Le recours accru au télétravail pendant la pandémie de COVID-19 nécessite que les PME prennent des mesures pour se protéger contre la cybercriminalité.
En raison de la pandémie de Covid-19, le nombre de personnes en télétravail a fortement augmenté. D’après l’Office fédéral de la statistique (OFS), 44,2% de la population active a travaillé au moins partiellement à domicile en 2020. Ce taux ne s’élevait qu’à environ 30% l’année précédente. Pour beaucoup d’entreprises, ce phénomène pose la question des mesures de sécurité à prendre pour se protéger des cyberattaques dans le contexte d’un environnement de travail décentralisé. Selon une étude réalisée par le cabinet d’audit Deloitte, un salarié sur quatre en Suisse a remarqué une hausse des arnaques en ligne et de la cybercriminalité. Max Klaus, responsable adjoint cybersécurité opérationnelle pour le Centre national pour la cybersécurité (NCSC), décrit les plus grands dangers dans ce domaine et donne des conseils pour aider les PME à s’en prémunir.
Quelles formes de cybercriminalité sont les plus fréquentes en Suisse?
Max Klaus: Les cas les plus fréquemment signalés au NCSC sont les cas de fraude et de phishing (contraction anglaise des termes hameçonner/pêcher et mot de passe évoquant les vols de données personnelles). Il s’agit par exemple d’un courriel prétendant un problème avec la carte de crédit du destinataire. En cliquant sur le lien fourni dans le courriel, celui-ci est redirigé vers un site Web frauduleux où il est invité à saisir son mot de passe ou son code PIN, ou autre information personnelle de ce genre. Dans le cas du phishing, les criminels cherchent généralement à obtenir des données d’accès à des comptes, applications, ou programmes utilitaires. Outre les courriels de phishing, les attaquants essayent aussi d’installer des logiciels malveillants sur l’ordinateur de la victime en lui envoyant un courriel l’invitant à ouvrir une pièce jointe. Si un ransomware y est par exemple intégré (contraction anglaise de rançon et software désignant un logiciel d’extorsion), les données sont alors cryptées. Si aucune sauvegarde n’a été faite au préalable dans un tel cas, les données sont perdues. Pour les récupérer, la victime doit payer une rançon. Le NCSC recommande par conséquent la plus grande prudence avec les e-mails. En cas de chantage, il ne faut jamais verser de rançon, car elle ne garantit absolument pas que les données soient ensuite débloquées.
Comment la cybercriminalité a-t-elle évolué pendant la pandémie de COVID-19?
Klaus: Nous avons remarqué que les cybercriminels se servaient de la pandémie dans leurs attaques, par exemple avec de fausses boutiques en ligne ou des courriels de phishing dont les sujets touchent à la santé. Le nombre de cyber-incidents n’a cessé d’augmenter ces dernières années, mais aucune hausse perceptible n’a été observée pendant la pandémie. Ce que l’on a constaté en revanche, c’est la hausse des annonces de cyber-incidents. Cela peut être dû au fait que de nombreuses personnes en télétravail ont pris plus de temps pour signaler les cas ou que la sensibilité à ce problème est globalement plus forte.
Comment les entreprises peuvent-elle se protéger quand de nombreux collaborateurs travaillent depuis leur domicile?
Klaus: Dans un premier temps, il est important d’utiliser une connexion RPV pour accéder au réseau de l’entreprise depuis le domicile, et de mettre en place une authentification à deux facteurs, soit qui nécessite une deuxième étape pour se connecter, en plus du nom d’utilisateur et du mot de passe. Un autre point important est la sensibilisation des collaborateurs afin qu’ils prennent conscience des dangers d’internet et qu’ils sachent quel comportement adopter. Par ailleurs, il convient de définir précisément la manière dont le personnel gère les données professionnelles. Quels documents peut-on ou ne peut-on pas imprimer? Que peut-on jeter avec les ordures ménagères, et que faut-il détruire? Les informations doivent être classées dans des catégories comme "interne", "confidentiel", ou "secret" et, pour chacune des catégories, il faut déterminer comment les informations et données doivent être traitées, par exemple lorsqu’elles sont envoyées par courriel.
En télétravail, de nombreux salariés travaillent sur des appareils personnels. Ceux-ci doivent répondre aux mêmes exigences minimales que les appareils de l’entreprise – cela inclut également un logiciel de protection approprié. Les entreprises doivent en outre créer des directives indiquant comment et quand les informations professionnelles doivent être supprimées de ces appareils.
Comment éviter que les collaborateurs ne cachent délibérément des données professionnelles chez eux?
Klaus: Il est bien entendu plus difficile pour les entreprises de surveiller les actions de leurs collaborateurs quand ceux-ci travaillent depuis chez eux. Il existe des solutions de surveillance de réseau qui permettent de contrôler les flux de données au sein du réseau de l’entreprise, afin d’identifier toute activité anormale. Mais ces solutions sont onéreuses et ne sont donc adaptées que pour les PME d’une certaine taille. Pour la plupart des entreprises, il ne reste donc plus qu’à sensibiliser leurs collaborateurs et à les informer des conséquences du vol de données.
Que faire en cas de cyberattaque?
Klaus: Dans les grandes entreprises possédant leur propre service informatique, tous les collaborateurs doivent savoir à qui s’adresser en cas d’urgence. De manière générale, lorsqu’une cyberattaque se produit, il est important que le flux d’informations se déroule sans heurts, afin que les personnes compétentes agissent rapidement, par exemple pour analyser les systèmes concernés et les isoler le plus vite possible. Il peut être utile de décrire ces processus par écrit et de les transmettre aux collaborateurs. Ceux-ci doivent être sensibilisés et familiarisés aux dangers de la cybercriminalité. En général, chaque entreprise doit faire appel au bon sens de ses collaborateurs. Ils doivent agir avec prudence, par exemple en procédant à une vérification quand l’expéditeur d’un message est inconnu. En cas de doute, ils s’adressent directement à un collègue ou un superviseur. Si une entreprise subit des pertes financières dues à une cyberattaque, elle doit immédiatement déposer une plainte pénale auprès des autorités judiciaires compétentes.
