Crise sanitaire, risque cyber et résilience

Alors que le gouvernement français déroule son plan de lutte contre la propagation du Coronavirus, les entreprises et les administrations incitent leurs salariés à privilégier le travail à distance lorsque cela est possible. Par principe, les options du télétravail et du téléenseignement vont ralentir la diffusion du virus tout en garantissant la continuité d’activité des entreprises et des administrations.

Une fois cette option choisie, les généralisations momentanées du télétravail, des télé-transactions, des téléconsultations et du téléenseignement vont mettre à l’épreuve l’ensemble des infrastructures numériques du pays. Certaines n’ont pas été dimensionnées pour encaisser une montée en charge brutale alors que d’autres peuvent passer à l’échelle facilement.

Dans les zones géographiques rurales, les questions des débits internet insuffisants, du non-déploiement de la fibre ou de l’absence de couverture vont considérablement compliquer la transition vers le télétravail. Ces disparités territoriales vont remettre en lumière la fameuse fracture numérique sagement subie en temps de paix sanitaire par les habitants concernés   mais plus difficilement acceptée en temps de crise et d’isolement forcé.

L’école à distance, l’Université en mode « remote » sont des merveilleux concepts sur le papier que nous allons tester en vraie grandeur dans les prochaines semaines. Bien entendu, nous devons relativiser ces potentielles difficultés techniques face aux drames humains en cours et face à la pression croissante que le secteur de la santé va devoir encaisser.

Au-delà du bilan sanitaire, cette crise pandémique agit également comme un impitoyable révélateur de la robustesse ou de la fragilité des organisations, des systèmes et des infrastructures. Elle vient nous rappeler, au passage, que nous ne sommes jamais à l’abri des cygnes noirs si bien décrits par Nassim Nicholas Taleb en 2010 et qu’il convient de raisonner en termes de risques acceptables.

Le travail à distance généralisé et l’utilisation des moyens numériques au service de l’entreprise en dehors de ses murs étendent considérablement le périmètre du risque cyber. La distribution de ce risque est loin d’être uniforme. Certaines structures vont être plus exposées que d’autres, c’est la raison pour laquelle il convient de bien distinguer les contextes et d’identifier les « points chauds ».

Pour les entreprises habituées aux mécanismes du télétravail, la transition se fera dans la sérénité renforcée par l’expérience acquise et des bonnes pratiques mises en place. Les télétravailleurs habituels n’auront aucun mal à s’adapter à plusieurs semaines d’isolement en maintenant leur activité sans prise de risque supplémentaire. Dans les grands groupes, le RSSI possède (ou a mis en place) un plan de continuité d’activité qui intègre les situations de travail à domicile, souvent à partir des machines de l’entreprise dotées de bonnes protections. Le transfert de données sensibles entre le travailleur posté à son domicile et le système d’information de son entreprise pourra être sécurisé via du chiffrement et tous les systèmes utilisés auront été mis à jour (OS, antivirus, clients de messagerie, plateformes pro déportées).

Les choses se compliquent lorsque l’entreprise est une TPE-PME qui n’a pas d’expérience dans la gestion d’employés en télétravail. Le contexte typique est celui d’une TPE-PME ne disposant d’aucun plan de continuité d’activité (ce qui est la norme) et dont le système d’information est protégé par des outils de cybersécurité standards. Le basculement de la majorité des salariés vers le télétravail modifie la trajectoire des données, leur flux entrant et sortant. La partie des données qui est traitée en interne en fonctionnement normal est amenée à sortir du SI et à transiter sur des postes à distance. C’est cette modification des flux de données qui créé de la vulnérabilité et qui engendre un risque accru de captation, d’exfiltration ou de destruction de données sensibles pour l’entreprise.

Dans ce contexte dégradé, le risque d’usurpation d’identité, de fraude au Président, de fraude au faux virement, au faux fournisseur ou au faux support technique augmente considérablement. Il est important de mettre en garde les salariés agissant à distance et de leur signaler qu’ils deviennent des cibles privilégiées pour les attaquants.

Les collectivités territoriales sont naturellement concernées par l’augmentation du risque cyber induit par la « distanciation sociale ». Les attaquants savent parfaitement exploiter les contextes dégradés et les vulnérabilités créées par une situation d’urgence pour monter des opérations lucratives. Chacun doit savoir qu’il n’y aura aucune trêve durant ces semaines de confinement forcé.

Au titre individuel, nous pouvons tous devenir une cible de fraude via nos boites mails, en recevant un avis de colis recommandé urgent contenant un lien malveillant, un avis de trop perçu, une alerte de résultat d’analyse médicale en ligne, un avis de facture urgente à régler ou un message envoyé par un « ami » qui vous indique qu’il a été testé positif au Coronavirus et qui vous demande de l’aide en ligne… L’environnement de crise est propice à la mise en place d’architectures de données fictives immersives destinées à tromper une cible et à la faire agir contre ses intérêts. Là encore il faut rester très vigilant.

Les premiers cas de cyberfraude ont été enregistrés en Italie et en Suisse. Nous n’en sommes qu’au début.

L’épreuve pandémique sans précédent que nous traversons aujourd’hui doit nous rendre plus résilient et plus prudent face à la montée des menaces. Notre plasticité cérébrale et nos capacités cognitives devraient nous y aider !

Cet article a été initialement publié sur le site Contrepoints :

Télétravail : attention aux risques de cybersécurité !

 

1 Bruno Teboul est consultant, Docteur de l’Université Paris-Dauphine, spécialiste de Philosophie et de Sciences Cognitives, Chercheur associé à l’UTC (Costech), membre du Hub France IA (groupe sécurité-IA).

 

2 Thierry Berthier est chercheur en cybersécurité cyberdéfense à la Chaire Saint-Cyr et CREC Saint-Cyr, copilote du groupe Sécurité-IA du Hub France IA

 

 

Share/Partage

Thierry Berthier

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quatorze − sept =

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.