Face au développement de la crise du Covid 19, le télétravail, quand il est possible, est certainement, d’un point de vue sanitaire, le choix le plus sûr et le plus responsable. Si cette solution résulte de l’application de mesures prévues, avant la crise, dans un Plan de Continuité d’Activité (PCA), l’organisation du travail, l’équipement en matériels et en logiciels ainsi que la formation des collaborateurs auront été préparés de façon à minimiser les risques. Si comme beaucoup, la mise en place du télétravail est faite dans l’urgence, avec les moyens du bord, il est probable que la sûreté n’a pas été une priorité et c’est normal. Néanmoins, les hackers et autres escrocs le savent et peuvent profiter de cette situation sans aucun scrupule. Le confinement risque de durer, il est maintenant temps de renforcer votre protection.

Avec la mise en place du télétravail en urgence et sans préparation, il y a trois catégories de risques à prendre en compte :

  • Une attaque informatique
  • Une attaque en ingénierie sociale (arnaque au président, faux ordres de virement, faux ordres de livraison…)
  • Une désorganisation des process de travail et des pertes d’informations

Une attaque informatique

Si vous continuez à travailler avec vos stations de travail professionnelles, sur vos serveurs habituels et avec des moyens de liaisons sécurisés (VPN, chiffrement…), les risques ne sont pas plus élevés qu’à l’ordinaire, demandez juste à votre service informatique ou votre prestataire extérieur d’être un peu plus vigilant.

Si, dans l’urgence, vous avez acheté des ordinateurs portables, ou ressorti de vieilles stations des placards, si vos collaborateurs utilisent leurs propres équipements et si vous échangez par email, il convient de mettre en place des mesures simples pour limiter les risques d’attaque :

  • Mettez à jour les logiciels, c’est par les failles de versions anciennes que les hackers entrent. Attention, les appareils neuf sont rarement à jour ;
  • Utilisez un anti-virus, ou activez Windows Defender (je ne vais pas entrer ici dans les débats sur les avantages et limites des uns ou des autres…) ;
  • Avant d’ouvrir une Pj ou un lien, vérifiez l’expéditeur ;
  • Dans la mesure du possible, ne mélangez pas, sur une même machine, les usages professionnels avec les usages personnels. Avec le confinement, la tentation de visiter des sites dangereux augmente (téléchargement illégal, sites de jeux en ligne,….) ;
  • Pour les échanges mails ou si vous utilisez un cloud public, chiffrez vos documents importants. Des fonctionnalités de certains logiciels simples le permettent, vous les avez déjà (pdf, 7z, WinZip…). Il faut juste envoyer le mot de passe par une autre voie que celle utilisée pour le document (SMS, appel téléphonique…) ;
  • Utilisez votre wifi domestique et pas un wifi public (ou mieux la liaison Rj45 sur votre box, en plus c’est plus rapide)

Une attaque en ingénierie sociale

Une attaque en ingénierie sociale consiste à se faire passer pour un responsable de l’entreprise, un client ou un fournisseur, pour demander une action au final préjudiciable (virement, livraison…) ou une information stratégique. En fonctionnement normal, notamment dans les PME et TPE, on peut facilement aller voir le patron pour confirmer un ordre, en période de confinement, les escrocs peuvent plus facilement agir.

Quelques mesures simples permettent de se protéger :

  • Toujours contrôler et confirmer l’identité du donneur d’ordre :
    • vérifiez les ordres ou demandes mails par un appel téléphonique (ou mieux par un appel vidéo de type whatsApp),
    • pratiquez le rétro-appel qui consiste à rappeler l’interlocuteur en composant le numéro (ou l’adresse mail) que l’on a déjà en mémoire et ne pas faire seulement « rappel »,
  • Mettre en place des procédures
    • au sein de l’entreprise (pas de virement supérieur à X€ sans un rétro-appel)
    • avec ma banque (vérification pour tout mouvement supérieur à X€)
    • avec les partenaires….
  • Pour les demandes de virement, être attentif aux coordonnées bancaires et à la localisation de la banque notamment quand celle-ci est domiciliée dans un pays exotique…)
  • Pour les changements d’adresse de livraison, vérifiez avec Google map la localisation.

La lutte contre l’ingénierie sociale est un travail d’équipe et de confiance. Il est important d’informer et de former vos collaborateurs sur les risques. Par ailleurs, ne vos offusquez pas si votre comptable vous passe un appel whatsApp pour confirmer une consigne reçue, au contraire félicitez sa réaction.

Une désorganisation des process de travail et des pertes d’informations

Un des biens les plus précieux, les plus valorisables, d’une entreprise est son stock d’informations, sa mémoire. La constitution de ce stock est généralement structurée, mais également en partie, informelle. Il est fondamental d’assurer la protection et la continuité de la gestion des informations. Pour cela :

  • Identifiez et qualifiez vos informations et faites effort sur celles qui sont importantes / sensibles / stratégiques / confidentielles / données à caractère personnel
  • Assurez-vous de continuer de faire des sauvegardes
    • en local, chacun doit le faire sur son lieu de confinement
    • au niveau de l’entreprise selon les modalités habituelles mais également en demandant à chacun de « verser » dans la mémoire collective leurs travaux
    • formalisez par des mails ou des notes de synthèse les échanges téléphoniques importants
    • sauvegardez vos SMS
  • Recréez des moments d’échange pour remplacer la réunion du matin ou la pose café où tout le monde se retrouvait. Outre le maintien et le renforcement des équipes cela permet le partage, et donc la mémorisation, d’informations informelles. Inventez un « morning skype » ou un « apéro skype » (sans alcool bien sur…)

La sûreté n’est malheureusement pas toujours une priorité, un chef d’entreprise en ayant beaucoup d’autres. En période de confinement et de télétravail, les vulnérabilités sont accrues et les risques majorés. La protection des informations peut, à peu de frais et d’effort, être renforcée. Pensez-y.

Facebook Twitter Google+ Linkedin Mail