Actualités
Twitter iconFacebook iconLinkedIn icon

Comment concilier cybersécurité et télétravail ?

Publiée le 01/04/2020
Face à la crise sanitaire majeure que nous traversons, de nombreuses collectivités, associations et entreprises ont recours au télétravail pour maintenir leur activité. Dans ces conditions exceptionnelles, le dispositif du télétravail peut être source de cyberattaques.

Dans le monde entier comme en France, les cybercriminels tentent d'exploiter la peur liée à l'épidémie Coronavirus pour s'infiltrer dans les systèmes d'information des employeurs, mais aussi des particuliers.

SMACL Assurances vous accompagne dans la lutte contre les cyberattaques. Nos experts appellent à votre vigilance afin de renforcer votre cybersécurité lors du télétravail.

Picto vidéo La minute web : 5 conseils pour télétravailler en toute cybersécurité

 
 


Picto loupe La maîtrise du cyber risque : les utilisateurs en 1re ligne

Le confinement a généralisé le télétravail dans une grande partie des entreprises et des organismes publics et parapublics. Si le télétravail constitue une réelle opportunité pour maintenir l’activité, et donc les services publics, c’est aussi une source de risques si les pratiques ne sont pas sécurisées.

Depuis plusieurs mois, des collectivités territoriales et organismes publics (Communauté d’agglomération du Grand Cognac, Centre hospitalier de Rouen, commune de Tullins,…) sont victimes de cyberattaques. Si les conséquences ont été contenues, une vigilance accrue est de rigueur en ces temps de confinement où les réseaux sont ultra-sollicités. La maîtrise de ce risque passe par la sensibilisation des utilisateurs du système informatique qui se voient attribuer des responsabilités nouvelles pour protéger les données de leur collectivité.


Olivier Daroux, Responsable sécurité du système d'information de SMACL Assurances, sensibilise régulièrement les salariés de la Mutuelle. Des conseils utiles à tous… Reproduction autorisée et fortement recommandée.

>> 5 critères pour un mot de passe professionnel sécurisé
Il est recommandé de modifier régulièrement le mot de passe d’ouverture de session.
 
5 critères pour choisir ce nouveau mot de passe :

Conseils pour choisir son mot de passe


Bon à savoir Vous pouvez choisir de faire une pseudo-phrase, plus facile à retenir (sans mettre Coronavirus dedans...).
Exemples :
  • J’habite 10 rue du stade devient jh10rdS
  • Mon chien est un setter et s’appelle Roby devient McSsaplR

>> Une adresse e-mail professionnelle réservée aux usages… professionnels
Il est - évidemment - interdit de divulguer le mot de passe de la messagerie professionnelle. Il est également recommandé de ne pas utiliser l’e-mail professionnel pour s’inscrire sur des sites grands publics ou pour des usages personnels.

Retrouvez les mauvais usages relevés par les responsables sécurité de plusieurs entreprises :
  • Réseaux sociaux
  • Plateforme de streaming
  • Groupes de discussion scolaires (pratiques en ces temps d’école à la maison)
  • Sites de ventes à distance, en tout genre
  • Sites de drive des hypermarchés, etc.
 

Picto interview
 Points de vue des experts


Photo Olivier Daroux> Olivier Daroux, Responsable sécurité informatique de SMACL Assurances, membre du Club des experts de la sécurité de l’information et du numérique (CESIN)
 

 Restez prudents et ne cliquez pas sans réfléchir un instant !
 

Il faut avoir conscience que les cybercriminels sont à l'affût de toutes les (bonnes) occasions pour infiltrer les systèmes informatiques des particuliers, des entreprises, des collectivités voire de l'Etat. La généralisation en masse du télétravail et de l'enseignement à distance leur procure une ouverture. En quelques jours les réseaux se sont ouverts pour permettre aux flux de données de circuler plus facilement vers le domicile de chacun. Il y a davantage de postes informatiques connectés et donc autant de portes ouvertes potentielles. Ces ordinateurs peuvent également être utilisés par plusieurs personnes dans un même foyer, utilisateurs qui pourraient ouvrir un mail frauduleux sans le vouloir ou activer un virus malencontreusement. Quand l'ordinateur est professionnel, l'impact peut être très important. Dans ce cas, les équipes en charge de la sécurité étant elles aussi moins disponibles, le temps de réaction est d'autant rallongé.

Les prises en otage des systèmes d'information avec demande de rançon (ransomware) se multiplient ces dernières années, cette menace est d'autant plus à craindre avec ce confinement et l'ouverture des réseaux et l'allègement parfois forcé des sécurités. Les cybercriminels n'ont aucune pitié, ils ont même attaqué les hôpitaux de Paris (AP-HP) il y a une semaine !
Il y a deux catégories de messages malveillants : ceux de la sphère professionnelle et ceux d'ordre privé.
Il faut absolument supprimer les messages qui demandent des données personnelles (mot de passe, données bancaires, etc.). Cela semble facile à dire mais la tournure peut parfois laisser le doute, ils sont aujourd'hui très bien faits.

Par exemple : "Avertissement du service de sécurité. Votre compte a été piraté. Modifiez le mot de passe" - il s'agit d'un faux mail qui cherche à récupérer votre mot de passe professionnel et ainsi accéder à vos applications.
De faux mails provenant de services RH ou comptabilité sont envoyés pour vous tromper. On le devine soit en vérifiant la construction de l'adresse email de l'expéditeur, soit en observant bien les liens qu'ils contiennent. Leur objectif est souvent de vous faire peur pour vous faire cliquer sur des liens vers des sites malveillants ou vous inviter à ouvrir des pièces jointes dangereuses. Tous les moyens sont bons, fiez-vous à votre bon sens. Si c'est trop beau ou suspect, je m'abstiens !

Avec le contexte actuel, certains e-mails ou certains sites imitent même des sources légitimes sans scrupule (voir illustration). Et bien d'autres menaces encore car les cybercriminels regorgent d'idées malheureusement...
Mail malveillant
Légende : ce type de message laisse planer le doute. Pourtant aucun e-mail officiel ne vous demandera de saisir vos données personnelles (mot de passe, coordonnées bancaires…)
 
Sans hésiter, le site cybermalveillance.gouv.fr qui donne des conseils très didactiques pour les particuliers et les entreprises.
Et pour ceux qui ont du temps et l'envie d'approfondir, la formation gratuite en ligne de l'Agence nationale de sécurité : SecNumAcadémie.
 
Restez prudents et ne cliquez pas sans réfléchir un instant ! Après il pourra être trop tard et les conséquences potentiellement dramatiques.

Photo Guillaume Vitse
> Guillaume Vitse, Directeur de CNPP Cybersecurity

La bonne pratique est une approche par les risques.

Les élus et les cadres territoriaux sont en première ligne face aux menaces liées à la sécurité des systèmes d’information. Face aux cyberattaques qui se multiplient envers les collectivités territoriales, voici ce qui peut constituer la base d’une réponse au risque cyber :

  • La mise en place d’une politique de sécurité de l’information impliquant l’ensemble des parties prenantes (décideurs, agents…)
  • Une démarche de gestion des risques pour identifier les risques en vue de les réduire  

En s’appuyant sur une démarche d’amélioration continue, ces deux piliers du management de la sécurité de l’information permettent d’organiser et de prioriser les actions à entreprendre pour améliorer la maitrise et le niveau de sécurité de l’information au sein des collectivités.
 

Dans ce cadre, l’ANSSI a publié il y a quelques semaines un guide pratique dédié aux non-spécialistes, leur permettant d’appréhender la réglementation sur la protection de l’information et les modalités de mise en œuvre au sein des collectivités territoriales. Je ne peux que vous encourager à télécharger le guide Sécurité numérique des collectivités territoriales !


Photo Erwan le Bot
> Erwan Le Bot, Responsable du club des agglomérations et métropoles, Conseiller stratégies urbaines et enseignement supérieur, Assemblée des communautés de France (AdCF)

Nous pensons qu’une prise de conscience est en cours, notamment avec l’importance prise par le numérique en cette période de confinement.

La problématique du numérique recouvre 3 volets dans les collectivités : l’accès au débit (les infrastructures), les usages numériques (notamment l’inclusion numérique) et la maîtrise des risques liés aux usages. L’enjeu des infrastructures reste prioritaire pour un certain nombre de territoires, mais globalement, une large partie de la population a  aujourd’hui accès à un haut débit de bonne qualité.
Quand le territoire a réussi le pari des infrastructures, les collectivités doivent veiller à réduire la fracture numérique, on parle aussi de lutte contre l'illectronisme. L’AdCF et France Urbaine ont fondé une association pour porter les enjeux territoriaux liés aux usages du numérique : les Interconnectés. Il existe des intercommunalités se distinguent dans ce domaine, tel le SICOVAL en Haute-Garonne ou la métropole de Lyon qui affichent un engagement fort sur l’inclusion numérique.
Les collectivités sollicitent peu les associations d’élus sur ce sujet qui a été pris en charge par l’État (pour des raisons évidentes de sécurité), et celles qui sont attaquées hésitent à en parler trop largement. Certains territoires peuvent penser "ma collectivité est trop petite pour être attaquée", "je ne suis pas une cible pour les hackers", "les virus sont un domaine de technicien, en tant qu’élu je ne peux rien faire"… notre mission est d’alerter toutes les intercommunalités (avec l’État et son agence spécialisée, l’ANSSI, ou son site dédié sur la cybermalveillance).

Les effets sur la continuité de service, sur l’image de la collectivité, sur ses finances également peuvent être terribles et les attaques sont parfois massives en intensité et en nombre. C’est pour cela que nous en avons fait un sujet de réflexion pour notre commission numérique qui, malheureusement, ne peut pas se réunir pour l’instant. Nous avons rédigé quelques articles pour alerter nos adhérents, mais la commission ira plus loin en faisant témoigner des élus d’intercommunalités victimes d’attaques, en analysant les conséquences pour les collectivités soumises à ces "rançongiciels" (ransomwares), en proposant, éventuellement, des modèles d’organisation de la maîtrise de ce risque et les placer au centre de la décision.
Nous pensons qu’une prise de conscience est en cours, notamment avec l’importance prise par le numérique en cette période de confinement, le réseau est un bien commun, il doit être protégé. Des vice-présidents sont déjà en charge dans beaucoup d’intercommunalité du numérique sous l’angle des usages ou de starts-up / l’innovation, ils pourraient également être en charge de la sécurité des systèmes d’information. Nous verrons comment les nouveaux exécutifs s’organisent. La généralisation du télétravail pendant le confinement, les alertes communiquées par des organismes gouvernementaux, l’impact médiatique des attaques subies en plein confinement par des territoires symboliques comme la métropole et la ville de Marseille ou l’hôpital de Rouen et le travail de sensibilisation des associations d’élus devraient aller dans ce sens.


Picto outils  La boite à outils

> Consultez les top 3 tentatives de fraudes dans les collectivités
> Retrouvez toute l'actualité de la cybermailveillance sur cybermalveillance.gouv.fr
> Participez à la formation gratuite en ligne de l'Agence nationale de sécurité SecNumAcadémie
> Découvrez la rubrique Numérique et communication de l’AdCF
> Consultez le site de l’Agence nationale de sécurité des systèmes d’information (ANSSI)
> Téléchargez le guide Sécurité numérique des collectivités territoriales
> En savoir plus sur l’agence Cybersécurity du CNPP, partenaire de SMACL Assurances
 
 
Engagés avec vous - SMACL Assurances

 
Ombré de séparation - SMACL Assurances
Toutes les actualités