Cybermenace : Comment anticiper le risque à l’heure du télétravail ?

Aux manettes d’un atelier proposé en visioconférence, Fabrice Lavergne, cocréateur de l’interface CyberDetection, a rappelé que si les grands groupes disposent souvent d’outils pour se prémunir des atteintes à leurs données, les petites structures sont généralement démunies. L’enjeu de protection est pourtant de taille, car les deux catégories d’entreprises peuvent entretenir des liens de sous-traitance. "Nous nous sommes fixé la mission de protéger les TPE et les PME pour lesquelles il n’existait pas, il y a quelques mois, de moyens qui leur étaient accessibles". Et de poursuivre : "On parle souvent des menaces externes, de ces cyberattaquants originaires de Russie. Cela arrive tous les jours. Mais 70% des cybermenaces sont internes. Le risque est dans nos entreprises, car nos collaborateurs travaillent en permanence avec des vulnérabilités. C’est encore plus vrai depuis l’essor fulgurant du télétravail".

Un contrôle bienveillant du télétravailleur

Le chef d’entreprise a un pouvoir et un devoir d’anticipation de ces écueils venus de l’intérieur, qui peuvent avoir des conséquences graves (perte de documents, blocage de logiciels ou de machines...). Et plusieurs sources. "Il y a d’abord l’accident, l’erreur due à un manque de formation ou de pratique". C’est le cas lorsqu’un employé ouvre un fichier déclenchant un ransomware (les données ou le fonctionnement du système sont pris en otage à des fins d’extorsion). Autre type de risque interne, la négligence, qui découle d’une sécurisation insuffisante du lien entre les serveurs de l’entreprise et le terminal du télétravailleur, lequel ne respecte pas toujours les protocoles en vigueur dans ce domaine. Enfin, il ne faut pas oublier l’acte de malveillance. "Nous avons les exemples fréquents d’une personne en phase de licenciement qui, par vengeance, supprime des fichiers. Et de celle qui, par appât du gain, vole des données pour les revendre", explique Fabrice Lavergne, en précisant que les cybercriminels et les concurrents malintentionnés ont parfois recours aux informations affichées sur les
réseaux sociaux pour approcher leurs cibles.
Pour le patron, la surveillance du salarié est possible, "mais elle doit être bienveillante et responsable pour ne pas être illégale". Ce contrôle, qui doit respecter le RGPD sous peine de sanctions financières, est à mettre en place selon une stratégie à trois exigences. Selon le spécialiste, le dispositif doit avoir un objectif clairement défini, être proportionné à ce dernier et basé sur l’information préalable des personnes concernées. Il convient, en la matière, de "leur faire signer une charte informatique et une charte du télétravail".

Un système d’alerte

"Nous sommes au croisement entre la cybersécurité et le social, d’où le terme "cybersocial" que nous avons inventé". Il définit cette nécessaire anticipation qui, au plan technique, repose sur la mise en place d’alertes relatives, par exemple, à l’accès des collaborateurs aux fichiers (à partir des journaux d’événements). Ces "warnings" peuvent aussi s’allumer en cas de suppression et de copie massives de données ou lorsque le temps de travail est excessif, ce qui engage la responsabilité du dirigeant en cas d’accident du salarié en télétravail. Ses connexions en dehors des plages horaires déterminées par l’entreprise peuvent également être détectées, comme sa présence en dehors des zones géographiques autorisées, ses accès aux sites internet, ses phases d’inactivité...
C’est la vocation du système CyberDetection mis au point par l’ingénieur Pierre Gouspy, qui collabore depuis plusieurs années avec Fabrice Lavergne. L’utilisation d’un tel outil de contrôle fait partie des recommandations que ce dernier adresse aux chefs des petites et moyennes entreprises afin de lutter contre la cybermenace. Elles comprennent des actions d’anticipation indispensables : "la sauvegarde des données, la mise à jour automatique des ordinateurs, la sécurisation des mots de passe et l’implication, mais aussi la formation du personnel". Et le spécialiste d’édicter un principe universel : "La peur n’évite pas le danger, la prévention l’atténue".