Télétravail : "Les gens n'ont pas conscience de ce que ça implique en termes de sécurité"

01 avril 2021 à 17h45
10

Sécuriser le télétravail prendra du temps, mais la pédagogie et la démocratisation des outils de sécurité finiront par réduire les risques, estime le directeur France WatchGuard, Pascal Le Digol.

Alors que la France démarre son second confinement pour endiguer la pandémie de COVID-19, le télétravail va de nouveau avoir la cote, comme les autorités le réclament. Travailler depuis son domicile offre certains avantages mais présente aussi (et surtout) certains inconvénients pour de nombreuses utilisateurs, notamment sur le plan de la sécurité, trop souvent sous-estimée, au sein des plus petites entreprises entre autres. Pour discuter de ce qui semble être un vrai problème culturel, nous sommes allés à la rencontre, à l'occasion des Assises de la sécurité à Monaco, de Pascal Le Digol, directeur général France de WatchGuard, une entreprise qui propose des outils et solutions pour renforcer la sécurité de l'environnement de télétravail.

Interview de Pascal Le Digol, directeur général de WatchGuard France

Pascal Le Digol © Alexandre Boero pour Clubic
Pascal Le Digol (© Alexandre Boero pour Clubic)

Clubic : Pour celles et ceux qui ne connaissent pas encore WatchGuard, pouvez-vous nous présenter rapidement les principales activités de l'entreprise ?

Pascal Le Digol : L'activité historique de WatchGuard est la sécurité périmétrique, donc les pares-feux pour sécuriser les entreprises, petites ou grandes. Nous proposons également des solutions Wi-Fi pour sécuriser les infrastructures Wi-Fi, car nous oublions souvent qu'un tel réseau se pirate. On retrouve aussi des solutions d'authentification multifacteur, qui vont permettre de se parer par exemple des vols de mots de passe. Plus récemment, nous avons proposé des solutions de sécurisation des postes de travail et des serveurs, portées par la mise en place du télétravail.

"Ce qui a changé, c'est la volumétrie des gens qui se sont mis au télétravail"

Le télétravail justement, c'est un petit peu nouveau aujourd'hui dans le paysage français, même si certains l'ont adopté depuis plusieurs années. Quelle est la priorité chez WatchGuard ?

Il y en a plusieurs. Nous allons nous retrouver autant à faire de la sensibilisation qu'à donner les outils pour contrer les attaques menées contre les environnements de télétravail, chez les gens. Ce qui a changé cette année, c'est la volumétrie des gens qui se sont mis au télétravail. La Covid-19 a poussé ce changement. Des millions de gens ont basculé en télétravail, sans avoir conscience de ce que ça implique en termes de sécurité informatique. Jusqu'à présent, ils étaient derrière un réseau d'entreprise, avec les solutions adéquates.

Vous parliez des professionnels et des particuliers. On ne s'adresse donc pas de la même manière selon qu'on parle à un particulier, à une petite entreprise ou à une grande société ?

Les problèmes sont les mêmes pour tout le monde. Mais les outils mis à disposition ne sont pas les mêmes. Une grande société aura déjà mis en place de l'authentification forte et de la sensibilisation. La précipitation du télétravail a fait qu'il n'y a eu aucune préparation, aucune transition. WatchGuard travaille avec un réseau de partenaires, partenaires qui ont été débordés en devant trouver des ordinateurs un peu "à l'arrache." Tout cela a donné lieu à des mauvaises pratiques, comme le fait d'utiliser son PC personnel pour se connecter au réseau de l'entreprise. On peut donner directement accès aux hackers ici. Beaucoup de PME sont passés en télétravail pour leur survie économique, en se disant que la sécurité, on s'en occuperait plus tard. Mais non, il faut vraiment faire de la sensibilisation et mettre les bons outils en place.

"L'EDR (Endpoint Detection and Response) est une fonction plus avancée que l'antivirus, cela élève le niveau de sécurité"

Quels sont les outils, selon vous, à mettre en place dans le cadre du télétravail ?

Tous les VPN des entreprises doivent être sécurisés avec de l'authentification multifacteur. Un utilisateur à qui on a volé son mot de passe permettrait au pirate de se connecter, ailleurs, dans le réseau de l'entreprise. Il faut aussi sécuriser l'accès aux applications qui sont dans le Cloud, vers lequel beaucoup de PME ont dernièrement bifurqué. Et le phénomène est le même : si on vole le mot de passe d'un utilisateur pour accéder à son CRM (ndlr : logiciel de gestion de la relation client) en Cloud, on accède à la base client de l'entreprise etc., c'est catastrophique.

Le poste, lui, est relié au réseau Wi-Fi de la box de l'utilisateur, qui a sur le même réseau son PC personnel, sa console ou son mobile, qui eux, ne vont pas être protégés. Il faut penser au cloisonnement. Il faut clairement dissocier le monde pro du monde perso. En segmentant les usages, on gagne déjà énormément en sécurité. Le poste de travail de l'entreprise, lui, disposera des outils de sécurité de l'entreprise. L'antivirus sur le poste, c'est bien, mais il y a aussi l'EDR, qui est une fonction plus avancée de l'antivirus où l'on ne va pas juste chercher où sont les malwares, mais où on va tout catégoriser : ce qui est bon et ce qui n'est pas bon. Cette nouvelle technologie, arrivée ces dernières années, aidera à protéger des postes qui ne sont plus derrière des firewalls d'entreprise, et d'arriver à un niveau de sécurité proche.

On peut aussi penser aux coffres-forts pour mots de passe. Une technique des hackers est d'arriver à volet le mot de passe d'un outil personnel de la cible, comme son mot de passe Facebook, qu'il va tester sur l'environnement pro. On se rend compte que bien souvent, ce sont les mêmes.

"On est sur un vrai problème culturel, générationnel, ça devrait démarrer à l'école en réalité"

Le travail de pédagogie risque d'être long...

Il est long, car on le répète dans des milieux qui sont toujours les mêmes. Si je prends l'exemple des Assises, je pense qu'un panneau sur deux parle d'EDR. Demandez à quelqu'un dans la rue, personne ou presque ne saura ce que c'est. Il ne suffit pas d'évangéliser dans une sphère, il faut apporter des explications plus simples à tout-un-chacun. L'ANSSI fait un gros travail là-dessus par exemple. On est sur un vrai problème culturel, générationnel, ça devrait démarrer à l'école en réalité. II ne s'agit pas de parler de technique précise, mais au moins de donner des bonnes pratiques, des concepts, de faire comprendre comment les pirates fonctionnent.

Télétravail © Pixabay
La pédagogie peut finir par payer ! (© Pixabay)

Les carences que vous pointiez du doigt, on peut les chiffrer. Outre le ransomware, qui touche de plus en plus d'entreprises, Zscaler a noté une augmentation de 85% des attaques de phishing au mois de mars, mois du premier confinement. Avec la progression du télétravail, doit-on s'attendre à ce que les choses évoluent encore ?

C'est un double impact télétravail et Covid-19. Avant la pandémie, on prenait des exemples qui parlaient à tout le monde, par exemple, des emails liés aux impôts au moment où il fallait s'occuper des impôts, ou au Black Friday plus récemment. C'est un peu de l'ingénierie sociale : on essaie de manipuler le cerveau de la personne pour l'inciter au clic ou au téléchargement. Une grosse partie de l'activité de piratage est basée sur la faille humaine. Les pirates ont toujours cherché des thématiques sur lesquelles surfer pour prendre des gens au piège. En l'espace de trois mois, on a eu un condensé de tout ce que savent faire les pirates sur tous les sujets, avec la Covid-19.

"Une grosse partie de l'activité de piratage est basée sur la faille humaine"

Il existe aussi des moyens d'aider les utilisateurs dans leur processus de sécurisation, comme la double authentification, imposée par de plus en plus de sites et services, comme les banques où la loi européenne l'exige. Est-ce qu'il faut l'étendre à tout le Web ?

J'en reviens à l'aspect culturel. Très souvent, en France, la sécurité, c'est "tant que je ne me suis pas fait avoir, ça va aller, on continue comme ça." Le jour où on se fait avoir, les budgets se débloquent, c'est la panique à bord et on finit par mettre en place ce qu'il faut. Le problème est vraiment plus culturel qu'économique. Comparée aux autres pays européens, la France est en retard là-dessus.

Les pirates s'attaquent désormais aux sous-traitants des grands comptes, pour ensuite faire mal à ces grandes entreprises...

Beaucoup de PME se disent qu'en tant que petites entreprises, elles ne risquent rien. Mais sur Internet, la petite société normande se trouve au même endroit que New York ou Hong-Kong, mais on ne le réalise pas. La PME se croit non-ciblée, alors que dans les faits, le pirate s'attaque à ce qui est le plus facile et ce qui va lui rapporter le plus rapidement possible de l'argent.

"Quand le pirate sait que vous avez appris, alors il progresse"

J'aime bien jouer avec les chiffres. On dit souvent qu'il y a tel pourcentage de PME attaquées, mais en fait, on reçoit tous du phishing, on reçoit tous ces mails qui tentent de vous faire cliquer. Donc ce sont 100% des entreprises françaises, 100% des particuliers qui se font attaquer, en permanence. Que les attaques soient réussies ou pas, c'est autre chose.

J'appelle cela le jeu du chat et de la souris. En 2016, il y a eu l'épisode des faux mails Free. Ils étaient bourrés de fautes d'orthographe, il y avait des incohérences. Les gens ont appris à reconnaître ces mails. Sauf qu'aujourd'hui, un mail de phishing qui vous parvient va arriver de Netflix, qui vous promet un compte gratuit, avec un format parfait, aucune faute d'orthographe. Quand le pirate sait que vous avez appris, il progresse.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
11
jvachez
Je ne comprends pas cette mode sur la double authentification, c’est clairement de la mauvaise sécurité. Ca protège des pirates oui, mais le jour où il y a une perte d’accès au moyen d’authentification les gens sont victimes de leur propre sécurité.
Pronimo
Sauf si la demande de support a ete expressément dite par l’utilisateur, faut eviter de passer via le mail reçu et/ou cliqué dans quoi que ce soit.<br /> Faut se rendre manuellement sur le site/service, vérifier dans les historiques si oui on a reçu un mail du support (ou souvent ils ont zendesk et y a toujours un historique) ou encore, demander directement depuis le site si untel a été contacter pour untel motif.<br /> De meme pour les employés, au pire utiliser une machine virtuel si faut ouvrir des pdf et docx des clients!
cyrano66
Et moi qui avait pensé naïvement en lisant le titre qu’il s’agissait de sécurité des personnes.<br /> Sachant que les accidents du travail avec le télétravail ont bien diminué je ne voyais pas le rapport.<br /> Mais bon chacun ses priorités.
ti4444
Ce que je ne comprends pas c’est qu’il existe des systèmes pour bloquer le SPAM ( je pense à https://www.mailinblack.com/ ) et pourtant le phishing existe toujours…<br /> Si on combat le problème à la source, on peut se concentrer sur les vrais problèmes ( formation des personnels…)
Rapidkiller
«&nbsp;Ce qui a changé, c’est la volumétrie des gens qui se sont mis au télétravail&nbsp;»<br /> Ce qui a changé, c’est aussi la définition de volumétrie non ?
carinae
C’est effectivement un problème … Mais ce n’est pas celui des équipes sécu qui elles sont la pour sécuriser le SI. Le problème des utilisateurs ce n’est pas réellement leur soucis premier. Il vaut mieux quelques utilisateurs dans la moise qu’une attaque généralisée du SI qui lui touchera des centaines voire des milliers de personnes… Mais c’est clair que pour celui qui ne peut plus ouvrir de session… c’est un peu embêtant C’est au support a faire le nécessaire
Werehog
Un gros effort de budget (et de compétences) sur les équipes d’admin dans les sociétés, qui à leur tour formeront ou sensibiliseront les autres salariés…<br /> énormément de sociétés ( de services publics) ont très peu (ou pas) d’admin, et quand ils en ont ils sont rarement qualifiés pour la sécurité. Il faut mettre les moyens sur ça en 1er !
Voigt-Kampf
«&nbsp;Les gens n’ont pas conscience de ce que ça implique en termes de sécurité&nbsp;»<br /> C’est clair, entre glisser sur la savonnette dans la salle de bain, et se faire brûler au 3ème degré par la friture… Trop dangereux de travailler chez soi.
clockover
MailInBlack est une solution merdique.<br /> Elle dépend de l’action des utilisateurs pour chaque mail…<br /> Elle est profondément chronophage et anti communication.
ti4444
la première fois que j’ai rencontré cette solution elle me semblais une bonne solution peut être que désormais avec l’IA ( deep learning etc ) on peut avoir une solution plus adaptée
Voir tous les messages sur le forum

Actualités du moment

Netatmo propose un nouveau thermostat connecté
Triton-EV présente son poids lourd à l'hybridation électrique-hydrogène
Super Mario Land 2 : 6 Golden Coins, le « vrai » Mario de la Game Boy
Surfshark VPN lance une offre VPN encore moins chère !
Beyond Good & Evil 2 : selon Yves Guillemot, le développement avance bien
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Mini critique The Mandalorian (S02E01)
Les meilleures séries d'anthologie
Les meilleurs series animes
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Haut de page