Comment concilier cybersécurité et télétravail ?
Publiée le 30/03/2020 -
Face à la crise sanitaire majeure que nous traversons, de nombreuses collectivités, associations et entreprises ont recours au télétravail pour maintenir leur activité. Dans ces conditions exceptionnelles, le dispositif du télétravail peut être source de cyberattaques.
Dans le monde entier comme en France, les cybercriminels tentent d'exploiter la peur liée à l'épidémie Coronavirus pour s'infiltrer dans les systèmes d'information des employeurs, mais aussi des particuliers.
SMACL Assurances vous accompagne dans la lutte contre les cyberattaques. Nos experts appellent à votre vigilance afin de renforcer votre cybersécurité lors du télétravail.
Le confinement a généralisé le télétravail dans une grande partie des entreprises et des organismes publics et parapublics. Si le télétravail constitue une réelle opportunité pour maintenir l’activité, et donc les services publics, c’est aussi une source de risques si les pratiques ne sont pas sécurisées.
Depuis plusieurs mois, des collectivités territoriales et organismes publics (Communauté d’agglomération du Grand Cognac, Centre hospitalier de Rouen, commune de Tullins,…) sont victimes de cyberattaques. Si les conséquences ont été contenues, une vigilance accrue est de rigueur en ces temps de confinement où les réseaux sont ultra-sollicités. La maîtrise de ce risque passe par la sensibilisation des utilisateurs du système informatique qui se voient attribuer des responsabilités nouvelles pour protéger les données de leur collectivité.
Olivier Daroux, Responsable sécurité du système d'information de SMACL Assurances, sensibilise régulièrement les salariés de la Mutuelle. Des conseils utiles à tous… Reproduction autorisée et fortement recommandée.
>> 5 critères pour un mot de passe professionnel sécurisé
Il est recommandé de modifier régulièrement le mot de passe d’ouverture de session.
5 critères pour choisir ce nouveau mot de passe :
Vous pouvez choisir de faire une pseudo-phrase, plus facile à retenir (sans mettre Coronavirus dedans...).
Exemples :
>> Une adresse e-mail professionnelle réservée aux usages… professionnels
Il est - évidemment - interdit de divulguer le mot de passe de la messagerie professionnelle. Il est également recommandé de ne pas utiliser l’e-mail professionnel pour s’inscrire sur des sites grands publics ou pour des usages personnels.
Retrouvez les mauvais usages relevés par les responsables sécurité de plusieurs entreprises :
> Olivier Daroux, Responsable sécurité informatique de SMACL Assurances, membre du Club des experts de la sécurité de l’information et du numérique (CESIN)
Et bien d'autres menaces encore car les cybercriminels regorgent d'idées malheureusement...
Dans le monde entier comme en France, les cybercriminels tentent d'exploiter la peur liée à l'épidémie Coronavirus pour s'infiltrer dans les systèmes d'information des employeurs, mais aussi des particuliers.
SMACL Assurances vous accompagne dans la lutte contre les cyberattaques. Nos experts appellent à votre vigilance afin de renforcer votre cybersécurité lors du télétravail.
La minute web : 5 conseils pour télétravailler en toute cybersécurité
La maîtrise du cyber risque : les utilisateurs en 1re ligne
Le confinement a généralisé le télétravail dans une grande partie des entreprises et des organismes publics et parapublics. Si le télétravail constitue une réelle opportunité pour maintenir l’activité, et donc les services publics, c’est aussi une source de risques si les pratiques ne sont pas sécurisées.Depuis plusieurs mois, des collectivités territoriales et organismes publics (Communauté d’agglomération du Grand Cognac, Centre hospitalier de Rouen, commune de Tullins,…) sont victimes de cyberattaques. Si les conséquences ont été contenues, une vigilance accrue est de rigueur en ces temps de confinement où les réseaux sont ultra-sollicités. La maîtrise de ce risque passe par la sensibilisation des utilisateurs du système informatique qui se voient attribuer des responsabilités nouvelles pour protéger les données de leur collectivité.
Olivier Daroux, Responsable sécurité du système d'information de SMACL Assurances, sensibilise régulièrement les salariés de la Mutuelle. Des conseils utiles à tous… Reproduction autorisée et fortement recommandée.
>> 5 critères pour un mot de passe professionnel sécurisé
Il est recommandé de modifier régulièrement le mot de passe d’ouverture de session.
5 critères pour choisir ce nouveau mot de passe :
Vous pouvez choisir de faire une pseudo-phrase, plus facile à retenir (sans mettre Coronavirus dedans...).Exemples :
- J’habite 10 rue du stade devient jh10rdS
- Mon chien est un setter et s’appelle Roby devient McSsaplR
>> Une adresse e-mail professionnelle réservée aux usages… professionnels
Il est - évidemment - interdit de divulguer le mot de passe de la messagerie professionnelle. Il est également recommandé de ne pas utiliser l’e-mail professionnel pour s’inscrire sur des sites grands publics ou pour des usages personnels.
Retrouvez les mauvais usages relevés par les responsables sécurité de plusieurs entreprises :
- Réseaux sociaux
- Plateforme de streaming
- Groupes de discussion scolaires (pratiques en ces temps d’école à la maison)
- Sites de ventes à distance, en tout genre
- Sites de drive des hypermarchés, etc.
Points de vue des experts
> Olivier Daroux, Responsable sécurité informatique de SMACL Assurances, membre du Club des experts de la sécurité de l’information et du numérique (CESIN)Restez prudents et ne cliquez pas sans réfléchir un instant !
1/ Pour quelles raisons les risques sont accrus durant le confinement ?
Il faut avoir conscience que les cybercriminels sont à l'affût de toutes les (bonnes) occasions pour infiltrer les systèmes informatiques des particuliers, des entreprises, des collectivités voire de l'Etat. La généralisation en masse du télétravail et de l'enseignement à distance leur procure une ouverture. En quelques jours les réseaux se sont ouverts pour permettre aux flux de données de circuler plus facilement vers le domicile de chacun. Il y a davantage de postes informatiques connectés et donc autant de portes ouvertes potentielles. Ces ordinateurs peuvent également être utilisés par plusieurs personnes dans un même foyer, utilisateurs qui pourraient ouvrir un mail frauduleux sans le vouloir ou activer un virus malencontreusement. Quand l'ordinateur est professionnel, l'impact peut être très important. Dans ce cas, les équipes en charge de la sécurité étant elles aussi moins disponibles, le temps de réaction est d'autant rallongé.
Les prises en otage des systèmes d'information avec demande de rançon (ransomware) se multiplient ces dernières années, cette menace est d'autant plus à craindre avec ce confinement et l'ouverture des réseaux et l'allègement parfois forcé des sécurités. Les cybercriminels n'ont aucune pitié, ils ont même attaqué les hôpitaux de Paris (AP-HP) il y a une semaine !
Les prises en otage des systèmes d'information avec demande de rançon (ransomware) se multiplient ces dernières années, cette menace est d'autant plus à craindre avec ce confinement et l'ouverture des réseaux et l'allègement parfois forcé des sécurités. Les cybercriminels n'ont aucune pitié, ils ont même attaqué les hôpitaux de Paris (AP-HP) il y a une semaine !
2/ Quels messages doivent nous mettre en garde ?
Il y a deux catégories de messages malveillants : ceux de la sphère professionnelle et ceux d'ordre privé.
Il faut absolument supprimer les messages qui demandent des données personnelles (mot de passe, données bancaires, etc.). Cela semble facile à dire mais la tournure peut parfois laisser le doute, ils sont aujourd'hui très bien faits.
Par exemple : "Avertissement du service de sécurité. Votre compte a été piraté. Modifiez le mot de passe" - il s'agit d'un faux mail qui cherche à récupérer votre mot de passe professionnel et ainsi accéder à vos applications.
De faux mails provenant de services RH ou comptabilité sont envoyés pour vous tromper. On le devine soit en vérifiant la construction de l'adresse email de l'expéditeur, soit en observant bien les liens qu'ils contiennent. Leur objectif est souvent de vous faire peur pour vous faire cliquer sur des liens vers des sites malveillants ou vous inviter à ouvrir des pièces jointes dangereuses. Tous les moyens sont bons, fiez-vous à votre bon sens. Si c'est trop beau ou suspect, je m'abstiens !
Avec le contexte actuel, certains e-mails ou certains sites imitent même des sources légitimes sans scrupule (voir illustration).
Il faut absolument supprimer les messages qui demandent des données personnelles (mot de passe, données bancaires, etc.). Cela semble facile à dire mais la tournure peut parfois laisser le doute, ils sont aujourd'hui très bien faits.
Par exemple : "Avertissement du service de sécurité. Votre compte a été piraté. Modifiez le mot de passe" - il s'agit d'un faux mail qui cherche à récupérer votre mot de passe professionnel et ainsi accéder à vos applications.
De faux mails provenant de services RH ou comptabilité sont envoyés pour vous tromper. On le devine soit en vérifiant la construction de l'adresse email de l'expéditeur, soit en observant bien les liens qu'ils contiennent. Leur objectif est souvent de vous faire peur pour vous faire cliquer sur des liens vers des sites malveillants ou vous inviter à ouvrir des pièces jointes dangereuses. Tous les moyens sont bons, fiez-vous à votre bon sens. Si c'est trop beau ou suspect, je m'abstiens !
Avec le contexte actuel, certains e-mails ou certains sites imitent même des sources légitimes sans scrupule (voir illustration).
Légende : ce type de message laisse planer le doute. Pourtant aucun e-mail officiel ne vous demandera de saisir vos données personnelles (mot de passe, coordonnées bancaires…)
Et bien d'autres menaces encore car les cybercriminels regorgent d'idées malheureusement...
3/ En ces temps de confinement qui nous laissent l'opportunité de lire, quel site vous nous recommandez ?
Sans hésiter, le site cybermalveillance.gouv.fr qui donne des conseils très didactiques pour les particuliers et les entreprises.
Et pour ceux qui ont du temps et l'envie d'approfondir, la formation gratuite en ligne de l'Agence nationale de sécurité : SecNumAcadémie.
Restez prudents et ne cliquez pas sans réfléchir un instant ! Après il pourra être trop tard et les conséquences potentiellement dramatiques.
Et pour ceux qui ont du temps et l'envie d'approfondir, la formation gratuite en ligne de l'Agence nationale de sécurité : SecNumAcadémie.
Restez prudents et ne cliquez pas sans réfléchir un instant ! Après il pourra être trop tard et les conséquences potentiellement dramatiques.
> Guillaume Vitse, Directeur de CNPP Cybersecurity
La bonne pratique est une approche par les risques.
Les élus et les cadres territoriaux sont en première ligne face aux menaces liées à la sécurité des systèmes d’information. Face aux cyberattaques qui se multiplient envers les collectivités territoriales, voici ce qui peut constituer la base d’une réponse au risque cyber :
- La mise en place d’une politique de sécurité de l’information impliquant l’ensemble des parties prenantes (décideurs, agents…)
- Une démarche de gestion des risques pour identifier les risques en vue de les réduire
- En s’appuyant sur une démarche d’amélioration continue, ces deux piliers du management de la sécurité de l’information permettent d’organiser et de prioriser les actions à entreprendre pour améliorer la maitrise et le niveau de sécurité de l’information au sein des collectivités.
> Erwan Le Bot, Responsable du club des agglomérations et métropoles, Conseiller stratégies urbaines et enseignement supérieur, Assemblée des communautés de France (AdCF)
Nous pensons qu’une prise de conscience est en cours, notamment avec l’importance prise par le numérique en cette période de confinement.
1/ Comment les collectivités appréhendent-elles la problématique du numérique ?
La problématique du numérique recouvre 3 volets dans les collectivités : l’accès au débit (les infrastructures), les usages numériques (notamment l’inclusion numérique) et la maîtrise des risques liés aux usages. L’enjeu des infrastructures reste prioritaire pour un certain nombre de territoires, mais globalement, une large partie de la population a aujourd’hui accès à un haut débit de bonne qualité.
Quand le territoire a réussi le pari des infrastructures, les collectivités doivent veiller à réduire la fracture numérique, on parle aussi de lutte contre l'illectronisme. L’AdCF et France Urbaine ont fondé une association pour porter les enjeux territoriaux liés aux usages du numérique : les Interconnectés. Il existe des intercommunalités se distinguent dans ce domaine, tel le SICOVAL en Haute-Garonne ou la métropole de Lyon qui affichent un engagement fort sur l’inclusion numérique.
Quand le territoire a réussi le pari des infrastructures, les collectivités doivent veiller à réduire la fracture numérique, on parle aussi de lutte contre l'illectronisme. L’AdCF et France Urbaine ont fondé une association pour porter les enjeux territoriaux liés aux usages du numérique : les Interconnectés. Il existe des intercommunalités se distinguent dans ce domaine, tel le SICOVAL en Haute-Garonne ou la métropole de Lyon qui affichent un engagement fort sur l’inclusion numérique.
2/ La maîtrise du cyber risque est-elle la prochaine étape ?
Les collectivités sollicitent peu les associations d’élus sur ce sujet qui a été pris en charge par l’État (pour des raisons évidentes de sécurité), et celles qui sont attaquées hésitent à en parler trop largement. Certains territoires peuvent penser "ma collectivité est trop petite pour être attaquée", "je ne suis pas une cible pour les hackers", "les virus sont un domaine de technicien, en tant qu’élu je ne peux rien faire"… notre mission est d’alerter toutes les intercommunalités (avec l’État et son agence spécialisée, l’ANSSI, ou son site dédié sur la cybermalveillance).
Les effets sur la continuité de service, sur l’image de la collectivité, sur ses finances également peuvent être terribles et les attaques sont parfois massives en intensité et en nombre. C’est pour cela que nous en avons fait un sujet de réflexion pour notre commission numérique qui, malheureusement, ne peut pas se réunir pour l’instant. Nous avons rédigé quelques articles pour alerter nos adhérents, mais la commission ira plus loin en faisant témoigner des élus d’intercommunalités victimes d’attaques, en analysant les conséquences pour les collectivités soumises à ces "rançongiciels" (ransomwares), en proposant, éventuellement, des modèles d’organisation de la maîtrise de ce risque et les placer au centre de la décision.
Les effets sur la continuité de service, sur l’image de la collectivité, sur ses finances également peuvent être terribles et les attaques sont parfois massives en intensité et en nombre. C’est pour cela que nous en avons fait un sujet de réflexion pour notre commission numérique qui, malheureusement, ne peut pas se réunir pour l’instant. Nous avons rédigé quelques articles pour alerter nos adhérents, mais la commission ira plus loin en faisant témoigner des élus d’intercommunalités victimes d’attaques, en analysant les conséquences pour les collectivités soumises à ces "rançongiciels" (ransomwares), en proposant, éventuellement, des modèles d’organisation de la maîtrise de ce risque et les placer au centre de la décision.
3/ Les nouvelles instances communautaires seront-elles au cœur de ces sujets ?
Nous pensons qu’une prise de conscience est en cours, notamment avec l’importance prise par le numérique en cette période de confinement, le réseau est un bien commun, il doit être protégé. Des vice-présidents sont déjà en charge dans beaucoup d’intercommunalité du numérique sous l’angle des usages ou de starts-up / l’innovation, ils pourraient également être en charge de la sécurité des systèmes d’information. Nous verrons comment les nouveaux exécutifs s’organisent. La généralisation du télétravail pendant le confinement, les alertes communiquées par des organismes gouvernementaux, l’impact médiatique des attaques subies en plein confinement par des territoires symboliques comme la métropole et la ville de Marseille ou l’hôpital de Rouen et le travail de sensibilisation des associations d’élus devraient aller dans ce sens.
La boite à outils
> Consultez les top 3 tentatives de fraudes dans les collectivités
> Retrouvez toute l'actualité de la cybermalveillance sur cybermalveillance.gouv.fr
> Participez à la formation gratuite en ligne de l'Agence nationale de sécurité SecNumAcadémie
> Découvrez la rubrique Numérique et communication de l’AdCF
> Consultez l’Agence nationale de sécurité des systèmes d’information (ANSSI)
> En savoir plus sur l’agence Cybersécurity du CNPP, partenaire de SMACL Assurances
> Retrouvez toute l'actualité de la cybermalveillance sur cybermalveillance.gouv.fr
> Participez à la formation gratuite en ligne de l'Agence nationale de sécurité SecNumAcadémie
> Découvrez la rubrique Numérique et communication de l’AdCF
> Consultez l’Agence nationale de sécurité des systèmes d’information (ANSSI)
> En savoir plus sur l’agence Cybersécurity du CNPP, partenaire de SMACL Assurances