Dominique Filippone , publié le 26 Mars 2020
En ouvrant massivement les réseaux d’entreprise à leurs employés confinés et contraints au télétravail, les entreprises permettent une continuité a minima - voire sans couture - de leur activité. Mais les pirates informatiques sont au taquet pour analyser dans l’ombre des cibles faciles et déclencher le jour venu une vague sans précédente de vol de données stratégiques.
Le télétravail prolongé constitue pour les pirates informatiques une source aussi inattendue qu’inespérée pour sélectionner des points d’entrée vulnérables aux données d’entreprises les plus stratégiques et à valeur ajoutée pour eux. (crédit : Alterfines / Pixabay)
Si la possibilité d’ouvrir le système d’information depuis l’extérieur et assurer la sécurité de la connexion de bout en bout est loin d’être une problématique nouvelle pour de nombreuses entreprises, elle soulève quand même nombre de questions. Si les procédures actuelles de confinement massif des salariés contraints toutes les entreprises qui le peuvent à les faire télétravailler encore faut-il que celles qui le font déjà puissent étendre cet usage en mobilité à un nombre encore plus important d’utilisateurs. Et concernant celles qui ne s’y sont pas mises, le faire de manière contrôlée en s’assurant que toutes les dispositions en termes de protection des accès distants et sécurisation des flux entrants/sortants aient été prises.
Or, le souci pour les entreprises est double : assurer une étanchéité de l’accès en dehors des entreprises à des personnes qui n’utiliseraient pas des terminaux validés d’un point de vue sécurité par le RSSI, et agir rapidement pour mettre en place des mesures de sécurisation adaptées en veillant par exemple à éviter d’ouvrir aux quatre vents les ports RDP, utilisés principalement à des fins de messagerie et de communication. Si les entreprises pensent pouvoir continuer leur activité grâce au télétravail - certaines le peuvent et c’est tant mieux - il ne faudrait pas qu’elles relâchent la pression en termes de sécurité. Le problème étant que les cyberpirates ont tout leur temps en cette période de confinement pour dénombrer, analyser et passer au peigne fin les points d’entrées de vulnérabilité pour déclencher, le jour venu un cryptoware ou ransomware rampant pour mettre à genou les SI et tenter de décrocher le jackpot.
Des cyberattaques en gestation plusieurs semaines, mois ou années
De nombreux experts en sécurité tirent ainsi la sonnette d’alarme sur les potentielles autant que redoutables cyberattaques qui se préparent dans l’ombre pour éclater au grand jour d’ici quelques semaines, mois voire années. « Des organisations criminelles ou des États-nations très bien organisés peuvent attendre », a expliqué Nicolas Fischbach, directeur de la technologie de Forcepoint spécialisée dans la protection des données. « Ils obtiennent plus de données. Ils peuvent en apprendre davantage sur l’environnement. » Il est donc plus important que jamais pour les entreprises de respecter des principes basiques mais efficaces d’hygiène informatique : mettre à jour ses applications et systèmes, sauvegarder dans des endroits sûrs et déconnectés ses données mais également poursuivre sans faiblir une sensibilisation IT et sécurité, surtout à destination des salariés accédant par exemple au SI de l’entreprise depuis leur terminal personnel qui ne ferait l’objet d’aucun enregistrement MDM.
Il faudra donc par exemple se montrer très vigilant sur les sites traitant d’informations liées au coronavirus SARS-Cov-2 qu’à la maladie qui en découle, Covid-19. « Le FBI a mis en garde contre une augmentation des escroqueries par phishing contre les entreprises. L’OMS a déclaré à Reuters que des pirates informatiques l’avaient ciblé avec un site web malveillant. Et la National Crime Agency du Royaume-Uni a confirmé au Wall Street Journal qu’elle enquêtait sur une attaque présumée de ransomware contre Hammersmith Medicines Research, une société de dépistage de drogues qui a effectué des essais pour le vaccin contre l’ébola et d’autres traitements », indique le WSJ. « Nous avons détecté des pirates qui tentent de profiter des craintes des gens, en prétendant vendre en ligne des masques de protection par exemple, pour les inciter à révéler leurs informations de carte de crédit », a expliqué de son côté McAfee. « Les employés ne doivent ouvrir aucune pièce jointe à un e-mail, ni cliquer sur des liens dont ils ne sont pas sûrs et les signaler immédiatement à la direction. »
Terminaux sécurisés, VPN et authentification multi-facteurs ne se substituent pas à une vigilance humaine
Alors que certains attaquants utilisent un ransomware pour un paiement immédiat, des groupes plus sophistiqués pourraient utiliser le bouleversement pour pénétrer les réseaux et rechercher discrètement des numéros de compte bancaire, des secrets commerciaux ou des informations personnellement identifiables qui ont une valeur financière ou politique, a indiqué à notre confrère Stephen Breidenbach, avocat en cybersécurité chez Moritt Hock & Hamroff.« Ils commenceront ensuite à siphonner ces ressources de manière aussi discrète que possible, ou attendront de toucher tous les actifs d’un seul coup lorsque l’entreprise est la plus vulnérable », ajoutant que les attaquants pouvaient rester en sommeil pendant des années. «Certains pirates essaient même d’obtenir de l’argent de la bourse en utilisant les informations non publiques qu’ils acquièrent ».
Dans son dernier Index des menaces globales, Check Point a signalé la recrudescence de noms de domaine et sites web rattachés au coronavirus, soit plus de 4 000 dont 3% ont été estimés comme malveillants et 5% qualifiés de suspects. « Les domaines liés aux coronavirus sont 50% plus susceptibles d’être malveillants que les autres domaines enregistrés à la même période, et également plus élevés que les thèmes saisonniers récents tels que la Saint-Valentin », a prévenu l’éditeur en sécurité. « En outre, une campagne de phishing ciblée sur le thème des coronavirus a été récemment repérée, ciblant des organisations italiennes, touchant plus de 10% de toutes les organisations en Italie dans le but d’exploiter les préoccupations suscitées par le nombre croissant d’infections dans le pays. »
Dans ce contexte, les entreprises doivent donc impérativement redoubler de vigilance avec les accès distants à son SI. Parmi les solutions à envisager, la mise en place de VPN, la mise à disposition de terminaux sécurisés certifiés et conformes à la politique MDM en vigueur, généraliser l’authentification multi-facteurs pour accéder aux données et applications professionnelles et surtout être 200% plus vigilant sur les risques de phishing, qu’ils soient ciblés (spear) ou non.