Sécuriser le télétravail prendra du temps, mais la pédagogie et la démocratisation des outils de sécurité finiront par réduire les risques, estime le directeur France WatchGuard, Pascal Le Digol.
Alors que la France démarre son second confinement pour endiguer la pandémie de COVID-19, le télétravail va de nouveau avoir la cote, comme les autorités le réclament. Travailler depuis son domicile offre certains avantages mais présente aussi (et surtout) certains inconvénients pour de nombreuses utilisateurs, notamment sur le plan de la sécurité, trop souvent sous-estimée, au sein des plus petites entreprises entre autres. Pour discuter de ce qui semble être un vrai problème culturel, nous sommes allés à la rencontre, à l'occasion des Assises de la sécurité à Monaco, de Pascal Le Digol, directeur général France de WatchGuard, une entreprise qui propose des outils et solutions pour renforcer la sécurité de l'environnement de télétravail.
Interview de Pascal Le Digol, directeur général de WatchGuard France
Clubic : Pour celles et ceux qui ne connaissent pas encore WatchGuard, pouvez-vous nous présenter rapidement les principales activités de l'entreprise ?
Pascal Le Digol : L'activité historique de WatchGuard est la sécurité périmétrique, donc les pares-feux pour sécuriser les entreprises, petites ou grandes. Nous proposons également des solutions Wi-Fi pour sécuriser les infrastructures Wi-Fi, car nous oublions souvent qu'un tel réseau se pirate. On retrouve aussi des solutions d'authentification multifacteur, qui vont permettre de se parer par exemple des vols de mots de passe. Plus récemment, nous avons proposé des solutions de sécurisation des postes de travail et des serveurs, portées par la mise en place du télétravail.
"Ce qui a changé, c'est la volumétrie des gens qui se sont mis au télétravail"
Le télétravail justement, c'est un petit peu nouveau aujourd'hui dans le paysage français, même si certains l'ont adopté depuis plusieurs années. Quelle est la priorité chez WatchGuard ?
Il y en a plusieurs. Nous allons nous retrouver autant à faire de la sensibilisation qu'à donner les outils pour contrer les attaques menées contre les environnements de télétravail, chez les gens. Ce qui a changé cette année, c'est la volumétrie des gens qui se sont mis au télétravail. La Covid-19 a poussé ce changement. Des millions de gens ont basculé en télétravail, sans avoir conscience de ce que ça implique en termes de sécurité informatique. Jusqu'à présent, ils étaient derrière un réseau d'entreprise, avec les solutions adéquates.
Vous parliez des professionnels et des particuliers. On ne s'adresse donc pas de la même manière selon qu'on parle à un particulier, à une petite entreprise ou à une grande société ?
Les problèmes sont les mêmes pour tout le monde. Mais les outils mis à disposition ne sont pas les mêmes. Une grande société aura déjà mis en place de l'authentification forte et de la sensibilisation. La précipitation du télétravail a fait qu'il n'y a eu aucune préparation, aucune transition. WatchGuard travaille avec un réseau de partenaires, partenaires qui ont été débordés en devant trouver des ordinateurs un peu "à l'arrache." Tout cela a donné lieu à des mauvaises pratiques, comme le fait d'utiliser son PC personnel pour se connecter au réseau de l'entreprise. On peut donner directement accès aux hackers ici. Beaucoup de PME sont passés en télétravail pour leur survie économique, en se disant que la sécurité, on s'en occuperait plus tard. Mais non, il faut vraiment faire de la sensibilisation et mettre les bons outils en place.
"L'EDR (Endpoint Detection and Response) est une fonction plus avancée que l'antivirus, cela élève le niveau de sécurité"
Quels sont les outils, selon vous, à mettre en place dans le cadre du télétravail ?
Tous les VPN des entreprises doivent être sécurisés avec de l'authentification multifacteur. Un utilisateur à qui on a volé son mot de passe permettrait au pirate de se connecter, ailleurs, dans le réseau de l'entreprise. Il faut aussi sécuriser l'accès aux applications qui sont dans le Cloud, vers lequel beaucoup de PME ont dernièrement bifurqué. Et le phénomène est le même : si on vole le mot de passe d'un utilisateur pour accéder à son CRM (ndlr : logiciel de gestion de la relation client) en Cloud, on accède à la base client de l'entreprise etc., c'est catastrophique.
Le poste, lui, est relié au réseau Wi-Fi de la box de l'utilisateur, qui a sur le même réseau son PC personnel, sa console ou son mobile, qui eux, ne vont pas être protégés. Il faut penser au cloisonnement. Il faut clairement dissocier le monde pro du monde perso. En segmentant les usages, on gagne déjà énormément en sécurité. Le poste de travail de l'entreprise, lui, disposera des outils de sécurité de l'entreprise. L'antivirus sur le poste, c'est bien, mais il y a aussi l'EDR, qui est une fonction plus avancée de l'antivirus où l'on ne va pas juste chercher où sont les malwares, mais où on va tout catégoriser : ce qui est bon et ce qui n'est pas bon. Cette nouvelle technologie, arrivée ces dernières années, aidera à protéger des postes qui ne sont plus derrière des firewalls d'entreprise, et d'arriver à un niveau de sécurité proche.
On peut aussi penser aux coffres-forts pour mots de passe. Une technique des hackers est d'arriver à volet le mot de passe d'un outil personnel de la cible, comme son mot de passe Facebook, qu'il va tester sur l'environnement pro. On se rend compte que bien souvent, ce sont les mêmes.
"On est sur un vrai problème culturel, générationnel, ça devrait démarrer à l'école en réalité"
Le travail de pédagogie risque d'être long...
Il est long, car on le répète dans des milieux qui sont toujours les mêmes. Si je prends l'exemple des Assises, je pense qu'un panneau sur deux parle d'EDR. Demandez à quelqu'un dans la rue, personne ou presque ne saura ce que c'est. Il ne suffit pas d'évangéliser dans une sphère, il faut apporter des explications plus simples à tout-un-chacun. L'ANSSI fait un gros travail là-dessus par exemple. On est sur un vrai problème culturel, générationnel, ça devrait démarrer à l'école en réalité. II ne s'agit pas de parler de technique précise, mais au moins de donner des bonnes pratiques, des concepts, de faire comprendre comment les pirates fonctionnent.
Les carences que vous pointiez du doigt, on peut les chiffrer. Outre le ransomware, qui touche de plus en plus d'entreprises, Zscaler a noté une augmentation de 85% des attaques de phishing au mois de mars, mois du premier confinement. Avec la progression du télétravail, doit-on s'attendre à ce que les choses évoluent encore ?
C'est un double impact télétravail et Covid-19. Avant la pandémie, on prenait des exemples qui parlaient à tout le monde, par exemple, des emails liés aux impôts au moment où il fallait s'occuper des impôts, ou au Black Friday plus récemment. C'est un peu de l'ingénierie sociale : on essaie de manipuler le cerveau de la personne pour l'inciter au clic ou au téléchargement. Une grosse partie de l'activité de piratage est basée sur la faille humaine. Les pirates ont toujours cherché des thématiques sur lesquelles surfer pour prendre des gens au piège. En l'espace de trois mois, on a eu un condensé de tout ce que savent faire les pirates sur tous les sujets, avec la Covid-19.
"Une grosse partie de l'activité de piratage est basée sur la faille humaine"
Il existe aussi des moyens d'aider les utilisateurs dans leur processus de sécurisation, comme la double authentification, imposée par de plus en plus de sites et services, comme les banques où la loi européenne l'exige. Est-ce qu'il faut l'étendre à tout le Web ?
J'en reviens à l'aspect culturel. Très souvent, en France, la sécurité, c'est "tant que je ne me suis pas fait avoir, ça va aller, on continue comme ça." Le jour où on se fait avoir, les budgets se débloquent, c'est la panique à bord et on finit par mettre en place ce qu'il faut. Le problème est vraiment plus culturel qu'économique. Comparée aux autres pays européens, la France est en retard là-dessus.
Les pirates s'attaquent désormais aux sous-traitants des grands comptes, pour ensuite faire mal à ces grandes entreprises...
Beaucoup de PME se disent qu'en tant que petites entreprises, elles ne risquent rien. Mais sur Internet, la petite société normande se trouve au même endroit que New York ou Hong-Kong, mais on ne le réalise pas. La PME se croit non-ciblée, alors que dans les faits, le pirate s'attaque à ce qui est le plus facile et ce qui va lui rapporter le plus rapidement possible de l'argent.
"Quand le pirate sait que vous avez appris, alors il progresse"
J'aime bien jouer avec les chiffres. On dit souvent qu'il y a tel pourcentage de PME attaquées, mais en fait, on reçoit tous du phishing, on reçoit tous ces mails qui tentent de vous faire cliquer. Donc ce sont 100% des entreprises françaises, 100% des particuliers qui se font attaquer, en permanence. Que les attaques soient réussies ou pas, c'est autre chose.
J'appelle cela le jeu du chat et de la souris. En 2016, il y a eu l'épisode des faux mails Free. Ils étaient bourrés de fautes d'orthographe, il y avait des incohérences. Les gens ont appris à reconnaître ces mails. Sauf qu'aujourd'hui, un mail de phishing qui vous parvient va arriver de Netflix, qui vous promet un compte gratuit, avec un format parfait, aucune faute d'orthographe. Quand le pirate sait que vous avez appris, il progresse.
Clubic aux Assises de la sécurité 2020
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
