COVID-19, entre cybercriminalité et télétravail

Un phénomène inédit de multiplication des attaques cyber s’est développé en même temps que la pandémie du Covid-19. Il y aurait au niveau mondial une augmentation de plus 30 000% de cyberattaques. Les hackers, les groupes mafieux et para étatiques ont utilisé le coronavirus pour lancer des attaques dont la plupart proviennent de Botnets. Ce sont des serveurs informatiques pirates fonctionnant comme des robots lançant des attaques par mail sur les serveurs du monde entier. Avec la mise en place du télétravail, de nombreuses failles informatiques se sont ouvertes permettant le jour venu une vague sans précédent de vol de données stratégiques. « En janvier, on avait constaté 1200 attaques informatiques liées au Covid-19… et on en était à 380 000 début avril ! » rien que sur l’hexagone.

 

Les failles du télétravail

 

Effectuer son travail depuis chez soi en période de confinement oblige les entreprises, associations, administrations ou collectivités à sécuriser leurs matériels pour éviter les attaques possibles.

 

Du fait de la mise en place hâtive du télétravail, l’organisation du travail à la maison s’est parfois faite de manière empirique sans réelle maitrise des mesures de sécurité nécessaires, souvent à distance avec des collaborateurs confinés. Si certaines structures, par leur taille, étaient déjà rodées à la gestion des cyberattaques, en ayant mis en place des systèmes VPN (Réseau Privé Virtuel), elles se sont rendues parfois vulnérables à cause de la massification du télétravail et de son inscription dans la durée. D’autres organisations sans installation ont laissé des ports RDP (Bureau à distance) ouverts aux hackers du monde entier avec à craindre un effet de contamination retard.

 

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) rapporte des attaques contre des cibles très variées telles que des hôpitaux et des systèmes de santé, des sociétés mais aussi des particuliers. 53% des attaques parviennent à infiltrer les environnements de production sans être détectées. [1]

 

 

Avec la crise du Covid-19 a eu lieu une recrudescence d’attaques d’horizons divers :

 

  • Botnets : serveurs informatiques pirates fonctionnant comme des robots et qui lancent des attaques sur un ensemble de réseaux de serveurs corrompus et envoient des centaines de millions de mails par jour.

 

  • Hameçonnage (phishing) : technique frauduleuse pour tromper l’internaute en l’incitant à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.

 

  • Rançongiciels (ransomware) : chiffrent les données personnelles des utilisateurs et en échange de leur décryptage, demandent une rançon pour les libérer. Cela peut aller jusqu’à la destruction des informations cryptées.

 

  • Vols de données : les hackers font pression sur les structures impactées en les menaçant de diffusion ou de revente d’informations confidentielles à but de nuire.

 

  • Failles de sécurité : fausses alertes envoyées par mail par le Fournisseur d’Accès Internet (FAI) pour prendre le contrôle des appareils (ordinateur, équipement mobile, objet connecté, serveur et équipement industriel).

 

  • Faux ordres de virement : escroqueries qui entrainent des pertes financières importantes pour les entreprises.

 

  • Arnaques au faux supports techniques : l’utilisateur pense qu’il a besoin d’un dépannage pour débloquer son appareil, l’incitant à payer un pseudo-dépannage voire à acheter des logiciels inutiles ou nuisibles.

 

 

Les spécialistes de la cybersécurité

 

Le secteur de la cybersécurité, déjà très sollicité avant l’arrivée du Covid-19, a vu son activité exploser avec la pandémie. Les acteurs de ce secteur sont non seulement des entreprises privées mais également des entreprises d’Etat. En voici deux exemples :

 

L’ANSSI : l’agence de cybersécurité de l’Etat a pour premier objectif de préparer les décisions intergouvernementales liées à la sécurité numérique. Elle accompagne les cabinets du président de la République, du Premier ministre dans la sécurisation de leurs systèmes d’information. En complément, elle aide des entreprises d’importance vitale dans leur système de sécurisation d’information tout en contribuant au développement de la recherche en matière de cybersécurité. Son champ d’action s’étend à l’international en soutenant les positions de la France dans le cyber espace.

 

Pour exemple, pendant cette crise sanitaire, l’agence est intervenue dans le secteur public le 14 mars dernier suite à une attaque massive et généralisée de Marseille et de sa métropole (92 communes) touchant les systèmes d’information de ressources humaines, de payes et de finances cryptées à hauteur de 90% par un rançongiciel. Le télétravail de près de 8000 agents a été perturbé à la suite de la coupure à l’accès internet de la métropole, avec obligation d’avoir recours au réseau internet personnel des agents et à la visioconférence.

 

A l’issue de l’analyse de cette attaque, l’ANSSI a publié un rapport [2] préconisant des recommandations pratiques pour les collectivités territoriales afin de limiter l’impact de ces attaques.

 

L’ANSSI est intervenue également le 22 mars dernier auprès de l’AP-HP (Hôpitaux de Paris), victime d’une attaque de déni de service DDoS (saturation par multiples requêtes). La solution Systancia Gate qu’elle a approuvé a permis de sécuriser l’accès à distance par installation d’un système de double authentification ce qui protège à 90% des attaques standards.

 

 

Orange Cyberdéfense, leader européen de la cybersécurité dans le secteur privé.  Créée en 2014 à la suite du rachat par Orange de la société Atheos, elle a repris son activité de sécurisation des infrastructures réseaux et de conseil en stratégie cyber et s’est orientée aujourd’hui vers une activité d’intervention de crise. Elle est d’ailleurs intervenue lors du fameux raid opéré sur TV5 Monde en 2015 en coopération avec l’ANNSI.

 

Ce centre installé à Cesson-Sévigné (Ille-et-Vilaine), répond aux demandes 24h/24 dans un environnement où l’on constate plus de 50% d’attaques supplémentaires de « dénis de service » visant à saturer les réseaux afin de les rendre indisponibles. Aujourd’hui, elle repousse une attaque par jour depuis le début de la crise sanitaire.

 

Préparation au déconfinement

 

A partir du 11 Mai, de nombreux travailleurs vont réinstaller en entreprise leur matériel informatique utilisé durant la période de travail chez eux. Il n’est pas garanti que leur usage ait été exclusivement réservé au travail pour l’entreprise. Le risque étant alors de contaminer tout le réseau de l’entreprise avec un ordinateur qui aurait été infecté par une cyberattaque.

 

Pour y faire face, le gouvernement a mis en place un site internet dédié à ces problèmes de cybersécurité. Le site de « cybermalveillance.gouv.fr » (Assistance et prévention du risque numérique) a pour mission pendant le confinement mais aussi après le déconfinement d’aider les entreprises, particuliers et collectivités victimes de cyberattaques, de les informer sur les menaces numériques, de leur donner des clefs de défense.

 

10 mesures sont conseillées pour reprendre la sécurité numérique après le déconfinement. Les entreprises devront réaliser un diagnostic opérationnel pour détecter les possibles problèmes de sécurité. Vérifier les équipements nomades utilisés pendant le confinement avant de les réutiliser au sein des entreprises. Supprimer les applications utilisées pendant la période de télétravail, réaliser des sauvegardes et établir un plan pour une éventuelle situation future semblable.

~

Les cyberattaques qui se sont développées durant cette période de confinement et de mise en place du télétravail pour les organisations, font craindre aux experts des dégâts irréversibles dans les semaines et les mois à venir, que ce soit en termes de dégradation d’information ou d’espionnage économique. Le budget alloué à la cybersécurité devra augmenter exponentiellement dans les organisations pour assurer leur protection.

 

 

Par ailleurs, le télétravail se poursuivant pour de nombreuses structures après le confinement, les DSI (Direction de Systèmes d’Information) et les fonctions RH vont être amenées à repenser la formation du personnel en télétravail. De nouveaux postes vont se créer dans les organisations pour créer des hotlines fluides, didactiques et protégées afin de répondre à l’explosion de l’utilisation d’outils collaboratifs à distance.

 

Le coronavirus aura déjà activé la transformation digitale de services entiers et cette tendance va forcément se poursuivre avec son maintien dans le temps.

[1] D’après le « Mandiant Security Effectiveness Report 2020 »

[2] Rapport menaces et incidents du CERT-FR

 

Clémentine Notenboom-Guay

 

Sources :

Cybermalveillance.gouv.fr : « Assistance et prévention du risque numérique au service des publics » [En ligne] : https://www.cybermalveillance.gouv.fr/

Le Monde Informatique (16 mars 2020) :  » Confinement : RSSI et entreprises se préparent au pire » [En ligne] : https://www.lemondeinformatique.fr/actualites/lire-confinement-rssi-et-entreprises-se-preparent-au-pire-78448.html

SSI.gouv.fr : « L’ANSSI en un coup d’oeil » [En ligne] : https://www.ssi.gouv.fr/agence/missions/lanssi-en-un-coup-doeil/

Franceinter (05 mai 2020) : « Cybercriminalité : avec le confinement, les attaques ont augmenté de 30 000 % » [En ligne] : https://www.franceinter.fr/justice/cybercriminalite-avec-le-confinement-les-attaques-ont-augmente-de-30-000

LCI.fr (28 mars 2020) :  » Télétravail : les cyberattaques se multiplient » [En ligne] : https://www.lci.fr/high-tech/video-teletravail-les-cyberattaques-se-multiplient-2149427.html

AUCUN COMMENTAIRES

Désolé, les commentaires ne sont plus admis pour le moment.