Pendant le confinement, 40% des Français ont expérimenté le télétravail, alors que la précipitation n’a pas forcément permis à certaines entreprises de sécuriser leurs données. Le modèle est parti pour durer. Est-il compatible avec la cybersécurité et la protection contre les attaques malveillantes ?

Ce soir-là, Claude, a soigneusement fermé ordinateur et tiroir, pris son manteau et salué ses collègues. Puis s’est engouffrée dans sa voiture. Arrivée chez elle dans la banlieue de Montpellier, elle a refermé la porte d’entrée, s’est lavée les mains soigneusement, a verrouillé les fenêtres, condamnant au moins en pensée l’accès aux courants d’air peut-être infectés par le coronavirus qui tue, dans le froid, dehors. Comme des centaines de milliers de Français, après l’annonce du confinement ce 17 mars, Claude va poursuivre son activité en télétravail. Son employeur lui a indiqué de rester chez elle.

Le lendemain matin, elle s’est servi un café, s’est installée devant son laptop professionnel et s’est connectée à Internet via la box familiale. Et, sans le savoir, elle a laissé une porte béante à une armée anonyme de hackers malveillants. Derrière d’autres tasses de café, parfois à l’autre bout du monde, sans postillons mais masqués, au moins virtuellement, ils ont pénétré les serveurs de son entreprise, pillé ses données, parfois sensibles, pour les revendre sur un marché parallèle ou pour rançonner son entreprise. Avec en sus, une publicité détestable pour son employeur.

Claude n’existe pas vraiment, mais ce scénario n’est pas très éloigné de ce que redoutent les professionnels de la sécurité informatique depuis les premières heures du confinement et la généralisation du télétravail. L’avenir donnera raison à ce qui aurait pu sembler un excès de précaution : l’éditeur en sécurité Barracuda Networks a ainsi enregistré en mars un bond de 667% des e-mails d’hameçonnage, une technique de fraude sur Internet qui vise à obtenir des renseignements confidentiels pour usurper l’identité de la victime, par rapport à fin février. En janvier, on constatait quelque 1 200 attaques informatiques liées au Covid-19. En avril, on en comptait 380 000. « Les pirates ont profité de la détresse circonstancielle des gens pour opérer du phishing, tenter des fraudes, indique Gwénaël Rouillec, directeur de la cybersécurité de Huawei France, par exemple en prétextant d’offrir des masques pour se protéger du Covid, ou de donner de l’argent pour soutenir des hôpitaux. »

Et ce n’est que la partie immergée de l’iceberg car la mesure de l’activité malveillante sur une période est difficile : « On ne peut pas voir les retombées de ces incidents dans le futur car il y a toujours un temps entre la survenue de l’attaque et sa connaissance un peu plus tard, explique Christophe Longuepez, directeur de la BU Sécurité offensive et défensive de Openminded. Soit parce que, quand on vole des informations, on va les monétiser plus tard sur le darknet par exemple, et ce temps est plus long, soit parce que les entreprises ne sont pas capables de voir et comprendre ces incidents. » La mesure du niveau de risque ne se verra donc qu’avec le temps.

L’affaire a mobilisé dans l’urgence la communauté des DSSI, les directeurs de la sécurité des systèmes d’information, ces professionnels de la cybersécurité des entreprises. « Les entreprises ont très fortement ouvert leurs systèmes d’information sur l’extérieur pour lever un certain nombre de contraintes et permettre à leurs collaborateurs de travailler en dehors de l’entreprise’, indique Christophe Longuepez.

En supprimant la barrière géographique, on ouvre une surface d’attaque beaucoup plus importante, à la manière d’un château-fort dont on enlèverait les fortifications, laissant la liberté à chacun d’y entrer.Christophe Longuepezà franceinfo

Dans la foulée des annonces ministérielles, un guide des bonnes pratiques est même envoyé en urgence par Mylène Jarossay, présidente du Club des experts de la sécurité de l’information et du numérique (Cesin) à ses membres, quelque 300 RSSI (responsables sécurité des systèmes d’information) en poste dans des entreprises de toutes tailles. Parmi les recommandations à l’intention des entreprises qui basculeront en télétravail, un appel à la vigilance sur la résistance des connexions VPN (Virtual Private Network) qui permet de connecter, via un tunnel, des ordinateurs sur un réseau virtuel en évitant le recours à des pare-feux ou des proxys pour protéger les infrastructures, ou encore sur la non-disponibilité de certains prestataires potentiellement débordés et la recrudescence de messages invitant à se connecter sur des espaces partagés online frauduleux.

Pour la majorité des entreprises, le message a été entendu ou devancé par les initiatives de DSSI prudents. Mais parfois, dans l’urgence et la précipitation, corollaires inamicaux de la nécessité, certaines entreprises n’ont pas hésité à demander à leurs salariés de travailler depuis la maison avec leur ordinateur personnel : c’est ce que l’on appelle le BYOD (Bring Your Own Device : « Apporte ton propre appareil »). « Procéder ainsi sans prétentions d’un point de vue sécurité, c’est une catastrophe », prévient Alain Bouillé, délégué général du Cesin et RSSI du Groupe Caisse des Dépôts. « Comment faire pour récupérer en toute sécurité deux mois de données stockées sur des ordinateurs personnels ?, s’interroge-t-il. C’est inenvisageable. Vous n’avez aucun contrôle sur les postes de travail : quelques uns de mes confrères s’arrachent en ce moment les cheveux pour tenter de récupérer cette situation… »

J’ai des dizaines d’exemples de choses qui ne se sont pas bien passées, car du jour au lendemain, selon les entreprises, le nombre de télétravailleurs a été multiplié par cinq, dix, quinze, vingt, voire plus.Un expert en cybersécuritéà franceinfo

« Certaines infrastructures ne sont pas assez robustes pour digérer cela, pointe un expert reconnu de la cybersécurité dans le monde de la défense qui a souhaité conserver l’anonymat. On a vu tomber certaines infrastructures de grands groupes. » Et lorsqu’une infrastructure tombe, sa disponibilité tombe aussi. Avec en sus, ses sécurités. « Certains secteurs d’activité, comme le secteur bancaire, sont très mûrs sur les sujets de continuité d’activité car ils sont très régulés par la Banque de France et leurs tutelles régulatrices, poursuit-t-il. Mais dans d’autres secteurs, ça n’est absolument pas le cas. Dans ces derniers, quand le service tombe, cela peut s’avérer très compliqué dans l’improvisation, faute de préparation. »

C’est sans compter le « facteur Claude », comme notre télétravailleuse fictive de Montpellier : le facteur humain. Sorti de son environnement habituel, le collaborateur en télétravail n’est pas conditionné comme étant au bureau, dans une structure, avec hiérarchie, règles et bonnes pratiques. « Il n’a pas son collègue en face de lui, sourit cet expert en cybersécurité. Il est plutôt, si l’on caricature, dans sa cuisine avec son café, son fils en seconde à côté de lui qui lui demandera peut-être d’utiliser rapidement son ordinateur pour consulter ses mails, imprimer quelque chose pour l’école… Et sur la clef USB, peut-être existait-il un programme malveillant. »

« Lors de cette crise du Covid-19, nous nous sommes aperçus que les entreprises qui ont mis en place le télétravail n’y étaient pas forcément préparées, faute de matériel ou de stratégie d’entreprise existante, complète Gwénaël Rouillec, directeur de la cybersécurité de Huawei France et par ailleurs réserviste chargé de mission numérique au sein du cabinet du directeur général de la gendarmerie nationale. Mais les gens avaient besoin de continuer le travail, avec des outils qui leur étaient propres. » Avec, en creux, la problématique du niveau de sécurité des matériels utilisés pour répondre à l’urgence. « Les gens n’ont pas tous un ordinateur ou une tablette à la maison, et certains les ont parfois sortis d’un coin du placard pour pouvoir télétravailler, note Gwénaël Rouillec. Certains de ces matériels et logiciels sont parfois obsolètes, pas mis à jour, ou avec des systèmes qui ne sont pas pérennes, qui ne sont plus maintenus par ceux qui les ont développés. » Et qui, donc, ne sont pas pris en compte par le support informatique de l’entreprise.

Par ailleurs, le télétravailleur passe parfois, pour se connecter, par la box standard de la maison, avec des accès distants inadaptés et non supportés par l’entreprise. « Cela peut provoquer des dénis de services, poursuit le militaire, qui ne sont pas volontaires mais liés aux tentatives de connexion infructueuses. Les services informatiques ont essayé de faire au mieux de ce qu’ils pouvaient pour donner accès au legacy, c’est-à-dire aux outils de travail pour assurer la continuité. » Et lorsque l’outil lui-même, de par son architecture, n’est pas adapté, et n’est pas conçu pour un accès à distance, le service n’est pas disponible à distance. Nous l’avons vu plus haut : faute de disponibilité, la cybersécurité ne peut être garantie puisqu’elle est l’une de ses conditions.

« Cette arrivée massive et forcée du télétravail a mis en danger, dans un premier temps, les continuités de service de ces entreprises. Mais globalement, elles ont rebondi et se sont adaptées, tempère Gwénaël Rouillec. Notamment en communiquant avec leurs collaborateurs, pour pouvoir utiliser les outils personnels comme des ordinateurs, des tablettes ou des smartphones pour pouvoir continuer le service. » Mis en place dans la précipitation, le télétravail génère donc une dégradation des notions de sauvegarde, de traçabilité et de confidentialité. À l’heure où, bon gré mal gré, près de cinq millions de Français sont actuellement en télétravail, et que certains pourraient bien y rester, comme chez le constructeur automobile PSA, qui s’apprête à mettre au télétravail permanent ses 80 000 employés hors production, le tableau est-il si noir, et le télétravail a priori incompatible avec des exigences de cybersécurité ?

« Le monde du travail ne va-t-il pas profondément changer ?, s’interroge à cet égard Alain Bouillé. Ne va-t-on pas demander aux salariés de rester un peu plus chez eux, quand c’est possible, puisqu’ils ont démontré pendant deux mois qu’ils savaient très bien travailler ? Là où cela a fonctionné, il sera tentant pour les chefs d’entreprise de réduire les mètres carrés de bureaux… » Chiche ! pourrait nous interpeller Claude, de retour sur son lieu de travail.

Aujourd’hui, le nomadisme est une chose qu’il faudra forcément accepter et télétravail et sécurité ne sont pas inconciliables.Christophe Longuepez, Openmindedà franceinfo

« Ce n’est pas forcément contradictoire, poursuit le directeur de la BU Sécurité offensive et défensive de Openminded. Il y a des outils qui permettent de travailler, avec des accès sécurisés, des réseaux chiffrés. »

Pour autant, comment être sûr que celui qui se connecte aux systèmes de l’entreprise est effectivement le collaborateur salarié et non un tiers, potentiellement malveillant, ou, à tout le moins, dangereux pour la sécurité des systèmes ? « Il faudra généraliser des authentifications fortes, avec de multiples facteurs d’authentification, recommande le délégué général du Cesin. Si pour se connecter au réseau de l’entreprise vous n’avez qu’un identifiant et un mot de passe simple, qui peuvent se trouver facilement… Aussi, il faut demander autre chose à l’utilisateur qu’un mot de passe. Voire plus de mot de passe du tout. Cela peut être une empreinte digitale, un SMS à ressaisir, un coup de téléphone. » « Le plus simple, continue Alain Bouillé, c’est un numéro de téléphone enregistré dans le système, qui envoie un SMS à l’utilisateur qui lui permet de s’identifier, auquel on ajoute un mot de passe, soit deux systèmes de quantification. Pour usurper cela, il faut qu’on vous vole votre téléphone et deviner votre mot de passe : cela devient plus compliqué… »

Encore faut-il penser le recours au télétravail autrement que comme une solution de dépannage. « Idéalement, il faudrait que le choix du télétravail soit une décision stratégique, qui émane du comité exécutif d’une entreprise, avec la volonté de mettre en place des outils, des moyens et du matériel, indique Gwénaël Rouillec. C’est une chaîne complète qui suppose un accompagnement des ressources humaines, de l’IT [Information Technology, ou technologies de l’information et de la communication, c’est-à-dire les techniques utilisées dans le traitement et la transmission des informations], de la politique d’achat. Comme remplacer les desktop par les laptop. » Et adapter les moyens aux objectifs, prévoir les outils adaptés, les infrastructures, les licences spécifiques à chaque métier de l’entreprise. « Il faut accompagner les salariés en maintenant coûte que coûte le lien avec le service informatique de l’entreprise, insiste le responsable de la cybersécurité de Huawei. Faute d’accompagnement, vous perdez vos collaborateurs puisqu’ils ne savent plus comment réagir, et ne savent plus ce qu’ils ont le droit de faire ou ne pas faire ».

Or le salarié formé et responsabilisé fait un aussi bon travail chez lui que dans l’entreprise. Les outils existaient déjà et nous avons poursuivi nos efforts, en accompagnant les salariés avec des mails quotidiens sur ces questions-là. Gwénaël Rouillec, Huaweià franceinfo

Mieux vaudrait prévenir que guérir, au moins pour adoucir le choc des crises à venir : « Avant la pandémie et le confinement, conclut-il, nous avions déjà mis en place des séances de sensibilisation à la cybersécurité et la formation de nos collaborateurs. Ces formations ont continué pendant la pandémie, accompagnées par les services des ressources humaines : comment utiliser la visioconférence, le système de messagerie, tenir une réunion. »

Claude, comme de nombreux autres salariés, réintègrera sans doute physiquement son entreprise, à un moment ou à un autre. À regrets, peut-être, ou avec le soulagement d’être enfin tirée d’affaire. Ouf ? Que nenni. Le pire est peut-être à venir, davantage lié à la crise du Covid-19 qu’à l’objet du télétravail.

« Il faut bien comprendre qu’on ne peut pas revenir aussi vite qu’on est partis de l’entreprise, prévient Christophe Longuepez, par ailleurs co-auteur d’un guide pratique pour préparer les entreprises au pilotage du déconfinement cyber. Si on voyage dans une zone à risque, on est placé en quarantaine : c’est la même chose ici. Comme ces machines se sont promenées sur des réseaux particuliers, avec des boxes internet, des consoles de jeux, où ont été installés des logiciels non corporate, le matériel infecté qui reviendrait sur le lieu de travail pourrait déployer ses souches partout où il pourra. » Il s’agira alors de préparer ce retour, en plaçant ces machines en quarantaine dans des réseaux virtuels spécifiques et analyser leur comportement pour voir si elles ont été infectées, si elles sont malveillantes et dans un état d’intégrité normal. Pour les réintégrer ensuite nativement dans les réseaux. Claude et son employeur pourront alors, peut-être, enfin souffler un peu.