Télétravail : tout pour éviter les bourdes de sécurité !
Indépendants, dirigeants de petites entreprises et même de plus en plus de salariés ont désormais leur bureau à la maison. Quels sont les impacts sur la sécurisation des données numériques ?
Je m'abonneImaginons une maison. Moderne, "connectée", une maison domotique, et observons quelques minutes la vie quotidienne de cette maison.
Dans ce déroulé, à chaque fois que vous lirez (bip), cela indiquera un risque de sécurité pour l'activité professionnelle de M. X.
Il est 7h45 un mardi. Le fils de M. X réalise qu'il doit impérativement imprimer un document pour le cours de français. Il n'a pas le temps de raccorder l'ordinateur familial à l'imprimante et connecte sa clé USB à l'ordinateur de son père (bip). Plus tard dans la journée, la fille de M. X veut juste " voir un truc rapide sur Internet ", sur l'ordinateur professionnel de son père (bip). Malheureusement, le site Internet consulté était vérolé. M. X, qui attend le virement d'un fournisseur (et c'est urgent maintenant), consulte sa banque professionnelle en ligne (bip).
Samedi soir, M. X et son épouse sont sortis. Leur fils, qui ne peut pas tchater sur ce réseau (pas très connu, un site de " geeks "), parce qu'encore une fois, l'ordinateur familial est occupé, s'installe malgré l'interdiction, au bureau de son père. Le mot de passe de son ordinateur ? Il le connaît, il ne lui a pas fallu longtemps pour décrypter que ce sont les initiales de son prénom et de celui de ses soeurs associées à l'année de mariage de ses parents (bip). Quant au contrôle parental, facile de le désactiver aussi sur l'antivirus, son accès n'est pas protégé par mot de passe (bip).
Jeudi matin. L'ordinateur de M. X est très lent, pas le temps d'attendre pour consulter sa messagerie, il doit partir pour un rendez-vous. Il va la consulter sur l'ordinateur familial (bip).
Nous pourrions continuer ainsi pendant plusieurs pages. La fable vous semble facile ? Soyons honnêtes, ce scenario, pour basique qu'il soit, est réaliste.
Pour infecter un ordinateur, il faut à un malware moderne moins de trois minutes. Une connexion Internet s'effectue en quelques secondes. Pour une action qui va durer en tout 10 minutes, ce sont des kilos de données qui peuvent se trouver endommagées, chiffrées, volées, détournées, perdues, et vous aurez de la chance si on ne vous demande pas en prime une rançon. La clé USB qui a été connectée à votre ordinateur ? Elle a peut-être été connectée à des dizaines d'ordinateurs avant le vôtre, à l'école, chez les élèves.
Mode paranoïde ?
Vous avez le sentiment que l'on vous incite à la paranoïa ?
Faites une introspection, ou plutôt une vérification illico, pour savoir si vous avez réellement mis en place ces quelques bonnes pratiques élémentaires :
- Ne pas autoriser la connexion automatique des dispositifs USB sur votre ordinateur professionnel
- Paramétrer correctement l'antivirus, ce qui suppose... d'avoir un antivirus (CQFD)
- Changer régulièrement ses mots de passe, qui seront " forts ", au moins 8 caractères (majuscule, minuscule, symbole, chiffre)
- Ne pas utiliser un même mot de passe pour plusieurs services en ligne
- Investir dans un gestionnaire de mots de passe
- Utiliser un outil de sauvegarde
- Protéger l'accès à l'antivirus par un mot de passe
- Sécuriser votre messagerie
- Mettre à jour vos logiciels (tous)
- Utiliser un VPN (Réseau Privé Virtuel) si vous devez vous connecter au réseau de l'entreprise
Chaque année, des centaines de milliers d'entreprise subissent des attaques ou des tentatives d'attaques. Les indépendants sont rarement cités dans les études, ils sont pourtant une cible privilégiée, notamment si vie privée et vie professionnelle ne sont pas suffisamment segmentées. Par ailleurs, le " tout-numérique " qui rend nos vies plus faciles (à débattre), charrie aussi avec lui son lot de malwares.
IoT, des gadgets "super", super attaqués
Téléviseurs, caméras de surveillance, montres, réfrigérateurs, voitures, trackers de fitness, caméras vidéo, l'Internet des Objets regorge de gadgets dits intelligents, qui sont surtout connectés à Internet, pour le meilleur et pour le pire.
Peu protégés par les fabricants en amont, ils n'éveillent pas les soupçons des utilisateurs qui les trouvent " géniaux ". Mais, par exemple, pour se connecter à certains périphériques, des combinaisons " login - mot de passe " très simples et largement connues sont installées par défaut sur des centaines de milliers de modèles. Rien de plus facile à récupérer pour des pirates via la méthode de force brute (tester toutes les combinaisons possibles pour trouver un mot de passe).
Pour les six premiers mois de l'année 2019, 73 513 303 attaques sur les objets connectés ont été enregistrées.
Le rapport avec le bureau à la maison ?
Aujourd'hui, que vous soyez sous macOS ou sous Windows, tous vos gadgets, téléphones et ordinateurs sont reliés, interconnectés. Les données transitent en permanence entre les différents appareils et via Internet. Vos conversations peuvent être enregistrées, des caméras activées à votre insu.
La fraude rapporte des millions d'euros aux groupes cybercriminels chaque année.
Plus vous avez d'objets connectés, plus vous êtes susceptibles de recevoir des notifications, alertes, recommandations, vous incitant à donner vos données confidentielles.
Le risque est également de voir votre ordinateur enrôlé dans un botnet pour envoyer du spam, de le voir utilisé comme " récolteur " de cryptomonnaie, auquel cas ses ressources sont utilisées (l'ordinateur de M. X était très lent mardi matin ?).
Dignes d'un James Bond, ces exemples ne sont hélas pas le fruit d'un esprit créatif.
Lire aussi : Cybersécurité : le coût des mots de passe oubliés !
Pour assurer au mieux la sécurité de votre activité professionnelle en travaillant à la maison, il semble que l'adage qui n'a pourtant pas bonne presse soit de rigueur en ce domaine : divisez pour mieux régner.
À propos de l'auteur :
Pierre Curien est directeur France de Doctor Web. Ancien Directeur Général d'Afina, il a rejoint l'éditeur russe de solutions informatiques en 2008.