Acteurs it

L’environnement de travail est une faiblesse face aux cyberattaques

Le | Esn & conseil

Avec la profusion des outils du digital workplace, la généralisation du télétravail et la dématérialisation des environnements de travail, les entreprises ont un risque accru d'être victime de cyberattaques. Avec l’expertise de Corinne Hénin, Républik Workplace Le Média a dressé l’inventaire des menaces numériques provenant du workplace et qui pèsent sur les sociétés.

En 2021, plus d’une entreprise sur deux déclare avoir subi entre une et trois cyberattaques. - © Getty Images/iStockphoto
En 2021, plus d’une entreprise sur deux déclare avoir subi entre une et trois cyberattaques. - © Getty Images/iStockphoto

Au tournant du mois d’août, le fabricant de cloisons amovibles et de salles blanches Clestra Hauserman était contraint de se placer en redressement judiciaire. Une décision en partie due aux conséquences d’une cyberattaque subit en avril, responsable de pertes estimées à 2 à 3 millions d’euros. À l’image de Clestra, un grand nombre d’entreprises subissent des cyberattaques : le dernier baromètre publié par le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) rapporte que plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques en 2021. L’ampleur exacte du phénomène reste toutefois sujette à caution, puisque les entreprises n’admettent pas toujours avoir été victimes.

3 principaux facteurs de risque cyber

Concrètement, la plupart des attaques ont pour but de bloquer l’activité de l’entreprise ciblée. « Des pirates peuvent paralyser les outils informatiques et couper l’accès aux documents stratégiques et exiger une rançon pour rendre l’accès, explique Corinne Hénin, experte en cybersécurité.

Beaucoup de services peuvent poser un problème : routeurs, pare-feu, serveur de base de données, équipements connectés, imprimantes…

C’est la méthode qui demande le moins de besogne pour les pirates, par rapport au vol de données qui n’est intéressant qu'à la condition de trouver un acheteur. » Cependant, la subtilisation de certaines données très sensibles, comme celles sur la santé des collaborateurs qui font l’objet d’une protection juridique, peuvent inciter très fortement les entreprises flouées à payer une rançon afin d'éviter leur diffusion. Dans le cadre des environnements de travail, trois risques majeurs sont à surveiller.

Le phishing

« Le meilleur rapport rentabilité/énergie mobilisée », décrit Corinne Hénin. Sur l’envoi massif de mails, il suffit qu’une personne cliques sur le lien pour que le pirate puisse récupérer les données de sa cible en vue de prendre la main ceux de l’entreprise. Le baromètre du Cesin relève que 73 % des entreprises déclarent le phishing comme vecteur d’entrée principal pour les attaques subies.

Les mots de passe faibles

Autre vecteur fortement risqué, la faiblesse des mots de passe utilisés pour accéder à différents services en ligne. Un défaut qui a pris de l’ampleur avec la généralisation du télétravail. « Lorsqu’un employeur ouvre un port RDP pour qu’un salarié ait accès à son poste à distance, en mettant un mot de passe faible, n’importe qui peut le craquer. Dans certains cas, c’est carrément celui du service utilisé à distance qui n’a pas été changé après l’installation, alors que ces mots de passe sont disponibles sur le site du fabricant ( !), alerte Corinne Hénin. Beaucoup de services peuvent poser un problème : routeurs, pare-feu, serveur de base de données, équipements connectés, imprimantes… « Typiquement, le mot de passe par défaut de certaines caméras IP ou de routeurs est  »admin/admin« . C'était d’ailleurs le même mot de passe par défaut sur la majorité des box, avant que les FAI se rendent compte du problème », rappelle Corinne Hénin.

Le matériel ou logiciel non mis à jour

La plupart des logiciels et outils connectés ont des mises à jour récurrentes et, bien souvent, les utilisateurs tardent à les effectuer. Dans l’intervalle, ces matériels sont vulnérables à une attaque ciblée. « Chaque fois que vous ouvrez un nouveau service en ligne ou que vous installez un objet connecté dans vos bureaux, vous augmentez un peu le risque qu’un d’entre eux soit hackés quand sa version en obsolète », souligne Corinne Hénin.

Bonnes pratiques

Comme pour bien des domaines, la première étape est de sensibiliser les individus aux risques et aux bonnes pratiques à adopter. « L’entreprise est tributaire de ses salariés : si un utilisateur décide de mettre son login comme mot de passe, elle peut difficilement y faire quelque chose… », illustre Corinne Hénin. À l’heure où les environnements de travail sont multiples et où les employés peuvent fréquemment travailler dans des tiers-lieux sur des réseaux wifi partagés, ils doivent veillez à ce que leur connexion soit sécurisée via HTTPS ou un VPN.

L’entreprise est tributaire de ses salariés : si un utilisateur décide de mettre son login comme mot de passe, elle peut difficilement y faire quelque chose…, Corinne Hénin.

Pour les mots de passe, Corinne Hénin suggère de procéder selon les recommandations nord-américaines en utilisant une phrase, avec ponctuation lorsqu’un caractère spécial est demandé. « En l’absence d’un système anti-bruteforce, les pirates sont maintenant capables de casser des mots de passe allant jusqu'à huit caractères, met en garde l’experte en cybersécurité. En outre, il existe des dictionnaires de mots de passe sur Internet provenant d’anciens piratages, sur lesquels des combinaisons trop simples peuvent se trouver, d’où l’intérêt de complexifier son propre code. »

Lorsqu’elles utilisent des clouds (Google Drive, Dropbox…), les organisations ont tout intérêt à cloisonner les différents services. « Il est possible techniquement de faire en sorte que la compta par exemple n’utilise pas le même réseau que les ressources humaines. Ainsi, si l’un des services est victime d’une attaque, elle ne s'étendra pas à l’ensemble des données de l’entreprise », explique Corinne Hénin. Dans cette logique de cloisonnement, il peut aussi être salvateur de limiter l’accès aux documents partagés au strict nécessaire. Une secrétaire aux RH qui n’a pas besoin des documents comptables de son entreprise n’aura accès qu'à ceux qui la concernent, et inversement. Une autre manière de réduire les risques statistiques de voir l’ensemble de son répertoire partagé être piraté.

Une dernière précaution à prendre avec ces outils est de réaliser des sauvegardes régulières des données. « L’idéal est que cette sauvegarde régulière ne soit pas connectée à Internet. Dans certaines grandes entreprises, une personne se rend chaque jour dans la salle des serveurs pour faire une sauvegarde sur bande magnétique et la mettre au coffre », indique Corinne Hénin. Pour les sauvegardes en ligne, il est important qu’elles soient incrémentielles, c’est-à-dire que les copies successives contiennent uniquement ce qui a changé depuis la sauvegarde précédente. « Dans le cas contraire, si une entreprise est la cible d’un ransomware, la dernière sauvegarde va l’importer dans le cloud en écrasant les versions précédentes, et toutes les données seront aux mains des cybercriminels. »

Avec ces bonnes pratiques, les entreprises seront prémunies d’un certain nombre de cyberattaques. Cependant, Corinne Hénin rappelle qu’elles ne seront pas à l’abri d’une vulnérabilité dont les pirates disposent, mais que les éditeurs de logiciels n’ont pas encore identifié…