La pandémie de coronavirus a créé de nouveaux défis pour les entreprises qui s'adaptent à un modèle opérationnel, dans lequel le travail à domicile est devenu la «nouvelle normalité». Les entreprises accélèrent leur transformation numérique et la cybersécurité est désormais une préoccupation majeure. Les implications sur la réputation, les opérations, la législation et la conformité pourraient être considérables si les risques de cybersécurité étaient négligés. Cet article examine l'impact de la COVID-19 sur les cyber-risques et les mesures d'atténuation que les entreprises peuvent prendre.
Les restrictions imposées par les gouvernements en réponse à la pandémie de coronavirus ont encouragé les employés à travailler à domicile et même à «rester à la maison». En conséquence, la technologie est devenue encore plus importante dans notre vie professionnelle et personnelle. Malgré cette augmentation des besoins technologiques, il est à noter que de nombreuses organisations ne fournissent toujours pas un environnement de travail à distance «cybersécurisé». Là où les réunions professionnelles se tenaient traditionnellement en présentiel, la plupart se déroulent désormais virtuellement.
En juin 2020 Swissinfo.ch a rapporté des chiffres du NCSC (National Cyber Security Center) montrant que 350 cas de cyberattaques (hameçonnage, sites Web frauduleux, attaques directes contre des entreprises, etc.) ont été signalés en Suisse en avril, contre 100 à 150 habituellement. La pandémie de coronavirus et le développement du travail à domicile ont été considérés comme une cause majeure de cette augmentation, car les personnes travaillant à domicile ne bénéficient pas du même niveau de mesures de protection et de dissuasion inhérentes à un environnement de travail (par exemple, la sécurité Internet).
L'augmentation du travail à distance nécessite une plus grande attention à la cybersécurité, en raison de la plus grande exposition aux cyber-risques. Cela ressort, par exemple, du fait que 47% des individus tombent dans le piège du phishing alors qu'ils travaillent à domicile. Les cyber-attaquants perçoivent la pandémie comme une occasion d'intensification de leurs activités criminelles en exploitant la vulnérabilité des employés travaillant à domicile et en capitalisant sur le vif intérêt des gens pour les nouvelles liées aux coronavirus (par exemple, les faux sites Web malveillants traitant du coronavirus). Une autre considération importante est que (selon le rapport IBM Cost of a Data Breach 2020) le coût moyen d'une violation de données résultant du travail à distance peut atteindre 137 000 $.
Le 8 juillet, la police de la ville de Londres a rapporté que depuis janvier 2020, plus de 11 millions de livres sterling avaient été perdus en raison des escroqueries de la COVID-19. En Suisse, un répondant sur sept à une enquête a été victime d'une cyberattaque pendant la pandémie.
Un bon exemple de la façon dont les criminels exploitent les faiblesses de la cybersécurité lors du travail à distance a été la série de cyberattaques sur les services de visioconférence. Entre février 2020 et mai 2020, plus d'un demi-million de personnes ont été touchées par des violations dans lesquelles les données personnelles des utilisateurs de services de visioconférence (par exemple, nom, mots de passe, adresses de courrier électronique) ont été volées et vendues sur le Dark Web. Pour exécuter cette attaque, certains pirates ont utilisé un outil appelé «OpenBullet».
Les pirates utilisent également des techniques de bourrage d'informations d'identification (« credential stuffing ») pour accéder aux informations d'identification des employés, les données volées sont ensuite vendues à d'autres criminels de cybersécurité. L'une des conséquences est une grave perturbation des entreprises qui dépendent fortement des plates-formes de visioconférence. Le bourrage d'informations d'identification est une forme de cyberattaque par laquelle les pirates utilisent des combinaisons précédemment volées de nom d'utilisateur et de mot de passe pour accéder à d'autres comptes. Cette méthode peut fonctionner, car il est très courant que les individus utilisent la même combinaison nom d'utilisateur / mot de passe sur plusieurs comptes.
Nous avons noté des cas où des membres indésirables et non invités ont accès à des réunions virtuelles et obtiennent des informations confidentielles ou sensibles, qui sont ensuite vendues à un tiers ou mises à la disposition du public pour nuire à la réputation de l'entreprise.
L'environnement des cybermenaces est diversifié:
La plupart de ces menaces se sont intensifiées en raison des opportunités qui se sont présentées lors de l'épidémie de COVID-19.
L'une des raisons de la montée en flèche des cyberattaques peut être due au fait que certaines petites et moyennes entreprises adoptent une approche «Apportez votre propre appareil» (BYOD) (contrairement à une approche «Possession par l'entreprise, mise à disposition personnelle» (Approche COPE, Corporate Owned Personnaly Enabled), ce qui signifie que les employés peuvent utiliser leurs appareils personnels (téléphones, tablettes ou ordinateurs portables) pour accéder aux informations de l'entreprise. Le travail à domicile ne garantit pas le même niveau de cybersécurité qu'un environnement de bureau. Lorsqu'ils utilisent un ordinateur personnel ou un ordinateur portable pour accéder aux fichiers et aux données de l'entreprise (même avec la sécurité d'une solution MDM), les utilisateurs sont plus exposés aux cyberattaques. Par exemple, les employés peuvent ne pas exécuter une analyse antivirus ou anti-malware régulièrement, voire pas du tout. Un environnement de travail à domicile ne dispose pas de mesures sophistiquées de prévention et de détection d'entreprise. De plus, les réseaux Wi-Fi domestiques sont beaucoup plus faciles à attaquer.
L'erreur humaine est un autre sujet de préoccupation. Avant la pandémie, l'erreur humaine était déjà une cause majeure de «cyber-insécurité»: Les employés pouvaient donner involontairement ou imprudemment accès aux mauvaises personnes. Avec le travail à domicile, cependant, le problème est encore plus grave. Lorsqu'ils travaillent à domicile, les employés peuvent être interrompus dans leur travail par des membres de leur famille ou des visiteurs. Ces distractions peuvent rendre les individus plus insouciants. Les systèmes informatiques doivent s'adapter à ces changements dans les pratiques de travail et à l'augmentation du nombre d'erreurs humaines. Cela peut être accompli de nombreuses manières, telles que l'incorporation de délais d'attente dans les systèmes d'information clés, l'amélioration des contrôles pour appliquer le «principe des quatre yeux», l'application de la séparation des tâches (SOD) ou des contrôles automatisés. Après tout, c'est ce qu'on appelle «l'empathie numérique».
Il semble que de nombreux hackers améliorent leur façon de faire et pour capitaliser sur la nouvelle transition des entreprises vers le travail à distance, ils ont développé de nouveaux logiciels malveillants pour attaquer et infiltrer les systèmes.
Avant la pandémie, environ 20% des cyberattaques utilisaient des logiciels malveillants ou des méthodes auparavant inconnues. Pendant la pandémie, cette proportion est passée à 35%. Certaines des nouvelles attaques utilisent une forme d'apprentissage automatique qui s'adapte à son environnement et reste non détectée. Par exemple, les attaques de phishing sont de plus en plus sophistiquées et utilisent différents canaux tels que les SMS et la voix (vishing). De plus, les informations sur les développements des vaccins sont utilisées pour les campagnes de phishing. Les attaques de ransomwares sont également de plus en plus sophistiquées. Par exemple, les pirates combinent des attaques de fuite de données avec des ransomwares pour persuader les victimes de payer la rançon.
Cette recrudescence des cyberattaques sophistiquées appelle de nouveaux mécanismes de détection «de pointe» pour répondre à la menace, tels que «l'analyse du comportement des utilisateurs et des entités» ou UEBA. Cette technique analyse le comportement normal des utilisateurs et applique ces connaissances pour détecter les cas où des écarts anormaux par rapport aux modèles standard se produisent.
Le travail à distance a créé des défis pour de nombreuses petites et moyennes entreprises: Elles n'ont pas été suffisamment préparées à la recrudescence des cyberattaques sophistiquées, et beaucoup de progrès sont nécessaires pour les sensibiliser à la cybersécurité. Avant la pandémie, certaines entreprises étaient opposées à autoriser le travail à distance et notamment lorsqu'il s'agissait d'accéder à des données confidentielles (par exemple les données personnelles des clients bancaires). En peu de temps, les entreprises ont dû augmenter leur capacité et leurs possibilités de travail à distance. Malheureusement, la cybersécurité n'a pas toujours été une priorité clé dans le déploiement rapide des capacités de travail à distance.
Par exemple, certaines entreprises ne vérifient pas que les appareils personnels sont équipés de protections de sécurité standard avant que leurs employés n'accèdent aux données de l'entreprise, en se fiant aux technologies de réseau privé virtuel (VPN) pour effectuer un travail pour lequel elles ne sont pas conçues initialement. Il existe des moyens pour les entreprises de mettre en œuvre des mesures de sécurité sans être intrusives. Par exemple, la vérification d'hôte est une technologie qui valide les spécifications individuelles sur les appareils personnels avant d'autoriser l'accès aux applications d'entreprise. Quand des vulnérabilités sur les VPN sont découvertes et que des correctifs sont produits pour y faire face, il est important d'appliquer ces correctifs en temps en en heure, dans la mesure du possible.
Les employés travaillant à domicile et utilisant leur ordinateur personnel (et même ceux qui utilisent un appareil appartenant à l'entreprise) devraient mettre en œuvre des pratiques essentielles de cyber-hygiène. Ces pratiques comprennent:
Il existe des stratégies de cybersécurité de base que les entreprises peuvent adopter.
Les mesures plus avancées qui peuvent être prises comprennent les suivantes:
La cybersécurité est à l'ordre du jour de la plupart des réunions du comité exécutif, mais devrait peut-être faire l'objet d'une attention particulière compte tenu des menaces croissantes pendant la pandémie. Au milieu de la deuxième vague du coronavirus et des préoccupations concernant une troisième vague potentielle, les entreprises devraient être proactives pour faire face aux menaces et planifier des moyens de prévenir les cyberattaques réussies plutôt que de réagir lorsqu'elles se produisent. Cependant, bien que les mesures de prévention soient importantes, il est également nécessaire de disposer de capacités de détection, de réaction et de récupération en cas de cyberattaque.
Cette pandémie nous a appris que la préparation est essentielle pour réussir à limiter les risques liés aux cyberattaques. La capacité à réagir rapidement à des événements imprévus permet de réduire l'impact d'une cyberattaque. Les entreprises qui bénéficiaient déjà de capacités de travail à distance sécurisées seront mieux préparées à faire face à l'augmentation continue des cybermenaces. Les entreprises qui ont été prises au dépourvu devront évaluer rapidement leur exposition aux cybermenaces et prioriser les initiatives pour combler leurs lacunes en matière de cybersécurité par des pratiques recommandées. En outre, les appareils appartenant à l'entreprise devraient être la norme pour les entreprises permettant l'accès à distance à des données confidentielles et sensibles. Lorsqu'il est acceptable d'accéder aux données d'entreprise à partir d'un appareil personnel, les cyber-risques doivent également être évalués et des mesures doivent être prises pour limiter l'exposition aux cybermenaces.
La réalité est que les entreprises doivent changer leur vision du «si» elles sont attaquées au «quand» et reconnaître que les retombées des violations de la confidentialité des données ou des ransomwares peuvent être dévastatrices sur le plan financier. Il faut également se rappeler que le gain financier n'est pas le seul motif des cyberattaques. L'«hacktivisme» et son objectif de nuire à la réputation des entreprises constituent une menace supplémentaire.
Il existe des moyens de réduire la probabilité et l'impact d'une cyberattaque, mais cela nécessite une action et une planification ciblées. Les entreprises doivent rendre leurs pratiques de travail à distance résilientes aux cyberattaques et améliorer leur développement et leur application de mesures de sécurité.
Pour en savoir plus sur les stratégies de cybersécurité pour votre entreprise, les évaluations des risques de cybersécurité, l'amélioration de la gestion des accès et le renforcement de la sécurité des infrastructures, consultez les services offerts par L'équipe Cyber Risk de Deloitte.