.

Quelles données trouve-t-on dans la base ? Par exemple :

• Les Nom, prénom et date de naissance ;
• Le numéro de téléphone, l’adresse e-mail ;
• Le statut marital ;
• L’activité professionnelle.

En revanche, il n’y aurait pas d’informations financières, de données de santé ou de mots se passe.

Cette affaire montre à quel point la cybersécurité est désormais un enjeu crucial.

Cette fuite de données est une histoire ancienne. Elle avait en effet déjà été rapportée en 2019 par les médias.

Par la suite, les données ont circulé sur le Dark Net, dans un cadre confidentiel et restreint aux pirates. L’affaire ressurgit parce qu’elles connaissent une diffusion beaucoup plus étendue : la base de données a été intégralement et gratuitement mise en ligne sur des forums de discussion.

Qu’est-ce que le scraping et comment cela a-t-il rendu la fuite possible ?

Selon un post de Facebook, ces données ont été obtenues non pas en hackant le site mais par du scraping. Cette technique bien connue consiste à utiliser un logiciel pour aspirer automatiquement et piller des bases de données publiques. En l’occurrence les données rendues publiques sur des profils Facebook.

C’est l’import de contacts qui serait ici en cause. Tout utilisateur peut importer son carnet d’adresses et rechercher les profils Facebook de ses contacts.

Sauf que des individus malveillants auraient détourné cette fonctionnalité. Ils s’en seraient servis pour identifier des profils Facebook et collecter les données que les utilisateurs eux-mêmes ont rendu publiques, en fonction de leurs paramétrages de confidentialité.

Une vulnérabilité informatique a donc rendu possible ce détournement. Aujourd’hui, le réseau social considère cette affaire comme de l’histoire ancienne. Il déclare avoir corrigé la vulnérabilité en question en 2019. Et donc fait le nécessaire pour rendre impossible ce type d’agissements à l’avenir.

Les utilisateurs sont en outre invités à prendre des mesures pour améliorer la sécurité de leurs profils :

• changement des mots de passe ;
• actualisation des paramétrages de confidentialité pour modifier ce qui est rendu public ;
• basculement sur de la double authentification.

Quelles sont les conséquences de cette fuite de données sur Facebook ?

Quelques jours après la découverte de cette fuite, Facebook a publiquement déclaré qu’elle n’informera pas la base des personnes concernées de cette violation.

Ce car l’incident n’est pas dû à du hacking et qu’il concerne des données publiques. Le réseau social minimise aussi l’affaire en estimant qu’il s’agit de données anciennes.

L’impact est pourtant plus important qu’il n’y paraît :

• la base de données opère un rapprochement entre des numéros de téléphone et des profils Facebook, souvent nominatifs et donc bien réels. Elle offre par conséquent un véritable potentiel pour des attaquants informatiques qui pourront autant cibler directement ces personnes qu’usurper leurs identités.
• Quoique les faits soient relativement anciens, la base de données n’est pas périmée pour autant. Elle porte sur des données relativement stables, que l’on ne change pas souvent. Elle reste donc très intéressante aujourd’hui encore pour des hackers.

Les victimes de cette faille pourraient dès lors faire l’objet de cyberattaques en tous genres : Tentatives d’arnaques, piratage, usurpation d’identité…

Est-ce une violation de données ou non ?

Cette fuite de données peut-elle être considérée comme une violation de données au sens où l’entend le Règlement Européen RGPD ? Une violation de données désigne des accès non autorisés aux données à caractère personnel.

Pour le réseau social, il ne fait pas de doute que ce n’en est pas une. En tout cas, Facebook ne s’est pas sentie tenue de la notifier aux personnes qui en sont victimes.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a quant à elle rapidement pris une position inverse.

Quelles seront les suites de cette affaire ?

La Data Protection Commission (DPC) irlandaise a annoncé ne pas avoir été saisie spontanément par Facebook. Elle compte néanmoins mener des investigations en tant qu’autorité chef de file, une démarche à laquelle la CNIL compte participer. De son côté, l’Autorité de la protection des données (APD) belge a même recommandé aux citoyens belges de porter plainte.

La question se posera naturellement de savoir si Facebook aurait ou non dû notifier cette violation de données au régulateur.

Se pose aussi la question du respect par le réseau social de ses obligations de sécurité.

Quoique Facebook déclare avoir corrigé la faille en 2019, le site Datanews rapporte qu’en 2017 déjà, un hacker l’avait alerté à propos de sa fonctionnalité. Une telle alerte signifierait que le réseau social était au courant de la vulnérabilité et a attendu les « premières » fuites de données pour la corriger.

Conclusion : Affaire à suivre

Cette affaire montre qu’une fois découverte, une fuite de données peut avoir un important impact médiatique. Et donc un impact non négligeable sur votre e-réputation.

D’où la nécessité de travailler votre niveau de cybersécurité et de vous assurer que vos activités sont conformes à vos obligations en la matière. Cela inclut bien sûr le cadrage de vos sous-traitants.

Il reste à présent à attendre que cette affaire soit examinée par les autorités de régulation.

Et puisque l’on parle de fuite, dernièrement, le réseau social Linkedin en a également fait l’objet d’une, celle-ci portant sur les données de 500 millions de profils

Article rédigé par Maxime Jaillet

C’est une affaire incroyable qui occupe la presse en ce moment. Les données médicales de 500 000 personnes ont été dérobées, vendues puis mises en ligne sur Internet. La fuite proviendrait de laboratoires médicaux. Suite au retentissement médiatique de cette affaire, les autorités publiques multiplient les initiatives. Contrôles de la CNIL, plaintes, actions judiciaires… On vous dit tout dans cet article.

Les données médicales de 500 000 patients sur le dark web

Mi-février, le site Zataz repère une fuite de données médicales. Les données de 500 000 personnes ont été rendues disponibles en ligne, dans un fichier.

Ce fichier contient au total plus de 70 champs, incluant les données suivantes :

• Nom, prénom, adresse e-mail, adresse postale ;
• groupe sanguin, numéro de sécurité sociale ;
• les pathologies de certains patients (VIH, tumeur au cerveau…) ;
• les laboratoires ayant traité les données de ces patients.

Une base de données particulièrement sensibles par conséquent, et qui pourrait provenir de laboratoires. Elles concernent des analyses effectuées entre 2015 et 2020. La société Dedalus France a ainsi relevé que 28 laboratoires utilisant ses logiciels sont concernés par la violation de données.

Comment la fuite a-t-elle pu se produire ? Elle découlerait d’un transfert de fichiers de l’outil de cette société vers les serveurs internes aux laboratoires. Ces transferts auraient été interceptés par des hackers.

Initialement, les données auraient été vendues sur des forums de discussions spécialisés du dark web. A la suite d’un différend, l’internaute vendeur les aurait ensuite mises en ligne publiquement, par vengeance.

Les autorités publiques réagissent

L’Agence nationale de la sécurité ANSSI a déclaré avoir été alertée dès le mois de novembre 2020 de cette fuite et donc a débuté des investigations.

La CNIL aurait quant à elle en principe dû être prévenue par les organismes concernés. Cela n’a pas été le cas. Elle a pris connaissance des faits grâce à la presse et a donc annoncé en février 2021 mener des vérifications à son tour.

Elle a ainsi invité les entités à l’origine de la fuite de respecter les obligations légales applicables en matière de cybersécurité, à savoir :

• notifier la violation de données à la Commission Nationale de l’Informatique et des Libertés ;
• informer les personnes dont les données ont fait l’objet d’une violation.

Elle conduit en outre des contrôles qui pourront déboucher sur des sanctions en cas de manquement par les organismes concernés à leurs obligations de sécurité.

D’ores et déjà, la Présidente de la CNIL a saisi le tribunal judiciaire. Lequel a ordonné aux principaux fournisseurs d’accès à Internet de bloquer l’accès à un site mettant en ligne les données.

Sans surprise, cette affaire a conduit de nombreux particuliers à porter plainte. Une enquête judiciaire a d’ailleurs été lancée le 25 février. Elle a été confiée à l’OCLCTIC.

Affaire à suivre.

Article rédigé par Maxime Jaillet

Les attaques par ransomware se multiplient en France. Les pirates s’en prennent de plus en plus aux hôpitaux. Le centre d’Oloron-Sainte-Marie est ainsi l’une des dernières victimes en date. Rapport de l’ANSSI, contrôles de la CNIL, plan de lutte gouvernemental… Les initiatives se multiplient pour accompagner l’évolution de ce secteur sensible vers plus de cybersécurité. On vous dit tout dans cet article.

Ransomware – Après Dax, Oloron-Sainte-Marie

Les ransomwares ont fait une nouvelle victime. Cette fois, les pirates s’en sont pris au centre hospitalier d’Oloron-Sainte-Marie.

Que s’est-il passé ? Les hackers ont installé un ransomware. Ce fichier se charge de pénétrer le système d’information de la victime pour chiffrer les données, rendant leur accès impossible.

Bien souvent, il est envoyé sous forme de pièce-jointe par e-mail aux salariés travaillant dans l’entité concernée. Elles pensent par exemple télécharger une facture ou un bon de commande alors qu’elles installent un fichier malveillant.

En l’occurrence, l’accès aux données des patients ainsi qu’au stock de médicaments a été très perturbé. Et ainsi la mécanique économique de cette attaque peut se mettre en place.

Une rançon de 50 000$ a en effet été exigée en échange de la clé de déchiffrement. L’hôpital a annoncé officiellement qu’il ne paiera pas. Il a d’ailleurs porté plainte auprès de la gendarmerie.

En attendant que tout soit réparé, l’hôpital tourne au ralenti, au risque de devoir déprogrammer certaines opérations. Pour continuer ses activités, le personnel doit en effet revenir aux anciens procédés et au papier.

Les hôpitaux, cible privilégiée des hackers

Le développement des attaques reposant sur l’ingénierie sociale fait de la cybersécurité un enjeu toujours plus critique.

Si ces attaques gagnent en intensité depuis plusieurs années, les hackers convoitent des cibles particulièrement sensibles. Les hôpitaux, par exemple. Et de ce point de vue, le début de l’année 2021 a été riche en actualités. L’hôpital de Dax en a ainsi fait les frais. A Villefranche-sur-Saône, une autre attaque a entraîné le report de toutes les opérations chirurgicales.

Il faut dire que ces structures traitent une volumétrie importante de données particulièrement sensibles. L’ANSSI s’est toutefois inquiétée du niveau de sécurité de leurs systèmes d’information en publiant en février un rapport accablant.

Elle dresse ainsi des constats alarmistes :

• Les systèmes d’information peuvent être complexes, disparates et souvent obsolètes ;
• Les interconnexions sont nombreuses avec des outils tiers, en provenance de partenaires ou d’entreprises externes ;
• Le budget alloué à la cybersécurité est parfois sacrifié ;

Vaut-il mieux payer les hackers ? L’impératif de la continuité d’activité pourrait pousser certaines victimes à le faire pour obtenir la clé de déchiffrement des données. Et pourtant, cela ne garantit pas que les ennuis cesseront. Il est donc recommandé de ne pas céder aux demandes des pirates.

La cybersécurité des hôpitaux, une priorité

En février 2021, le Gouvernement a annoncé un plan visant à renforcer la sécurité informatique des hôpitaux comprenant une enveloppe de 350 millions d’euros.

L’accent sera mis sur l’audit et la formation. En revanche, le remplacement des infrastructures informatiques existantes n’est pas à l’ordre du jour.

Du côté de la régulation, les données de santé et la cybersécurité font partie des thématiques prioritaires des contrôles qui seront initiés par la CNIL pendant l’année 2021.

La Commission Nationale de l’Informatique et des Libertés en profitera pour s’intéresser aux stratégies mises en œuvre pour se prémunir des attaques par ransomware.

Article rédigé par Maxime Jaillet

La sécurité informatique a-t-elle une place suffisante dans la stratégie de votre entreprise ? La crise du coronavirus n’est pas que sanitaire ou économique, elle révèle les vulnérabilités informatiques voire l’importance de remettre à plat sa politique de sécurité des systèmes d’information. Les raisons ne manquent pas : travail à distance, menaces cybercriminelles, transition vers le digital…

La sécurité informatique menacée par le travail à distance

De nombreuses entreprises se sont adaptées à la période de confinement en organisant, au moins partiellement, la poursuite de leurs activités à distance.

Dans un premier temps, l’urgence a été de prendre en charge ce défi technologique complexe. L’heure est maintenant à évaluer les impacts sur le niveau de sécurité informatique.

Chaque entreprise est en effet en principe tenue de mener une analyse des risques, d’identifier les plus sensibles et prioritaires d’entre eux et d’y répondre par la mise en œuvre de mesures de sécurité techniques et organisationnelles. Or si les éléments de base d’une politique de sécurité informatique ne sont pas en place, l’activation à distance d’un poste de travail en mettra en exergue les vulnérabilités. Et elles peuvent être nombreuses dans le cas du nomadisme généralisé :

• Les attaques informatiques peuvent prendre la forme notamment d’une intrusion via les ports des postes de travail des collaborateurs ;
• Face aux menaces, les équipes de sécurité devront rester réactives alors qu’elles sont éclatées et contraintes de coopérer à distance.

La continuité d’activité fragilise la sécurité informatique

Le télétravail généralisé peut aussi inciter à des conduites à risque en matière de cybersécurité.

Au-delà de la préservation des accès à distance aux répertoires de travail courants et aux logiciels usuels (messagerie, chat…), les entreprises ont surtout dû favoriser la coopération virtuelle, par le biais de digital workplaces.

Le parc informatique interne a ainsi été enrichi, notamment par le recours à des outils de vidéoconférence dont le niveau de sécurité constitue un enjeu majeur.

Pour préserver la poursuite des projets en cours, les collaborateurs peuvent par ailleurs être tentés de jouer la facilité. Tel logiciel d’entreprise rencontre un bug ? Le VPN ne charge pas correctement ? Impossible de se connecter à la messagerie de l’entreprise ? Qu’importe. Des solutions simples d’utilisation peuvent être souscrites en ligne, quitte à fermer les yeux sur les instructions internes en matière de sécurité.

L’ingénierie sociale, moteur des attaques contre la sécurité informatique

Les entreprises doivent absolument sensibiliser les collaborateurs à l’importance de la sécurité informatique et les inciter à adopter une bonne hygiène informatique. En effet, chacun est susceptible, par sa négligence ou son ignorance, de constituer le maillon faible qui affectera l’ensemble de l’édifice.

Du reste, la peur et la volonté de bien faire pourront plus facilement pousser certains collaborateurs à réaliser des actions dangereuses, pour la sécurité des données. C’est aussi pour cela les que de nombreuses mécaniques d’attaques malveillantes tendent à exploiter les vulnérabilités humaines :

• Hameçonnage : convaincu de recevoir un e-mail d’une institution publique, voire de son employeur, un collaborateur partage ses coordonnées bancaires avec des cyberdélinquants.
• Ransomware : un collaborateur pense télécharger un bulletin de paie ou un bulletin fournisseur. En réalité, il ouvre un fichier malveillant envoyé par un pirate. Son ordinateur est rapidement infecté et entièrement crypté. L’accès aux fichiers confidentiels de l’entreprise est bloqué.

Le retard sur la conformité au RGPD aggrave la sécurité informatique

Deux ans après l’entrée en vigueur du Règlement Général relatif à la protection des données (RGPD), force est de constater que de nombreuses entreprises ne sont toujours pas conformes aux exigences européennes.

Ce retard dans la conformité laisse entrevoir des insuffisances dans la gouvernance des données. Cela augmente indubitablement la surface d’attaque par des personnes malveillantes, en lui donnant accès que l’entreprise ne devrait pas stocker :

• Parce que les données ont été collectées de façon déloyale ou sans fondement juridique valable ;
• Parce que les accès aux données ne sont pas assez restreints compte tenu des finalités poursuivies ;
• Parce que les données auraient dû être supprimées au-delà d’une certaine durée de conservation.

La notification de violations de données, une composante réelle de la sécurité informatique

Le RGPD généralise une obligation autrefois restreinte aux opérateurs : la notification des violations de données personnelles, 72h après en avoir pris connaissance.

Cette notification implique que l’entreprise se soit dotée d’une procédure décrivant notamment les étapes de gestion d’un incident :

• son identification, par les services internes, par un fournisseur ou par une source tierce ;
• sa remontée aux services compétents ;
• l’organisation d’une cellule de crise pilotant son analyse mais aussi son traitement ;
• la constitution d’un dossier de notification de la violation auprès de la CNIL ;
• l’information des personnes (collaborateurs, clients, prospects, fournisseurs…) dont les données ont fait l’objet de la violation.

Une entreprise ne disposant pas de processus efficace en la matière pourra ainsi être contrôlée par la CNIL voire sanctionnée pour défaut de notification de violation ou pour l’insuffisance de sa politique de sécurité des données.

Hôpitaux, collectivités territoriales… quand la sécurité informatique des données sensibles est menacée

Ces dernières années, les cyberattaquants se sont particulièrement intéressés à de nouvelles cibles. A côté des entreprises, le risque cyber expose désormais les hôpitaux, les collectivités territoriales à des cyberattaques.

Cet intérêt croissant s’explique non seulement par la vulnérabilité potentielle de ce type d’organisation mais encore par la sensibilité et la volumétrie des données traitées. Notamment les données à caractère personnel des patients ou administrés.

Que le poste de travail d’un ou plusieurs membres du personnel travaillant dans un hôpital ou dans une commune ait été infecté par un ransomware et l’activité de l’organisme s’en trouvera fortement perturbée.

Au-delà, ces exemples montrent la nécessité pour chaque entreprise traitant des données personnelles de cartographier les risques affectant son parc informatique. Et de prioriser la sécurisation des bases et infrastructures les plus sensibles.

La transition vers le digital et ses nouveaux risques de sécurité informatique

La digitalisation des activités fait partie des enjeux majeurs, pour les entreprises comme pour les administrations publiques. Et ce depuis plusieurs années. De ce point de vue, de nombreux auteurs anticipent déjà une accélération de cette numérisation des activités à la suite de la période de confinement.

Or la transition vers le digital génère des enjeux primordiaux en matière de sécurité informatique et de confidentialité.

• De nouveaux outils doivent remplacer d’anciens processus papiers ou les fichiers Excel d’antan. Ces outils, le CRM ou l’ERP par exemple, permettront de centraliser des processus métiers critiques et devront donc faire l’objet d’un effort soutenu de sécurisation informatique.
• La digitalisation des activités passe par une exploitation plus massive et plus efficace de la data. C’est ainsi que pour mieux personnaliser les communications publicitaires, il faut des outils de collecte de la donnée online, améliorer la collecte offline et réconcilier tout cela. CRM, DMP, CDP… les infrastructures se multiplient et chacune devra être auditée.
• La modernisation du système informatique pose tôt ou tard la question de basculer, en totalité ou partiellement, l’activité sur le cloud. Là encore, l’enjeu de sécurité est critique et portera autant sur la délimitation précise des activités qui y seront ou non déportées, le choix des fournisseurs et leur encadrement contractuel que sur la sécurité des infrastructures de stockage des données.

Télétravail généralisé, le risque sécurité informatique d’après ?

Une fois le déconfinement totalement mis en place, reviendra-t-on au monde d’avant ? Non. Certaines entreprises ont d’ores et déjà annoncé leur volonté :

• de renforcer le télétravail en interne ;
• de généraliser définitivement le télétravail;
• de l’imposer en fermant certains locaux.

Ces entreprises auront là encore d’importants défis à relever en termes de sécurité informatique.

Au-delà des cas ponctuels de travail à distance ou de nomadisme qui pouvaient déjà exister, ces entreprises devront faire face à des enjeux d’une toute autre ampleur puisqu’il faudra faire cohabiter activité dans les locaux/activité à distance voire se résoudre à des accès à distance définitifs aux bases et applications de l’entreprise par les collaborateurs.

Conclusion : la sécurité informatique a une importance primordiale

Le coronavirus aura été un révélateur des vulnérabilités des politiques de sécurité informatique de nombreuses entreprises. Mais aussi certainement un accélérateur de tendances déjà en place : la montée en puissance de la cybercriminalité et la digitalisation des activités des entreprises.

Tous ces facteurs témoignent de l’importance de remettre à plat les politiques existantes, d’instaurer les bases mais plus globalement une politique robuste qui permettra à l’entreprise de maîtriser le risque, tant lié à des attaques de pirates qu’aux exigences réglementaires, et de mieux sécuriser le patrimoine informationnel de l’entreprise. Une veille des publications de l’ANSSI est donc indispensable.