Télétravaillez en toute sûreté

Face au développement de la crise du Covid 19, le télétravail, quand il est possible, est certainement, d’un point de vue sanitaire, le choix le plus sûr et le plus responsable. Si cette solution résulte de l’application de mesures prévues, avant la crise, dans un Plan de Continuité d’Activité (PCA), l’organisation du travail, l’équipement en matériels et en logiciels ainsi que la formation des collaborateurs auront été préparés de façon à minimiser les risques. Si comme beaucoup, la mise en place du télétravail est faite dans l’urgence, avec les moyens du bord, il est probable que la sûreté n’a pas été une priorité et c’est normal. Néanmoins, les hackers et autres escrocs le savent et peuvent profiter de cette situation sans aucun scrupule. Le confinement risque de durer, il est maintenant temps de renforcer votre protection.

Avec la mise en place du télétravail en urgence et sans préparation, il y a trois catégories de risques à prendre en compte :

  • Une attaque informatique
  • Une attaque en ingénierie sociale (arnaque au président, faux ordres de virement, faux ordres de livraison…)
  • Une désorganisation des process de travail et des pertes d’informations

Une attaque informatique

Si vous continuez à travailler avec vos stations de travail professionnelles, sur vos serveurs habituels et avec des moyens de liaisons sécurisés (VPN, chiffrement…), les risques ne sont pas plus élevés qu’à l’ordinaire, demandez juste à votre service informatique ou votre prestataire extérieur d’être un peu plus vigilant.

Si, dans l’urgence, vous avez acheté des ordinateurs portables, ou ressorti de vieilles stations des placards, si vos collaborateurs utilisent leurs propres équipements et si vous échangez par email, il convient de mettre en place des mesures simples pour limiter les risques d’attaque :

  • Mettez à jour les logiciels, c’est par les failles de versions anciennes que les hackers entrent. Attention, les appareils neuf sont rarement à jour ;
  • Utilisez un anti-virus, ou activez Windows Defender (je ne vais pas entrer ici dans les débats sur les avantages et limites des uns ou des autres…) ;
  • Avant d’ouvrir une Pj ou un lien, vérifiez l’expéditeur ;
  • Dans la mesure du possible, ne mélangez pas, sur une même machine, les usages professionnels avec les usages personnels. Avec le confinement, la tentation de visiter des sites dangereux augmente (téléchargement illégal, sites de jeux en ligne,….) ;
  • Pour les échanges mails ou si vous utilisez un cloud public, chiffrez vos documents importants. Des fonctionnalités de certains logiciels simples le permettent, vous les avez déjà (pdf, 7z, WinZip…). Il faut juste envoyer le mot de passe par une autre voie que celle utilisée pour le document (SMS, appel téléphonique…) ;
  • Utilisez votre wifi domestique et pas un wifi public (ou mieux la liaison Rj45 sur votre box, en plus c’est plus rapide)

Une attaque en ingénierie sociale

Une attaque en ingénierie sociale consiste à se faire passer pour un responsable de l’entreprise, un client ou un fournisseur, pour demander une action au final préjudiciable (virement, livraison…) ou une information stratégique. En fonctionnement normal, notamment dans les PME et TPE, on peut facilement aller voir le patron pour confirmer un ordre, en période de confinement, les escrocs peuvent plus facilement agir.

Quelques mesures simples permettent de se protéger :

  • Toujours contrôler et confirmer l’identité du donneur d’ordre :
    • vérifiez les ordres ou demandes mails par un appel téléphonique (ou mieux par un appel vidéo de type whatsApp),
    • pratiquez le rétro-appel qui consiste à rappeler l’interlocuteur en composant le numéro (ou l’adresse mail) que l’on a déjà en mémoire et ne pas faire seulement « rappel »,
  • Mettre en place des procédures
    • au sein de l’entreprise (pas de virement supérieur à X€ sans un rétro-appel)
    • avec ma banque (vérification pour tout mouvement supérieur à X€)
    • avec les partenaires….
  • Pour les demandes de virement, être attentif aux coordonnées bancaires et à la localisation de la banque notamment quand celle-ci est domiciliée dans un pays exotique…)
  • Pour les changements d’adresse de livraison, vérifiez avec Google map la localisation.

La lutte contre l’ingénierie sociale est un travail d’équipe et de confiance. Il est important d’informer et de former vos collaborateurs sur les risques. Par ailleurs, ne vos offusquez pas si votre comptable vous passe un appel whatsApp pour confirmer une consigne reçue, au contraire félicitez sa réaction.

Une désorganisation des process de travail et des pertes d’informations

Un des biens les plus précieux, les plus valorisables, d’une entreprise est son stock d’informations, sa mémoire. La constitution de ce stock est généralement structurée, mais également en partie, informelle. Il est fondamental d’assurer la protection et la continuité de la gestion des informations. Pour cela :

  • Identifiez et qualifiez vos informations et faites effort sur celles qui sont importantes / sensibles / stratégiques / confidentielles / données à caractère personnel
  • Assurez-vous de continuer de faire des sauvegardes
    • en local, chacun doit le faire sur son lieu de confinement
    • au niveau de l’entreprise selon les modalités habituelles mais également en demandant à chacun de « verser » dans la mémoire collective leurs travaux
    • formalisez par des mails ou des notes de synthèse les échanges téléphoniques importants
    • sauvegardez vos SMS
  • Recréez des moments d’échange pour remplacer la réunion du matin ou la pose café où tout le monde se retrouvait. Outre le maintien et le renforcement des équipes cela permet le partage, et donc la mémorisation, d’informations informelles. Inventez un « morning skype » ou un « apéro skype » (sans alcool bien sur…)

La sûreté n’est malheureusement pas toujours une priorité, un chef d’entreprise en ayant beaucoup d’autres. En période de confinement et de télétravail, les vulnérabilités sont accrues et les risques majorés. La protection des informations peut, à peu de frais et d’effort, être renforcée. Pensez-y.

la société bretonne SIEPEL reçoit un prix pour sa Secure Box

Le 23 septembre, au Théâtre de Paris, ont été remis les « Trophées de la sécurité » devant un public de plus de 700 professionnels. Une cinquantaine de projets étaient en compétition. La société SIEPEL, le spécialiste français de la cybersécurité des infrastructures, y a obtenu une médaille d’argent.

La Secure box permet de protéger la confidentialité d’une réunion, en isolant les téléphones des participants. Toute l’expertise des cages de faraday de SIEPEL a été concentrée dans la Secure box. SIEPEL conçoit, fabrique et installe des équipements de sécurité électromagnétiques et acoustiques, tout en étant en mesure de prendre en compte et d’intégrer les préoccupations globales de sûreté de ses clients en fonction de leurs objectifs stratégiques propres.

Félicitations à Christophe Cordes, le président de SIEPEL, et Stéphane Tanguy ainsi que Stéphanie Jegat. Vigi-Lance est très heureux de vous avoir accompagné sur ce projet.

Une société israélienne capable de pirater des données dans le cloud

Encore une fois, le nom de la société NSO est cité pour ses capacités d’intrusion numérique. Après avoir démontré qu’elle pouvait craquer un iphone grâce à son logiciel de hack « pegasus », la firme israélienne laisse entendre qu’elle est en mesure de récupérer toutes données stockées sur les cloud d’Apple, Google, Facebook, Amazon ou Microsoft.

Le cloud est-il pour autant un lieu ou vos données personnelles ou professionnelles sont en libre accès. Non, si vous prenez un minimum de précautions dans l’usage que vous en faite et si vous chiffrez vos données avant leur envoi sur les serveurs. De préférence choisissez une solution de chiffrement sans aucun lien avec le fournisseur de cloud. Par ailleurs, il est important de choisir avec soin votre solution cloud. Celui-ci doit impérativement être en Europe pour bénéficier de la protection du cadre RGPD et ne pas appartenir à une société américaine qui est contrainte par le « cloud act » de donner libre accès aux services américains aux données qu’elle héberge, même hors du sol américain.

La sûreté ce n’est pas de craindre l’évolution mais de la maitriser !

Loi PACTE : la simplification comptable, une mesure de protection des informations

La loi PACTE offre la possibilité aux moyennes entreprises (moins de 40 meuros de CA et moins de 250 salariés) de ne publier qu’une présentation simplifiée de leurs comptes de résultat. N’hésitez pas à utiliser cette opportunité. Outre qu’il s’agit d’une simplification de vos obligations comptables, c’est surtout un outil de protection de vos informations stratégiques.

En effet, la lecture attentive des bilans, comptes de résultat détaillés et rapports des commissaires aux comptes permet d’obtenir de très nombreux renseignements sur une entreprise, sa stratégie, sur sa santé financière et même celle de ses clients. Les comptes publiés livrent, en accès public, vos forces et faiblesses. Toute attaque concurrentielle ou financière sur une entreprise commence par une étude comptable.

La loi PACTE ne va pas encore assez loin. Il n’y a aucun intérêt à obliger à un exhibitionnisme comptable des entreprises qui ne font pas appel à de l’épargne publique (cotation en bourse). La confidentialité des comptes ne nuit pas à l’information des personnes qui peuvent légitimement en avoir besoin (actionnaires, créanciers, banques…) puisque celles-ci peuvent les demander.

RGPD : arrêtez de faire peur

La date du 25 mai est agitée par beaucoup comme un épouvantail….ou un argumentaire de démarches commerciales.

Oui, le RGPD va profondément modifier le rapport des entreprises, et des administrations, aux données personnelles des citoyens européens, non le 25 mai ne sera pas un grand soir qui plongera les entreprises dans le chaos.

Le 10 avril 2018, à l’occasion d’une conférence de presse, la présidente de la CNIL (la Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin, à fait un point sur le RGPD et ses enjeux. Elle s’est montrée rassurante quant à la mise en oeuvre des mesures de contrôle qui accompagneront l’application du règlement européen.

S’il n’y aura pas de « période de grâce », il n’y aura pas, non plus, de « chasse aux sorcières », dit-elle. D’ailleurs, on peut se demander comment la CNIL pourrait, des le 26 mai, lancer une vaste opération de contrôle sur l’ensemble des administrations et des entreprises françaises (plus de 3,5 millions!) et étrangères détenant des données personnelles de français.

De façon beaucoup plus réaliste, La Commission Nationale de l’Informatique et des Libertés souhaite s’engager dans un processus de pédagogie et d’accompagnement. Ce qui est recherché, c’est que les entreprises et les administrations publiques prennent conscience des données à caractères personnels et sensibles qu’elles demandent à leurs clients ou usagers mais également à leurs collaborateurs, qu’elles soient conscientes de leurs responsabilités quant à la conservation et la sécurité de ces données (les exemples de fuites ou de pillages massives de données sont multiples) et qu’elles assument ces responsabilités en cas de perte de données.

Bien entendu, les organisations qui, par leur nature ou par leur taille, collectent déjà beaucoup de données à caractères personnels et sensibles (grandes entreprises, marketing, surveillance, hôpitaux….) feront plus rapidement et plus régulièrement l’objet de contrôles, et les citoyens ne peuvent que s’en réjouirent. L’immense majorité des PME, voire des ETI, ne sera, dans un premier temps, concerné que de loin….tant que ces entreprises ne seront pas touchées par une fuite ou une attaque visant à mettre leurs données sur la place publique….et qu’une plainte ne sera pas déposée par une victime.

C’est pourquoi, il est important pour tout organisme, public ou privé, de pouvoir démontrer qu’il a initié sincèrement une démarche RGPD, que son mode de traitement des données est dans l’esprit du RGPD, c’est à dire, que des données à caractères sensibles ne sont pas demandées sans raisons, qu’elles font l’objet d’une identification et d’un traitement spécifiques mais également d’une attention particulière. Plus qu’un travail de juriste ou d’informaticien, c’est d’abord une œuvre de bon sens et d’inventaire.

D’ailleurs, les entreprises auraient tout intérêt de profiter de ce travail d’inventaire pour le compléter par un examen de l’ensemble des données dont elles disposent et qui, sans présenter de caractères personnels et sensibles, sont, pour autant, vitales pour son développement. Il s’agit en particulier, des données dont le vol ou la dégradation pourraient faire perdre un avantage concurrentiel et avoir des conséquences sur le chiffre d’affaire et l’emploi (secrets de fabrique, plan marketing, données commerciales ou financières….).

Avoir l’esprit RGPD c’est donc :

  • penser RGPD au moment d’initier une nouvelle démarche de collecte d’informations personnelles et de se doter de nouveaux outils numériques pour cela (privacy by design) ;

  • cartographier et caractériser les données à caractères personnels dont on dispose déjà (dans une PME il y a en, en général, finalement assez peu)  ;

  • réagir avec le soucis des individus en cas de pertes de leurs données personnelles (c’est le bon sens)


Une explosion dans une usine pétrochimique suite a une cyber-attaque

Selon le "New York Times", des hackers ont tenté de causer une explosion dans une usine pétrochimique saoudienne en août dernier (image d'illustration)

http://www.parismatch.com

Une explosion dans une usine pétrochimique saoudienne aurait été évitée de justesse en août dernier. Ce cas illustre parfaitement les risques de confluence entre les cyber-attaques, le terrorisme et les enjeux géostatistiques, économiques et politiques.

Une PME peut être victime de ce type d’attaque, non pour elle même, mais pour les dégâts et les pertes humaines qu’une destruction chez elle peut provoquer dans son environnement.

Il convient, de plus en plus, d’envisager sa cyber-sécurité dans une analyse complète de son environnement, de son écosystème mais également de son environnement géopolitique.

La sûreté n’est pas uniquement de la technique.

Slingshot : Un malware discret, spécialisé dans l’espionnage économique ?

http://www.zdnet.fr/actualites/slingshot

Un malware n’a pas forcement pour unique objet de planter vos ordinateurs. Il peut rester tapi dans un coin de vos systèmes informatiques, ne pas se faire remarquer pour mieux copier et piller vos données. Une part importante des attaques informatiques n’est jamais détectée. Il s’agit alors, le plus souvent, d’espionnage économique.

On peut soupçonner une infection par ce type de malware lors de la perte d’un marché ou de l’apparition de produits similaires et concurrents. En complément d’une analyse et d’une sécurisation des systèmes informatique, il sera tout aussi utile de procéder à une analyse de type « contre ingérence économique » de son écosystème.

Le minage de crypto-monnaies, une menace encore mal comprise par les entreprises

https://www.undernews.fr/malwares

Le minage de crypto-monnaie consiste a squatter votre système informatique pour détourner sa puissance de calcul à son profil. L’idéal pour le pirate est de ne pas se faire remarquer pour pouvoir rester chez vous le plus longtemps possible. Pour cela il doit ne pas (trop) faire de dégâts apparents.

D’où une prise de conscience moindre de cette menace. Outre le fait d’héberger un passager clandestin dans vos SI, ces techniques ont quand même l’inconvénient de ralentir vos systèmes, voir de les fragiliser, de les exposer et de les planter.

Uber illustre parfaitement ce qu’il ne faut pas faire en matiere de gestion de crise cyber

http://www.zdnet.fr/actualites

Uber s’est fait pirater les données de 57 millions de clients que l’entreprise entreposait dans un cloud extérieur. Sa réaction est une parfaite illustration de ce qu’il ne faut pas faire dans des cas similaires : elle n’a rien dit à ses usagers et chauffeurs, les laissant en danger pendant plus d’un an, et elle a payé les pirates.

A partir d’avril 2018 et grâce au RGPD un tel mépris de ses clients ne sera plus possible. L entreprise aura 72h pour déclarer le piratage. Au passage, il est intéressant de constater que l’information sort au moment où Uber négocie une partie de la vente de son capital….