Par Olivier de MAISON ROUGE, Avocat et Docteur en droit, Coprésident de la commission renseignement et sécurité économique (ACE) Auteur de « Cyberisques. La gestion juridique des risques à l’ère immatérielle », LexisNexis, 2018
Parmi les aspects durables qui demeureront à l’issue de la période inédite de confinement, le télétravail figurera en bonne place.
Tout d’abord, parce que des employeurs ont été conduits, parfois malgré eux, à investir dans des supports informatiques mobiles au bénéfice de leurs salariés, mais aussi parce que l’usage aura été pris et que la persistance du virus conduit à maintenir certaines mesures « barrières ».
Et puis, avouons-le, au-delà des avantages et inconvénients liés à cette « domestication » du lieu de travail, les locaux professionnels vont pouvoir être, dans une certaine mesure, une variable d’ajustement dans les années à venir, afin de réduire ce centre de coûts.
C’est pourquoi le télétravail devient un poste de travail à part entière.
État des cybermenaces :
Au préalable, que dit le droit ? Selon le Code du travail (article L. 1222-9) le télétravail est identifié comme « tout forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l’information et de la communication ».
Ce dernier point est précisément source de vulnérabilité.
Si le télétravail présente indéniablement des atouts, le revers de la médaille est sans nul doute un risque accru en matière cyber compte tenu de l’exposition aux intrusions, sabotages et interceptions.
L’HAMEÇONNAGE (PHISHING)
MESSAGES (EMAIL, SMS, CHAT…) VISANT À SOLLICITER DES INFORMATIONS CONFIDENTIELLES (MOTS DE PASSE, INFORMATIONS PERSONNELLES OU BANCAIRES) EN USURPANT L’IDENTITÉ D’UN TIERS DE CONFIANCE.
LES FAUX ORDRES DE VIREMENT (FOVI/BEC)
ESCROQUERIE RÉALISÉE, PARFOIS SUITE AU PIRATAGE D’UN COMPTE DE MESSAGERIE, PAR MESSAGE ET MÊME TÉLÉPHONE, EN USURPANT L’IDENTITÉ D’UN DIRIGEANT OU D’UN DE SES MANDATAIRES, D’UN FOURNISSEUR OU D’UN PRESTATAIRE, VOIRE D’UN COLLABORATEUR, POUR DEMANDER UN VIREMENT EXCEPTIONNEL ET CONFIDENTIEL, OU UN CHANGEMENT DES COORDONNÉES DE RÈGLEMENT (RIB) D’UNE FACTURE OU D’UN SALAIRE. CONSÉQUENCE : PERTE FINANCIÈRE POUR L’ENTREPRISE OU L’ORGANISATION.
LES RANÇONGICIELS (RANSOMWARE)
ATTAQUE QUI CONSISTE À CHIFFRER OU EMPÊCHER L’ACCÈS AUX DONNÉES DE L’ENTREPRISE ET À GÉNÉRALEMENT RÉCLAMER UNE RANÇON POUR LES LIBÉRER. CE TYPE D’ATTAQUE S’ACCOMPAGNE DE PLUS EN PLUS SOUVENT D’UN VOL DE DONNÉES ET D’UNE DESTRUCTION PRÉALABLES DES SAUVEGARDES.
LE VOL DE DONNÉES
ATTAQUE QUI CONSISTE À S’INTRODUIRE SUR LE RÉSEAU DE L’ENTREPRISE, OU SUR SES HÉBERGEMENT EXTERNES (CLOUD), POUR LUI DÉROBER DES DONNÉES AFIN DE LA FAIRE « CHANTER », OU DE LES REVENDRE, OU ENCORE DE LES DIFFUSER POUR LUI NUIRE.
ESCROQUERIE RÉALISÉE, PARFOIS SUITE AU PIRATAGE D’UN COMPTE DE MESSAGERIE, PAR MESSAGE ET MÊME TÉLÉPHONE, EN USURPANT L’IDENTITÉ D’UN DIRIGEANT OU D’UN DE SES MANDATAIRES, D’UN FOURNISSEUR OU D’UN PRESTATAIRE, VOIRE D’UN COLLABORATEUR, POUR DEMANDER UN VIREMENT EXCEPTIONNEL ET CONFIDENTIEL, OU UN CHANGEMENT DES COORDONNÉES DE RÈGLEMENT (RIB) D’UNE FACTURE OU D’UN SALAIRE. CONSÉQUENCE : PERTE FINANCIÈRE POUR L’ENTREPRISE OU L’ORGANISATION.
Ceci nous conduit à préconiser les bonnes pratiques suivantes :
POUR LE SALARIÉ
CONTINUITE D’ACTIVITE EN TELETRAVAIL :
1) CHOISIR DES SUPPORTS DISTINCTS ENTRE ORDINATEURS, TABLETTES ET/OU SMARTPHONE PROFESSIONNELS ET DOMESTIQUES.
2) N’UTILISER QUE LES SUPPORTS FIABLES, DOTÉS D’ANTIVIRUS À JOUR.
3) RENFORCER LES AUTHENTIFICATIONS D’ACCÈS PAR DES MOTS DE PASSE ROBUSTES.
4) UTILISER DES ADRESSES ÉLECTRONIQUES DIFFÉRENTES SELON LES USAGES PROFESSIONNELS OU DOMESTIQUES.
5) PROCÉDER À DES SAUVEGARDES QUOTIDIENNES SUR DES SUPPORTS SÉPARÉS.
6) METTRE À JOUR RÉGULIÈREMENT DES ANTIVIRUS ET AUTRES PROGRAMMES DE SÉCURITÉ.
7) POUR LES COMMUNICATIONS ÉLECTRONIQUES UTILISER LES VPN OU RÉSEAUX CHIFFRÉS.
8) NE PAS TÉLÉCHARGER D’APPLICATIONS ET/OU PROGRAMMES INCONNUS OU PRÉCONISÉS PAR D’AUTRES UTILISATEURS NON IDENTIFIÉS.
9) NE TRANSFÉRER QUE LES DONNÉES STRICTEMENT NÉCESSAIRES À L’ACTIVITÉ PROFESSIONNELLES.
10) VERROUILLEZ À L’ÉGARD DES AUTRES PERSONNES PRÉSENTES DANS L’ESPACE DOMESTIQUE.
11) N’UTILISER QUE DES SUPPORTS EXTERNES (CLÉ USB, DISQUES DUR), IDENTIFIÉS ET FIABLES.
REPRISE D’ACTIVITE PRESENTIELLE :
A l’occasion du retour dans l’entreprise, AVANT DE SE CONNECTER, veiller à INSPECTER les supports numériques :
1) EFFACER LES HISTORIQUES,
2) SUPPRIMER LES COOKIES,
3) FAIRE ANALYSER LES SUPPORTS ET ACCESSOIRES, LE CAS ÉCHÉANT, MODIFIER LES CODES D’ACCÈS.
4) SOUMETTRE LES CLÉS OU AUTRE SUPPORT REMIS AU DSI OU RSSI POUR UN NETTOYAGE.
5) EVENTUELLEMENT, FAIRE UNE NOTE D’ÉVALUATION POUR VOTRE DSI OU RSSI.
POUR L’EMPLOYEUR
1. SENSIBILISER
SÉCURISER, C’EST D’ABORD IRRIGUER ET DIFFUSER LES BONNES PRATIQUES DE PRÉCAUTION À L’ATTENTION DE TOUTES LES FORCES VIVES DE L’ENTREPRISE.
Précision
Une formation adaptée et continue doit être réalisée en interne pour étendre à tous les collaborateurs le souci d’agir au quo- tidien conformément aux règles de sécurité en usage et leur permettre d’avoir conscience des menaces pour les activités et l’entreprise mais aussi l’usage des données personnelles
2. SE CONFORMER À LA RÈGLEMENTATION EN VIGUEUR
L’EFFORT DE CONFORMITÉ DOIT S’APPLIQUER DE MANIÈRE À ÊTRE TOUJOURS AU NIVEAU REQUIS DE PROTECTION NUMÉRIQUE ÉRIGÉ PAR LES TEXTES ET LES INSTITUTIONS, EU ÉGARD AU DOMAINE D’ACTIVITÉ DE L’ENTREPRISE.
3. DEFINIR UNE POLITIQUE DE SÉCURITÉ GLOBALE, EFFICIENTE ET TRANSVERSE
4. ORGANISER LA PROTECTION PHYSIQUE DES INSTALLATIONS ET DES INFRASTRUCTURES
LA SÉCURITÉ DES RÉSEAUX ET DES INFORMATIONS N’EXCLUE PAS LA PRISE EN COMPTE DES SINISTRES
5. PRATIQUER UN EXAMEN RÉGULIER DES RISQUES ET DES VULNÉRABILITÉS
SÉCURISER, C’EST D’ABORD IRRIGUER ET DIFFUSER LES BONNES PRATIQUES DE PRÉCAUTION À L’ATTENTION DE TOUTES LES FORCES VIVES DE L’ENTREPRISE.
Précision
L’entreprise doit procéder à une révision constante des outils de sécurité dédiés. Une telle recension conduira à assurer une mise à niveau de l’ensemble des politiques de sécurité des données.
6. VEILLER À INTÉGRER UNE POLITIQUE DE SÉCURITÉ ADAPTÉE AUX BESOINS DE L’ENTREPRISE
CELA NÉCESSITE UNE CONNAISSANCE PROFONDE DES DONNÉES TRAITÉES AFIN DE POUVOIR OPÉRER UNE CLASSIFICATION DES MOYENS DE PROTECTION DÉDIÉS SELON LEUR NATURE.
7. CLOISONNER LES INFORMATIONS EN FONCTION DU PROFIL DE MÉTIERS DESTINÉS À Y ACCÉDER.
TOUS LES COLLABORATEURS N’ONT PAS BESOIN DE CONNAÎTRE TOUTES LES DONNÉES DE L’ENTREPRISE.
Précision
L’entreprise doit procéder à une révision constante des outils de sécurité dédiés. Une telle recension conduira à assurer une mise à niveau de l’ensemble des politiques de sécurité des données.
8. INTEGRER UNE POLITIQUE PROACTIVE DE RÉSILIENCE
SAVOIR GÉRER ET RÉPONDRE AUX CRISES RENCONTRÉES. ANTICIPER LES URGENCES ET LES INDISPONIBILITÉS. INTÉGRER UN DISPOSITIF INTERNE D’ALERTE.
Précision
La politique de sûreté-sécurité doit intégrer un exercice de gestion de crise pour savoir réagir aux cyber attaques de toute nature et être en mesure de restituer dans un temps donné toutes les données présentes antérieurement au sein de l’entreprise.
9. RAPPELER LES RÈGLES ESSENTIELLES DE TRAVAIL ET CONNEXION À DISTANCE ET/OU EN DÉPLACEMENT
ÉVITER L’USAGE DES PLATEFORMES DE PARTAGE ET LES MOYENS DE CONNEXION PUBLICS. NE TRANSFÉRER QUE LES FICHIERS UTILES.
10. INTEGRER DES SYSTÈMES D’AUTHENTIFICATION FORTE
RECOURIR AU CHIFFREMENT DES DONNÉES STRATÉGIQUES OU SENSIBLES.
C’est bien connu : prudence est mère de sûreté.