La pandémie mondiale de la COVID-19 a changé comment nous vivons, interagissons et travaillons. Des milliers d’organisations ont été forcé d’avoir recours au télétravail suite aux recommandations et obligations gouvernementales. Le travail de la maison est devenu commun en 2020 alors qu’il était pratiquement un luxe il n’y a pas si longtemps. Depuis mars 2020, des millions d’individus partout dans le monde travaillent ou travailleront de la maison, et la tendance semble s’installer et persister.
Cependant, comme personne n’avait prédit une crise sanitaire mondiale en 2020, les employeurs et employés n’étaient pas préparés pour le télétravail. Autant les particuliers que les entreprises ont dû s’adapter très rapidement à leur nouvelle réalité. Les employés n’ont plus nécessairement les ressources en matière de cybersécurité auxquels ils avaient plus rapidement accès auparavant en étant physiquement présents au bureau. Maintenant, ils sont laissés davantage à eux-mêmes face à l’augmentation des cyberattaques et autres cybermenaces. En effet, de nombreux fraudeurs utilisent les insécurités créées par la crise sanitaire pour envoyer encore plus d’attaques informatiques [1] [2] [3]. Parmi ces attaques informatiques, on y retrouve les rançongiciels, les courriels frauduleux, les attaques d’hameçonnage et plus encore. La cybercriminalité est une menace sérieuse qui touche toutes les organisations, peu importe leur taille et le nombre d’employés qu’elles possèdent.
Cet article tente de fournir autant aux employeurs qu’aux employés des conseils pratiques afin de se protéger des attaques informatiques en forte croissance pendant la pandémie.
Les attaques d’hameçonnage
Les attaques d’hameçonnages sont reconnues pour s’appuyer sur les émotions afin de tromper les individus et les inciter à cliquer sur des liens ou à donner des informations confidentielles[1]. Elles peuvent prendre différentes formes, mais visent toutes à accéder à l’ordinateur et son contenu. Depuis le début de la pandémie, on note une recrudescence de courriels frauduleux qui jouent sur les sentiments de la victime en créant un sentiment d’urgence ou d’insécurité et/ou s’apparente à un courriel légitime.
Voici une liste de dix conseils précieux afin d’identifier les courriels frauduleux et éviter de tomber dans le piège [2] :
Mesures générales recommandées aux compagnies
Voici plusieurs conseils pratiques et recommandations que les compagnies devraient suivre afin de se protéger des attaques informatiques.
Trucs et astuces [1] :
1. Activer l’authentification multifacteur, en ajoutant une autre couche de sécurité à toutes les applications que vous utilisez.
2. Utiliser un gestionnaire de mots de passe afin d’éviter des comportements très risqués comme l’enregistrement ou le partage d’informations d’identification.
3. Utiliser une solution VPN avec une connexion réseau cryptée.
4. Mettre à jour une politique de cybersécurité bien adaptée au travail à domicile. Aussi, s’assurer que la politique soit adéquate au fur et à mesure que le nombre de personnes à l’extérieur du bureau augmente. La politique doit inclure :
a. La gestion des accès du travail à distance.
b. L’utilisation des appareils technologiques de l’entreprise.
c. Les mises à jour en termes de confidentialité des données afin d’assurer le contrôle des accès aux documents et informations privées.
5. Informer les employés qu’ils doivent communiquer avec leurs collègues pour les questions officielles en n’utilisant que le matériel informatique sécurisé fourni. Si un incident de sécurité se produit sur un appareil personnel d’un employé, l’organisation et l’employé ne seront pas protégés et risquent des conséquences graves.
6. Sécuriser tous les appareils reliés à l’entreprise. Dès qu’un appareil quitte le lieu de travail, il devient vulnérable au piratage.
Mesures générales recommandées aux employées
La liste ci-dessous offre des conseils précieux afin d’aider les employés à se sentir plus en sécurité dans leurs activités quotidiennes [3]:
1) S’assurer de bien comprendre la politique de l’entreprise à propos du travail à distance. Ne pas hésiter à poser les questions nécessaires autant sur les ressources à votre disposition que les accès nécessaires, par exemple pour obtenir un VPN.
2) Utiliser un système d’authenficiation multifacteur afin d’accéder à votre système. Si vous n’en avez pas, demandez-le à votre organisation.
3) Soyez prudent et prenez votre temps pour communiquer. Ceci implique de prendre le temps de bien lire les courriels que vous recevez, s’assurer de ne pas ouvrir un lien inconnu, et porter une attention particulière sur les fautes de français ou le contenu douteux dans les courriels provenant de sources externes.
4) Soyez vigilants face aux courriels frauduleux : n’ouvrez pas le courriel et ne télécharger pas de pièce jointe provenant de source douteuse.
5) Valider les paiements et les demandes de paiement avec une attention particulière.
6) Garder vos systèmes à jour afin d’assurer la protection de vos antivirus. La meilleure façon de ne pas négliger cet aspect est d’activer la notification de mise à jour automatique de votre ordinateur.
7) Ne pas télécharger de contenu sensible ou à risque sur votre téléphone mobile.
8) Vérifier toujours la sécurité de la page internet que vous consultez.
9) Assurez-vous d’avoir un mot de passe sécuritaire : ce qui implique d’utiliser des caractères spéciaux, des lettres et des chiffres.
10) Ne pas laisser votre ordinateur déverrouillé dans un espace public sans surveillance. Votre ordinateur se doit d’être traité comme votre portefeuille ou votre passe-port.
11) Ne jamais assumer la légitimité de l’auteur d’un courriel. Le piratage de courriels et les attaques d’ingénierie sociale n’ont jamais été autant utilisées.
12) Effectuer une sauvegarde tous les jours : des sauvegardes automatiques peuvent aussi être une bonne solution pour éviter des oublis.
13) Porter une attention particulière sur les modalités de vidéo-conférence de votre entreprise. Les services gratuits de vidéoconférence sont généralement plus à risque. Il est important d’utiliser uniquement les services endossés par votre compagnie.
En bref, considérant l’importance d’agir vite et de prévenir un maximum d’employeurs et d’employés face à la menace grandissante des cyber attaques, il est primordial de fournir des ressources à disposition des employés même en dehors du bureau. Les employés doivent être vigilants afin de prévenir des fuites de données importantes, mais pour ce faire, ils doivent être bien formés par leur employeur.
Sources
[1] Ahmad, T. (2020). Corona Virus (COVID-19) Pandemic and Work from Home: Challenges of Cybercrimes and Cybersecurity. SSRN. http://dx.doi.org/10.2139/ssrn.3568830
[2] Herjavec, R. (2020). Cybersecurity CEO: Don’t Let Coronavirus Fears Distract Your Employees From Phishing Scams. Cybercrime magazine. https://cybersecurityventures.com/cybersecurity-ceo-dont-let-coronavirus-fears-distract-your-employees-from-phishing-scams/
[3] Collins, G. (2020) Cyber security: Don’t let cyber criminals capitalise on covid-19 chaos – tips for working from home [online]. LSJ: Law Society of NSW Journal, No. 69, 82-83. <https://search.informit.com.au/fullText;dn=20200811034712;res=AGISPT> ISSN: 2203-8906.
[4] CISA (2020). Telework essentials toolkit. Cybersecurity and infrastructure security agency. https://www.cisa.gov/sites/default/files/publications/20-02019b%20-%20Telework_Essentials-08272020-508v2.pdf