La sécurité pour les télétravailleurs
Cette année, l’économie dans son ensemble a lancé un ambitieux programme de transformation numérique. Mais en mars, tout le monde a été confiné en télétravail. Avec quelle sécurité ?
D’ores et déjà, 2020 apparaît comme ” une année un peu spéciale. ” La pandémie a mis le monde sous pression et a confronté l’économie à un défi majeur. Les entreprises qui avaient adopté une attitude attentiste face au télétravail se sont vues contraintes de déployer rapidement des VPN, d’acheter des ordinateurs portables, etc. Avec toutes les conséquences qu’une telle situation suppose.
Dès fin mars, le Centre pour la Cybersécurité Belgique anticipait une forte hausse de la cybercriminalité, notamment via l’hameçonnage. ” Les pirates suivent l’actualité, note à ce sujet Christof Jacques, évangéliste en cybersécurité chez Check Point Software Technologies. Dès qu’un événement se produit, ils en profitent pour attaquer. Lors de la Saint-Valentin par exemple, ils mettent cette fête dans l’en-tête de leur courriel. ”
” Le Covid-19 a été utilisé comme prétexte pour piéger de nombreuses personnes, ajoute Simen Van der Perre, conseiller stratégique pour Orange Cyberdefense Belgium. Avant même la fin du pic de la pandémie, nous avons constaté au niveau international une hausse des ‘scams’ et des maliciels par courriel concernant le mouvement Black Lives Matter. ” Qu’il s’agisse du Covid-19, de manifestations contre les violences policières ou de photos en bikini d’actrices célèbres, on trouve toujours des personnes à arnaquer. Or peu d’événements d’actualité génèrent autant de clics qu’une pandémie qui confine chacun à son domicile.
Puisque de nouveaux modèles commerciaux se mettent en place, il convient de les sécuriser.
Course de vitesse
” En tant qu’organisation, nous analysons une grande partie du trafic mondial, ajoute Matt Gyde, CEO de NTT Security. Et en février, de très nombreux sites Web factices ont vu le jour que nous sommes parvenus à associer à des groupes de pirates. On recensait un volume nettement supérieur de menaces visant à diffuser des maliciels ainsi que d’attaques sur le secteur médical et hospitalier. On a également vu apparaître des ‘botnets’. ”
Certes, il s’agissait surtout d’amateurs, note Gyde. ” Les ‘mauvais’ cherchent toujours une excuse pour lancer quelque chose de nouveau, qu’il s’agisse de dérober de la propriété intellectuelle ou de lancer des rançongiciels. Nous avons donc recensé durant cette période de très nombreux pirates amateurs, pas forcément organisés en bandes, mais cependant capables d’utiliser certains outils. ”
Il ajoute que, du moins au début, le télétravail a également constitué une belle opportunité. ” De nombreuses entreprises qui, avant la pandémie, permettaient par exemple à la moitié de leurs employés de télétravailler ont soudainement dû mettre la totalité de leur personnel en télétravail, explique Gyde. On a donc constaté des failles dans la sécurité, comme des serveurs VPN qui n’étaient pas actifs. Il a fallu un branle-bas de combat pour tout implémenter et restructurer. ”
” Les gens comme vous et moi ont un PC portable que l’on referme au bureau et emporte à la maison pour continuer à travailler, mais toutes les entreprises n’ont pas de tels ordinateurs portables, ajoute Jacques. Si de tels employés doivent télétravailler, il faut installer un logiciel sur leur propre ordinateur. Et c’est autre chose qu’un portable de l’employeur qui est géré par le département IT. Celui-ci est sécurisé, ne tourne que des programmes approuvés par l’IT, ce qui permet de travailler à distance de manière relativement sécurisée. Selon nos chiffres, quelque 30% des travailleurs utilisent désormais leur propre PC portable. Ils n’ont donc pas d’ordinateur ‘géré’, mais sont cependant autorisés sur le réseau d’entreprise. Cela ouvre des portes qu’il serait préférable de ne pas avoir. ”
VPN
La bonne nouvelle est que le rush initial s’est entre-temps quelque peu ralenti, ce qui ne rend pas la situation plus sécurisée pour autant. ” Nous avons assisté au début à une lame de fond importante, note Matt Gyde. Mais par la suite, les amateurs ont quelque peu levé le pied. En revanche, les bandes organisées se sont organisées et ont gagné en sérieux, avec éventuellement de nouveaux outils adaptés. On constate donc un ralentissement des attaques, mais une sophistication plus grande. ”
Sur le plan technique, cette évolution ouvre par ailleurs de nouvelles brèches d’attaque. ” De nombreuses organisations ont investi dans des technologies complémentaires comme le téléaccès “, ajoute Simen Van der Perre. Ce qui accroît la pression sur cette technologie. ” Dans chaque logiciel, nous avons trouvé des vulnérabilités “, confie-t-il. Et plus le nombre de personnes qui utilise un logiciel augmente, plus la recherche de telles vulnérabilités est intense. Regardez le spécialiste de la visioconférence Zoom qui a fait la une de l’actualité au printemps dernier du fait de sa soudaine popularité : elle a dû rapidement admettre de nombreuses vulnérabilités. Avec le VPN, les choses ne sont pas différentes.
” Depuis la fin de l’année dernières, des vulnérabilités ont été décelées dans Citrix ADC, Pulse Secure, Fortnet, Palo Alto et bien d’autres. Mais celles-ci ont rapidement été corrigées, précise Van der Perre. Et si l’on regarde le nombre de vulnérabilités découvertes sur base annuelle, il n’y en a pas autant que dans d’autres logiciels du marché comme Microsoft ou Adobe, des outils utilisés quotidiennement par tout le monde. Mais la technologie de téléaccès est subitement devenue plus visible et si une faille est découverte, elle a un impact potentiel bien plus important et est nettement plus vite corrigée. ”
Toutefois, le problème se déplace. ” Nous constatons désormais que la technologie est souvent patchée dans la journée, alors que les entreprises ont besoin de 30 à 180 jours pour déployer réellement ces correctifs dans leurs plateformes “, dixit encore Van der Perre. Souvent, il s’agit de composants critiques au sein de l’organisation et qui ne peuvent être débranchés aussi facilement. ” Par ailleurs, la connaissance fait parfois défaut en interne pour savoir si le logiciel a bien été patché. ”
Vision à long terme
Au moment d’écrire ces lignes, à savoir mi-septembre, le confinement a beau être levé, le nombre d’employés qui reviennent quotidiennement au bureau reste très limité. Le télétravail s’impose donc, du moins pour quelques mois encore. ” Nous entrons désormais dans une nouvelle phase, considère Matt Gyde. Tous les outils sont maintenant déployés, mais comment les gérer ? Les discussions que nous avons concernent la migration de la sécurité vers la périphérie. Il convient de mettre en place une structure de sécurité adaptée. Lorsque tout le monde travaille d’un point central, il est facile de construire des murs, mais si tout le monde se trouve en dehors de ces murs, quelle sécurité mettre en place ? ”
” Nous voyons aujourd’hui émerger un poste de travail moderne, estime Christof Jacques. C’est la transformation numérique que l’on annonce depuis des années déjà sous la forme du nouveau mode de travail. Nous étions déjà en train d’évoluer dans ce sens depuis un certain temps, mais le Covid-19 nous oblige à prendre le train en marche. Ce n’est plus une question de choix. C’est difficile sur le plan organisationnel, mais c’est une réalité et les managers constatent maintenant que ce qu’ils ont mis en place n’était pas sécurisé. Dans nos enquêtes, nous constatons que 79% des répondants se rendent compte que de nouvelles mesures de sécurité doivent être prises et s’y emploient activement. C’est positif. Nous avions craint qu’il faudrait attendre des attaques à grande échelle. ”
Quelque 30% des travailleurs utilisent désormais leur propre PC portable en étant autorisés sur le réseau d’entreprise. Cela ouvre des portes qu’il serait préférable de ne pas avoir.
La situation n’est-elle pas plus complexe à présent que les sites qui doivent être sécurisés se multiplient jusque dans chaque salon ? ” Je travaille depuis 26 ans déjà dans le secteur de la sécurité et la complexité n’a fait que croître, admet Gyde. Cela dit, le choix aujourd’hui est grand. Le nombre de plateformes à intégrer est plus élevé et il convient désormais de prendre d’abord du recul et de se pencher sur la stratégie commerciale. Lorsque l’on a défini la voie à suivre, il est plus facile de prendre une décision mûrement réfléchie. ”
Avec un réseau plus étendu, la visibilité devient en outre un facteur important. En effet, il se révèle difficile de savoir ce qui se passe dans l’organisation, considère Simen Van der Perre. ” Il est bien sûr possible d’utiliser alors une technologie ‘zero-trust’ et de se tourner vers la sécurité dans le cloud en devenant en quelque sorte un ‘cloud access security broker’. Avec un tel environnement ‘zéro confiance’, vous garantissez aux utilisateurs et aux appareils, quel que soit leur emplacement, une connexion sécurisée en permanence. Les organisations gèrent alors un système cloud qui donne accès à l’Internet et sur lequel l’utilisateur doit toujours se connecter, tant pour l’Internet que l’intranet. ”
Pourtant, ce ‘zero trust’ n’est pas toujours possible, prévient Jacques. ” Il faut tout d’abord gérer son infrastructure en bon père de famille. Pour ces 30% de travailleurs qui utilisent un ordinateur non géré sur le réseau, il faut peut-être commencer par vérifier si leur machine est à jour, de même que si elle dispose d’un antivirus et d’une protection contre l’hameçonnage. Tout cela ne coûte pas vraiment beaucoup d’argent et est relativement facile à déployer. ”
Par ailleurs, il insiste sur la sécurité de l’infrastructure cloud. ” Puisque de nouveaux modèles commerciaux se mettent en place, il convient de les sécuriser. Si vos clients veulent pouvoir tout faire sur leur appareil mobile, veillez à les sécuriser. Avec des ordinateurs non gérés et une infrastructure cloud, le réseau que vous devez surveiller ne se limite plus au réseau interne et n’est plus totalement sous contrôle. ”
Hameçonnage
A cet égard, l’un des éléments essentiels est l’hameçonnage. En l’occurrence, il suffit de s’intéresser à Twitter. En août dernier, plusieurs grands noms tels que Barack Obama, Bill Gates er Elon Musk ont commencé à twitter des messages censés persuader leurs suiveurs d’investir dans un ‘bitcoin scam’. Ce piratage était sans doute réalisé avec les données d’enregistrement d’un collaborateur de Twitter dérobées via hameçonnage. ” Reste que le vecteur principal d’infection est le courriel “, remarque Christof Jacques.
” Des attaques de type ‘spearphishing’, où une personne est spécifiquement la cible d’un courriel destiné à le duper, sont difficiles à contrer, ajoute Matt Gyde. C’est dans la nature humaine. Si quelqu’un me confie par courriel que je peux gagner beaucoup d’argent en faisant telle ou telle chose, ce n’est généralement pas vrai, mais un tel courriel titille les émotions humaines. Le ‘spearphishing’ en est une évolution. Finalement, tout tourne autour de l’utilisateur et de ses connaissances. ”
” J’espère que les organisations organisent et répètent des formations de sensibilisation, explique Van der Perre. Des statistiques sur la sensibilisation au hameçonnage indiquent qu’en moyenne, un tiers des travailleurs d’une organisation se font berner. Avec une formation de 3 mois, ce pourcentage peut être ramené à 15%, et après un an, même à 2%. Mais il est extrêmement important de continuer la sensibilisation. ” Par ailleurs, il convient de prendre les mesures nécessaires lorsqu’un employé se laisse néanmoins piéger. ” Il faut prévoir des mesures préventives, mais il faut également veiller à détecter toute anomalie. Plus celle-ci est décelée rapidement, meilleure sera la protection. ”
Ce type de détection peut être relativement vaste, note Christof Jacques. ” Ainsi, il est possible d’analyser les liens dans un courriel : sont-ils sécurisés ou non ? Qui les a enregistrés ? Par ailleurs, il existe des logiciels qui analysent les formulaires. Si vous accédez avec votre navigateur à un site Web qui vous demande votre numéro de carte de crédit, ce formulaire est-il crypté et les certificats sont-ils valables ? La plus grande majorité des pirates dans le cloud concerne le vol de données d’enregistrement, ce qui rend leur détection par le système de sécurité particulièrement difficile. Il ne s’agit en effet pas d’une ‘attaque’ puisque la personne utilise un mot de passe. C’est pourquoi il faut une détection plus large. ”
Autre élément important, le cryptage. ” Il existe depuis l’époque des Romains déjà, insiste Jacques. Les entreprises qui ont de la propriété intellectuelle devraient utiliser du cryptage de documents standard. En ce sens, je suis satisfait du RGPD qui oblige de crypter les données sensibles pour d’autres personnes. Cela doit permettre de rester sur les bons rails. De même, cela renforce la prise de conscience. Lorsqu’il est question de vol de données d’entreprise, de rançongiciels, etc., il faut savoir que le cryptage règle 80% des problèmes. Il limite fortement le vol de données, surtout si l’on installe également la vérification multi-étape. ”
30%
des collaborateurs d’une organisation se font berner par l’hameçonnage.
Rançongiciels
Picanol, Garmin et bien d’autres : le rançongiciel a continué à faire des dégâts l’année dernière. Comment est-ce possible ? ” On constate souvent que de telles menaces en sont désormais à leur 5e génération, explique Christof Jacques. Elles sont plus sophistiquées, intègrent différents vecteurs, sont mondiales et parfois même soutenues par un Etat. Il ne s’agit plus du petit piratage depuis une cave, ce qui implique de disposer d’une sécurité de 5e ou 6e génération. Une sécurité qui soit multi-couche. Aucune technique n’est capable à elle seule de résoudre l’ensemble des problèmes, ce qui exige d’associer différentes techniques. ”
Un plan de sécurité détaillé doit aussi aider à solutionner les problèmes, estime Simen Van der Perre. ” On constate que les attaques prennent toujours les mêmes formes. Dans un premier temps, une vulnérabilité est mise en lumière d’une manière ou d’une autre, souvent technique via l’Internet ou via un utilisateur, après quoi le maliciel est installé, lequel va ensuite opérer. ” La question consiste à savoir comment suivre au mieux les vulnérabilités mais aussi ce que l’on désire protéger. ” Ce sont toujours les ‘clés du royaume’ qui sont convoitées, estime Van der Perre. Les clés de l’organisation, les droits permettant de prendre le contrôle d’un système. Car même si vous avez une solution de sauvegarde, il est possible de la désactiver. ” Enfin, il ne faudrait pas oublier la préparation. ” Comment organiser la continuité d’activité et la reprise après sinistre ? Disposez-vous d’un plan de réponse à un incident qui précise quelles sont les actions à prendre, le type de communication à mettre en place et les actions à entreprendre en cas de problème. Il s’agit d’éléments technologiques qui doivent être sous contrôle. ”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici