Dans la précipitation, les entreprises ont mis en place des moyens de communication pas toujours maîtrisés, entraînant des risques dans la sécurisation de données sensibles.
Etat des lieux des cyberattaques les plus fréquentes en période de COVID, bonnes pratiques de Cybersécurité et préconisations pour bien se préparer au futur déconfinement dès maintenant…

Le 16 mars dernier, à l’annonce du confinement, les entreprises ont mis en place dans l’urgence le télétravail pour tous leurs salariés. Une situation encore jamais vue et pour laquelle peu d’entreprises étaient préparées.
Si l’adaptation à ce nouveau mode de travail a quelque peu perturbé chefs d’entreprises et salariés, elle est devenue pour d’autres un véritable terrain de jeux. En effet, la préoccupation première de la majorité des entreprises a été de savoir si chacun avait un ordinateur à sa disposition et une box avec un bon débit pour pouvoir se connecter à toutes les visio et autres réunions de groupe.

Très peu d’entre elles se sont posé la question de la sécurité des données.

Le COVID-19 et ce confinement ont généré du stress chez les utilisateurs qui se sont montrés moins vigilants qu’ils ne l’auraient été en période normale.
Dans la maison, que l’on utilise son propre ordinateur ou que l’on ramène son ordinateur professionnel, l’environnement dans lequel on travaille n’est pas au même niveau de sécurité que ce qu’on peut espérer dans l’entreprise : box internet pas forcément bien sécurisées, utilisation de matériel inapproprié dans le cadre de l’usage professionnel, utilisation de l’ordinateur par le conjoint ou par les enfants qui téléchargent des vidéos sur des sites pirates,…tout cela constitue des opportunités intéressantes pour les cybercriminels qui profitent de la situation pour s’introduire dans les systèmes en vue de mener des cyberattaques.

Les cyberattaques les plus fréquentes en période de COVID-19

Devant l’urgence de la population à se procurer du matériel tel que gel hydro-alcoolique, gants et masques et à rechercher de l’information sur l’épidémie, les cybercriminels attaquent. D’autant que cette épidémie touche tous les pays du monde et en même temps.
Plus de 600% d’augmentation de tentative d’hameçonnage ont été constatées. Les escroqueries les plus fréquentes ont été liées aux ventes de masque et de gel : faux sites enregistrés sur des serveurs à l’étranger, bannières publicitaires pour récupérer des clients et courriels envoyés aux professionnels de santé qui ont permis le vol de données personnelles et bancaires.
De nombreuses attaques via les emails, SMS ou messages sur les réseaux sociaux concernant les aides publiques ou l’assurance maladie (via le typo squatting : faute de frappe dans les adresses web) ont permis de récupérer là encore de nombreuses données personnelles et bancaires,… sans oublier les ransomware (demandes de rançon pour récupérer l’accès à ses appareils) qui ont également explosées.

Dans ce contexte de BYOD (« bring your own device » : utilisation à titre pro de l’équipement personnel) on note aussi une recrudescence de fausses applications (sur smartphone) ou fausses cartographies sur les données du COVID-19 qui servent à compromettre le mobile ou l’ordinateur afin d’accéder, dans le futur, au système d’informations de l’entreprise.

Et après ?

Ce télétravail « bricolé » permet aux cybercriminels d’avoir aujourd’hui une base de données… prête à être exploitée. Ils attendent patiemment le déconfinement, le retour de chacun dans son entreprise et la reconnexion au système d’informations.

Les bonnes pratiques pendant le confinement

  • Pour le chef d’entreprise et son responsable informatique (quand il y en a un), maitriser, si ce n’est déjà fait, le point d’accès au système d’informations de l’entreprise et mettre à jour la politique de sécurité des systèmes de mise à disposition des outils aux télétravailleurs
  • Mettre en place des outils de supervision qui permettent de voir s’il y a du trafic illégitime sur les plateformes d’utilisation
  • Profiter du confinement pour former les collaborateurs sur les sujets de sécurité informatique (L’ANSSI propose un Mooc sur Secnumacademie.gouv.fr qui permet de se former tout public à la bonne utilisation des systèmes information dans le cadre personnel ou professionnel – site gratuit, formation d’une trentaine d’heures, examen et certificat).
  • Vérifier le niveau de sécurité de sa box
  • Limiter l’usage des équipements personnels pour des utilisations professionnelles
  • Utiliser le matériel professionnel à des fins uniquement professionnelles
  • Mettre régulièrement à jour son système pour limiter la surface d’attaque
  • Sauvegarder ses données off-line, sur des plateformes externes, des logiciels de sauvegarde dédiés ou sur des disques durs externes
  • Quand on reçoit des mails ou sollicitation inhabituelle, vérifier les adresses mails et les adresses de site internet. Ne se fier qu’aux sites reconnus, sites d’état ou sites que l’on sait fiable.
  • Mettre en place des VPN (réseaux privés virtuels) pour partager ses données avec d’autres utilisateursN’oubliez pas que, pendant cette période, les prestataires qui peuvent vous aider sont aussi en confinement.

Au moment du déconfinement

Au moment du retour des salariés dans l’entreprise, s’il n’y a pas eu de mise à jour à distance des équipements électroniques, il y a de fortes chances que le matériel soit compromis. En le branchant à nouveau sur le système d’informations, il risque d’y introduire un « cheval de Troie » qui va venir endommager ou détruire le système à postériori.

C’est ce moment de reprise que les cybercriminels vont privilégier pour lancer leurs attaques.

C’est pourquoi il est indispensable de préparer un plan de reprise d’activité qui doit intégrer des éléments techniques et des éléments humains (qui appeler en cas de problème, où sont les éléments techniques de l’entreprise,…)

Il faut mettre en place la même procédure de sécurité que si les collaborateurs étaient partis à l’étranger.

  • Dans un premier temps, il faut récupérer les postes et les sauvegardes de tous les collaborateurs
  • Vérifier les flux internet
  • Passer le disque dur de chaque ordinateur à l’anti-virus et, pour être sûr qu’il soit bien décontaminé, le reconfigurer entièrement. Une fois fait, réinstaller les données
  • Faire de même avec les sauvegardes. Vérifier qu’elles ne sont pas infectées et, si c’est le cas, les réinstaller sur l’ordinateur
  • Réinitialiser les mots de passe
  • Recloisonner le réseau et fermer les accès distants non-nécessaires
  • Programmer un retour d’expérience pour les risques de crise à venir
  • Sensibiliser les services comptables à une éventuelle recrudescence de faux ordres de virement (ces derniers doivent impérativement être validés par oral et non par mail).

En cas d’attaque, contacter la police ou la gendarmerie
En cas d’attaque, il faut réagir très vite et contacter la police et la gendarmerie. Plus vite elles seront contactées, plus il leur sera facile de tracer le cyber-attaquant, et plus vous aurez de chance, dans le cas d’ordre de paiement frauduleux, de récupérer votre argent.
Pendant le confinement, la police propose une veille cyber et des vérifications de sites et mails qui semblent frauduleux.
Pour contacter directement la police judiciaire : cybermenaces-bordeaux@interieur.gouv.fr

Sites officiels d’assistance et de prévention
Site gouvernemental d’assistance et de prévention du risque numérique : https://www.cybermalveillance.gouv.fr/
Le site de l’ANSSI : https://www.ssi.gouv.fr/
Centre de veille et d’alerte aux attaques informatiques : https://www.cert.ssi.gouv.fr/
CLUSIR (Clubs de la sécurité de l’information en réseaux Nouvelle-Aquitaine) : https://www.clusir-aquitaine.fr/
CNIL: https://www.cnil.fr/

Sites pour la vérification d’emails et de sites Internet
https://www.virustotal.com/
https://u.virscan.org/language/en/urlreportlist
https://virusdesk.kaspersky.fr/
https://urlscan.io/
https://phishing-initiative.fr/contrib/

Merci à La Rochelle Technopôle et aux experts en cybersécurité pour leur témoignage : Olivier Grall, délégué à la sécurité numérique de l’ANSSI pour la région Nouvelle Aquitaine, Paul Bousquet, Commissaire de police à la Direction Interrégionale de Police Judiciaire de Bordeaux, en charge de la cellule cybercriminalité et Didier Spella, Dirigeant de MIRAT DI NERIDE – Expert en stratégie des entreprises et en cybercriminalité.