Covid-19 & cybersécurité : Comment protéger vos données avec des télétravailleurs ?

Les pirates et les attaquants se nourrissent de nos peurs. Tout ce qui peut accroître notre anxiété devient leur arme, ce qui fait de la pandémie actuelle de COVID-19 un moment privilégié pour les cybercriminels qui tentent de tirer profit de la situation en extorquant de l’argent.

Des cybercriminels ont ainsi été pris sur le fait : ils exploitent notre contexte de crise sanitaire en envoyant des mails par milliers, se faisant passer pour des organisations de santé légitimes. Selon un guide publié par les services secrets américains sur les escroqueries de phishing liées au coronavirus, les victimes ont reçu un mail provenant d’une prétendue entreprise médicale, avec des pièces jointes contenant des informations sur le virus.

Cela a eu deux conséquences :

  1. Des victimes ont ouvert la pièce jointe sans méfiance, ce qui a eu pour effet d’affecter leur système
  2. Les victimes ont été invitées à saisir leurs identifiants de connexion de courrier électronique pour accéder aux informations, ce qui a eu pour effet de compromettre les identifiants de connexion.

Que se passe-t-il lorsque tous vos employés travaillent à distance ? De plus en plus d’organisations donnent à leurs employés la possibilité de travailler à domicile en déployant toutes les mesures de précaution nécessaires pour réduire le risque d’infection.

Bien que ce soit une situation inédite et urgente, vous devrez veiller à ce que vos données sensibles restent protégées.

Les défis de la cybersécurité pour les télétravailleurs

Alors que les grandes entreprises disposant d’importants fonds d’urgence peuvent fournir des ordinateurs portables et autres appareils à tous leurs employés travaillant à domicile, ce n’est pas le cas des petites entreprises. Celles-ci devront accepter le travail à partir des appareils personnels de leurs employés.

Ce mode de fonctionnement est semblable au mode “Bring Your Own Device “, mais dans un environnement réseau beaucoup moins sécurisé. Ces appareils externes ne sont pas dotés de dispositifs de sécurité appropriés, et pourraient ouvrir la voie à des pirates informatiques qui voudraient s’introduire dans les réseaux domestiques.

Par ailleurs, les entreprises ne peuvent pas demander à chaque employé de déployer un EDR à domicile en raison des réglementations strictes (GDPR, contrats, etc.) et des problèmes techniques potentiels.

Si vous êtes une entreprise qui déploie rapidement des services en cloud, vous devriez vérifier vos paramètres de sécurité. Dans la précipitation, les solutions cloud peuvent exposer une entreprise à de nombreuses menaces.

La sécurité physique de l’ordinateur portable ou du PC d’un télétravailleur constitue un autre défi. Si l’appareil est volé ou compromis, les données qu’il contient sont également menacées.

Il serait également critique de considérer que tous les dispositifs sont exempts de toute vulnérabilité et sont régulièrement surveillés. Les menaces internes peuvent aussi représenter un grand risque pour votre organisation. Certains employés peuvent par exemple exploiter leur liberté en accédant discrètement à la propriété intellectuelle.

Un autre défi est celui de la grande vulnérabilité des données sensibles passant par des réseaux WiFi non sécurisés. Alors que pouvons-nous faire pour éviter ces problèmes et limiter les risques ?

Conseils de cybersécurité dans ce contexte

Afin de minimiser le risque d’une cyberattaque par le biais des employés travaillant à domicile :

  • Éduquez et informez vos employés sur les différents risques qu’ils pourraient courir en raison d’un réseau et d’une machine non sécurisés. Créez une série de courriels éducatifs et rappelez-leur les risques d’ouvrir un mail infecté.
  • Ajoutez un avertissement aux mails provenant de l’extérieur, soit dans l’objet, soit dans le corps du mail. Si un mail contient [EXTERNE] dans l’objet, vos employés doivent être prudents.
  • Demandez à votre personnel d’activer toutes les configurations et fonctionnalités de sécurité du cloud ou de réaliser une évaluation des vulnérabilités avec TEHTRIS et de surveiller les événements de sécurité.
  • Rendez l’authentification multifactorielle obligatoire pour tous vos services en ligne. En plus du nom d’utilisateur et du mot de passe, l’authentification multifactorielle demande aux utilisateurs d’effectuer une étape de sécurité supplémentaire, comme la saisie d’un numéro d’identification à partir de leur portable.
  • Surveillez en permanence vos services cloud. Configurez le niveau de surveillance qui est fourni avec votre achat standard ou obtenez des services de sécurité supplémentaires. Vous aurez besoin d’un SIEM.
  • Effectuez des évaluations de vulnérabilité du cloud à partir de sites distants.
  • Exigez un chiffrement complet du disque sur tous les PC distants pour protéger les données inactives stockées. Ainsi, en cas de vol de la machine, le contenu de l’appareil restera protégé.
  • Assurez-vous que vos employés pointent leurs paramètres DNS vers une solution qui vérifiera la fiabilité des sites que vos employés visitent (OpenDNS) ou utilisent des proxies, même dans le cloud.
  • Limitez l’accès au VPN, car cela pourrait exposer vos données à un risque de sécurité important. Remplacez la nécessité pour eux d’entrer dans le réseau par des services cloud. Limitez les heures d’ouverture.
  • Si vous devez permettre l’accès à distance aux systèmes internes, faites-le toujours par l’intermédiaire d’un VPN. N’activez jamais l’accès RDP Windows directement depuis le pare-feu (rappelez-vous le récent CVE pour RDP). Si vous disposez d’un SIEM, vous devriez pouvoir détecter les attaquants utilisant un proxy libre/entreprise, des nœuds offensifs connus, des TOR, etc.
  •  Effectuez une analyse de vulnérabilité sur la limite externe de votre réseau, car vous pourriez y avoir introduit des vulnérabilités en déployant à la hâte des solutions pour les télétravailleurs.
    • Surveillez attentivement tout accès à distance et désactivez toute possibilité de copier-coller ou d’accéder à des disques locaux avec des bureaux à distance.
    • Exigez de vos télétravailleurs qu’ils utilisent un réseau WiFi séparé pour leur travail afin d’isoler les données et de se tenir à l’écart du WiFi public utilisé par de nombreuses personnes.
    • Assurez-vous que vous disposez d’une véritable solution Endpoint Detection and Response, pour lutter contre les vulnérabilités inconnues. Vous avez besoin d’une politique spécifique. Un bon EDR peut par exemple reconnaître lorsque l’employé est à distance, avant ou après l’utilisation du VPN, offrant ainsi différents types de relations de confiance.
    • Conservez toutes les preuves de toutes les connexions, sur vos passerelles VPN, sur vos serveurs internes, comme avec Active Directory à travers au moins 4624 événements… Si vous avez une intrusion, ces logs vous aideront à trouver qui était où, comment et pourquoi. C’est très facile si vous avez un Cyber SIEM : pas seulement un beau SIEM, mais un SIEM avec les bonnes corrélations…
    • N’oubliez pas votre flotte de mobiles. Il faut effectuer des scans de sécurité sur ces appareils, surtout si vous fonctionnez avec Android, grâce à des options et des politiques spécifiques au-delà de votre infrastructure MDM.
    • Vous devriez déployer des barrières internes, pour forcer le confinement entre les zones sensibles. Cela permettra de bloquer les mouvements latéraux des espions et des vers informatiques avec demande de rançons. D’une certaine manière, un NTA/NIDS pourrait être utile, bien que la première étape consiste bien sûr à déployer des agents EDR partout, même sur les serveurs.
    • N’hésitez pas à déployer des leurres afin de tromper les attaquants. Par exemple, un dispositif BYOD pourrait être infecté et, pour des raisons juridiques, vous pourriez ne pas avoir le droit de déployer un EDR sur l’ordinateur à domicile, qui est malheureusement connecté à votre VPN du fait de la crise COVID-19. Si vous avez des honeypots, l’ordinateur infecté à domicile sera détecté lors de l’analyse de votre réseau interne. Cela fonctionne comme un système d’alarme.
    • Utilisez autant que possible des technologies qui s’appuient sur de l’automatisation pour vous débarrasser des agresseurs sans attendre l’analyse d’un ingénieur en informatique. Ce dont vous avez besoin, c’est d’un logiciel de sécurité qui agit comme un cyber-robot qui détectera les menaces indésirables et inconnues, avec une neutralisation globale. Raison pour laquelle vous avez besoin d’une plateforme XDR… Un SOAR seul ne sera qu’une perte de temps et d’argent. En ce sens, une plateforme XDR, en plus du SIEM, de l’EPP, de l’EDR et des honeypots vous aidera considérablement.

    Depuis janvier, plus de 4 000 sites web sur la thématique du COVID-19 ont vu le jour, avec des estimations selon lesquelles 5 % d’entre eux sont suspects et 3 % malveillants. Ces sites web sont susceptibles d’être utilisés dans le cadre de campagnes de courrier électronique pour inciter les victimes à cliquer sur des liens de spam et de phishing.

    Ensemble, nous pouvons y arriver.