Le télétravail deviendrait-il un moyen d’attaques par phishing supplémentaire ?
Alors que, pour de nombreuses raisons, la majorité des employés vivent le télétravail comme une expérience bénéfique, la plupart des Responsables Informatiques redoutent la cyberattaque qui menace leur organisation. En effet, le télétravail implique que les utilisateurs travaillent dans un environnement informatique dont leurs équipes ne peuvent contrôler le niveau de sécurité (si tant est qu’il existe !). Cela est, à juste titre, préoccupant. D’autant plus qu’assurer la sécurité du système d’information demeure une des missions essentielles du Responsable Informatique.
En effet, nous le savons, une mise en oeuvre du télétravail mal “bornée” peut se révéler une véritable opportunité pour les cybercriminels. Selon le CESIN, l’hameçonnage (ou phishing) est le premier des vecteurs d’attaques majeurs de cybermalveillance. La récente crise de la COVID19 nous l’a démontré : le nombre d’attaques par phishing a augmenté de manière exponentielle durant cette période. Sans scrupule, les cybercriminels ont profité de cette “opportunité” pour exploiter les failles de sécurité et les failles humaines.
Un bond de 667% des e-mails de phishing
L’éditeur en sécurité Barracuda Networks a ainsi enregistré en mars
“un bond de 667% …des e-mails d’hameçonnage ciblé
exploitant le thème du Covid-19 pour tenter d’exploiter la peur des utilisateurs”.
(source : le Monde Informatique)
Ces e-mails d’hameçonnage sont truffés de pièces jointes ou liens frauduleux. Lorsque l’utilisateur clique dessus, même par inadvertance, un logiciel malveillant (rançongiciel, cheval de troie) s’introduit dans le système d’information de l’organisation. Ces “ransomware” peuvent également subtiliser des données confidentielles comme :
- votre mot de passe ;
- vos identifiants ;
- vos coordonnées ;
- des données confidentielles…
Les cybercriminels peuvent également effectuer une demande inhabituelle d’argent. Par exemple, la technique d’hameçonnage ciblé comme “la fraude au président” commise en usurpant l’identité d’un tiers de confiance (collègue, responsable…) ou en se faisant passer pour une source “fiable” (fournisseur, administrations, banques, etc).
A titre d’exemples, en :
- vous proposant un remboursement de trop-perçu ;
- vous alertant d’un pseudo “problème technique de sécurité” ;
- demandant une “mise à jour de vos coordonnées”.
Comment éviter les pièges du phishing en télétravail ?
Néanmoins, en adoptant les bons réflexes pour déjouer les pièges du phishing, le télétravail peut-être mis en place sans risque. Pour ce faire, l’utilisateur doit respecter plusieurs fondamentaux, connus de tout Responsable Informatique avisé :
- Dissocier les usages professionnels des usages personnels, notamment la messagerie professionnelle de la messagerie personnelle ;
- Se méfier des e-mails surprenants, inattendus, anxiogènes, urgents…
- Eviter de se fier uniquement à l’adresse mail de l’expéditeur : en cas de doute, contacter personnellement, par téléphone, l’expéditeur concerné ;
- Ne pas cliquer sur les liens présents dans ce type d’e-mails ;
- S’abstenir d’ouvrir les pièces jointes sans avoir vérifié de vive voix avec l’expéditeur qu’il s’agit bien de fichiers fiables ;
- Vérifier l’URL des liens en passant la souris dessus mais sans pour autant cliquer dessus ;
- Rester curieux en menant ses propres investigations ;
- Ne jamais renseigner de données qu’un expéditeur ne devrait pas demander à l’utilisateur ;
- Changer les mots de passe des messageries (et autres comptes) dès lors que l’on suspecte avoir été piraté ;
- Utiliser un mot de passe différent pour chaque compte ;
- Ne pas se connecter à un réseau Wi-Fi public, rarement sécurisé ;
- Utiliser un réseau Wi-Fi sécurisé ;
- Ne pas faire en télétravail ce qui ne se ferait pas au bureau.
Sécuriser le télétravail pour les Responsables Informatiques
Définissez et diffusez une charte de sécurité informatique comportant les préconisations suivantes concernant la gestion de la messagerie :
- Interdisez tout envoi d’e-mails professionnels via la messagerie personnelle et réciproquement ;
- Sensibilisez vos utilisateurs à la cybersécurité, et plus particulièrement sur les bonnes pratiques à adopter quant à l’usage de leur messagerie. En effet, les protections techniques seules ne sont jamais efficaces à 100% si les utilisateurs n’adoptent pas les bons réflexes en matière de cybersécurité ;
Avant De Cliquer est adhérent à la CPME, confédération des petites et moyennes entreprises, tous secteurs confondus : industrie, services, commerce, artisanat et professions libérales et membre du MEDEF, premier réseau d’entrepreneurs de France.
- Fournissez les informations nécessaires pour que l’utilisateur puisse contacter une personne du service informatique en cas de questionnement, de doute et/ou d’un numéro de téléphone en cas d’urgence ;
- Soyez toujours prêt à devoir affronter une cyberattaque, renforcez votre cyber-résilience.
