Télétravail… les cybercriminels aiment ça !
Le télétravail, par nécessité. Prudence, ce n’est pas sans danger. Le COVID-19 attire les cybercriminels, notamment via des attaques de phishing…
La question n’est plus ‘pour’ ou ‘contre’ le télétravail, mais ‘comment’. Et, pour certaines ‘quand’. Une aubaine pour les cybercriminels.
«L’augmentation du trafic ouvre de nombreuses nouvelles portes pour de potentielles cyber-attaques, estime Mathieu Lardinois, Partner & Sales Manager, Skyforce. Les collaborateurs travaillent de chez eux, via leur connexion personnelle, dans un environnement qui n’est pas aussi sécurisé que celui de leur entreprise. Du coup…»
Le COVID-19 est devenu le thème de prédilection des attaques par e-mail, dit carrément Loïc Guezo, Senior Director, Cybersecurity Strategy SEMEA, Proofpoint. «Certains messages sont envoyés à des centaines de milliers de personnes en même temps…»
La cybercriminalité n’est pas en quarantaine !
Première recommandation de l’ENISA : ne pas mélanger travail et loisirs sur le même appareil. L’agence européenne chargée de la sécurité des réseaux et de l’information recommande, dans la mesure du possible, que les travailleurs essaient de ne pas mélanger travail et loisirs sur le même appareil et soient particulièrement prudents avec tout e-mail faisant référence au coronavirus. «Les attaquants profitent de la situation, alors faites attention aux e-mails de phishing !»
D’une manière générale, l’ENISA recommande de se méfier de tout courrier électronique demandant de vérifier ou de renouveler les mots de passe et identifiants de connexion, même s’ils semblent provenir d’une source fiable. «Essayer de vérifier l’authenticité de la demande par d’autres moyens, ne cliquez pas sur des liens suspects et n’ouvrez pas de pièces jointes douteuses», conseille-t-elle.
Les méthodes des cybercriminels sont bien connues des experts. «Les pirates suivent très bien l’actualité», souligne Michel Lanaspeze, Director of Marketing Europe, Sophos. Ils cachent leurs liens vérolés et leurs pièces jointes malveillantes dans des e-mails d’apparence légitime qui captent l’attention du destinataire en évoquant les sujets qui l’intéressent le plus… «L’ingénierie sociale a la cote car la psyché humaine reste le maillon faible de tout système de sécurité», écrivent les experts de Fortinet dans une note
Arnaques en tous genres
Partout dans le monde, des arnaques sont signalées. Ici, un e-mail envoyé par un transporteur et dont la pièce jointe était supposée indiquer le report d’une date de livraison en raison du ralentissement de l’activité dans les ports en Chine. Cliquer sur la pièce jointe déclenche l’installation d’un logiciel d’exfiltration de données.
Là, des messages qui invitent leurs destinataires à répondre à des campagnes de dons pour la recherche sur la maladie afin d’hameçonner les données personnelles des internautes. Ou encore un e-mail avec en tête OMS dressant une liste de précautions à prendre pour éviter l’infection et lançant par la même occasion l’installation d’un logiciel aspirant automatiquement tous les mots de passe préenregistrés sur l’ordinateur…
Le télétravail a ses règles
Avant toute chose, voici quelques questions à se poser en tant que chef d’entreprise afin de limiter les failles de sécurité informatique, suggère encore Mathieu Lardinois. L’antivirus, les différents programmes ainsi que le système d’exploitation (Windows, Apple, Android, Linux) sur le PC des collaborateurs sont-ils bien à jour ? Est-ce qu’un VPN est installé sur les PC des collaborateurs afin qu’ils puissent se connecter de façon sécurisée à l’entreprise ? «Ensuite, il suffit de mettre en place quelques règles simples…»
Priorité, bien évidemment, à la politique de mot de passe. Autrement dit, changer régulièrement son mot de passe. Mais aussi utiliser des mots de passe complexes, autrement dit bannir les «12345» ou «ABCDE». Utiliser plutôt une combinaison de majuscules, minuscules, chiffres et symboles). Et avoir plusieurs mots de passe -varier selon les services.
Sensibilisez vos collaborateurs !
«Conscientisez vos collaborateurs !», conseille encore Mathieu Lardinois. Première mesure, la plus évidente : ne jamais communiquer ses mots de passe. Ne pas envoyer de courriels professionnels depuis sa messagerie personnelle. Vérifier la source des e-mails, examiner la demande, ne pas ouvrir de pièces jointes d’expéditeurs inconnus.
«Actuellement, a constaté l’éditeur McAfee, des pirates tentent de profiter des craintes des gens, en prétendant vendre en ligne des masques de protection par exemple. Leur objectif est simple : inciter les utilisateurs à révéler leurs informations de carte de crédit… Surtout, n’ouvrir aucune pièce jointe à un e-mail, ni cliquer sur des liens dont on n’est absolument pas sûrs . C’est parfois difficile télétravail !»
Ces articles parlent de "Cybersecurity"
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC