Archives pour la catégorie cyberisque-cybersécurité

Avant dernier post avant la déconnexion estivale. A écouter : CYBERSECURITE : tous concernés !

Un grand merci à la Mêlée Numérique de m’avoir permis de participer à la première édition Jobstic 100% en ligne ! 🤩 Initialement prévue le 25 mars, elle s’est tenu en ligne la 25 juin. Super organisation !

Stéphanie BUSCAYRET – Chief Information Security Officer (CISO)  du groupe LATECOERE – , classée dans les « 100 français qui comptent dans la Cybersécurité », Rémy DAUDIGNY – Délégué Occitanie de l’ANSII -, Laurent Simeoni – Chargé de Mission Lutte contre la cybercriminalité à POLE EMPLOI -, Fabrice Vermande – Product Security Engineer au sein du groupe AIRBUS – et moi-même avons participé à la première table ronde :

 » Cybersécurité, tous concernés ».

Si vous souhaitez nous écouter, voir ou revoir les tables rondes et l’atelier, c’est par ici 👉 https://lnkd.in/gdJyziu

Encart pub

 

Télétravail et Risques

Je vous propose une analyse intéressante de Caroline Diard, Docteur en sciences de gestion de l’institut Mines-Télécom Business School et professeure associée en management des RH et Droit à l’EDC Paris Business School sur le télétravail vu sous l’angle du risque et de sa nécessaire gestion.

Vous y retrouverez décrite l’identification de ce risque / ses causes / ses conséquences de celui-ci et le cadre juridique qui l’accompagne et joue-jouera son rôle d’amplificateur.

Télétravail et harcèlement managérial : une situation dangereuse

Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.

04/06/2020

Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).

Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.

Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.

Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.

La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.

L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).

Le risque de harcèlement moral par le manager

Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.

Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.

De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».

Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.

Des dérives amplifiées par le télétravail

Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra  toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives.  Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :

  • culpabilisation,
  • critique et dévalorisation,
  • report de sa responsabilité sur ses collaborateurs,
  • communication floue,
  • changement fréquent d’opinions,
  • mensonges

En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.

L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».

À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.

Télétravail et santé

Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.

Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.

Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.

Initiative intéressante du groupe Y. Rocher : avoir recours aux neurosciences pour gérer les risques.

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils permettent en effet d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité. Nous évoquons cette approche technique et socio-cognitive dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Gestes barrières : le groupe Yves Rocher forme ses salariés grâce aux neurosciences

Pour s’assurer du respect des gestes barrières dans l’entreprise, le groupe Rocher (Yves Rocher, Petit Bateau, Stanhome…) a fait appel aux services d’un spécialiste de « l’ancrage mémoriel« , la société Woonoz.

Par Sylvaine Salliou. Publié le 12/05/2020

Depuis ce lundi 11 mai, les 2.000 salariés bretons du groupe Rocher sont à nouveau accueillis progressivement sur les sites de production, dans le Morbihan et au siège à Rennes. « On compte quelques dizaines de salariés sur chaque site de production, car le recours au télétravail reste massif« , selon Régis Rougevin-Bâville, directeur qualité du groupe Rocher.

Formation accélérée aux gestes barrières

Depuis le 7 mai, ils sont formés aux gestes barrières, grâce à une formation accélérée en e-learning, mise en place en partenariat avec la société Woonoz. L’objectif pour le groupe breton est de s’assurer du respect des gestes barrières au retour dans l’entreprise.

La formation, basée sur le protocole national de déconfinement et co-construite avec les médecins du travail du groupe Rocher, passe en revue plus de cent situations, dont l’hygiène des mains, les distanciations physiques, le port du masque ou encore le nettoyage du matériel se trouvant dans des zones partagées. Ce sont surtout des « situations imagées » avec des photos prises sur les différents lieux de travail du groupe Rocher, selon Régis Rougevin-Bâville.

Une formation basée sur l’ancrage mémoriel

Pour Fabrice Cohen, cofondateur de Woonoz, 80 % des informations délivrées au cours d’une formation sont oubliées dans les sept jours. Or, selon lui, sa société atteint des taux de mémorisation de 93 %, car elle s’appuie sur les dernières connaissances en neurosciences et sur la méthodologie d’ancrage mémoriel, comme le Projet Voltaire, utilisé par six millions de personnes pour se remettre à niveau en orthographe, selon Siegried de Préville, manager des opérations du groupe Rocher. L’ancrage mémoriel consiste à prendre en compte que chacun mémorise d’une façon qui lui est propre.

Il explique que certaines règles et certaines situations mises en image dans la formation, sont connues ou évidentes, mais « l’objectif est de les faire passer à l’état de réflexe« .

Une formation adaptée à chaque apprenant

Le parcours alterne entre tests et révisions où il faut chercher et corriger l’erreur. Il commence par un diagnostic initial des connaissances et se poursuit par deux ou trois sessions de 15 minutes d’ancrage mémoriel. A la fin du parcours de formation, l’apprenant est évalué et il reçoit une attestation qui indique qu’il maîtrise le parcours.
Régis Rougevin-Bâville explique que le moteur d’intelligence artificielle s’adapte aux réponses de l’apprenant : il revient sur les situations non acquises et repère les configurations où sa mémoration est meilleure.

Cette formation sera étendue à l’ensemble des salariés du groupe Rocher en France, c’est-à-dire 6 500 personnes. Selon nos interlocuteurs, ce module peut également servir à d’autres secteurs économiques : « cette formation est transposable à beaucoup de secteurs« . Plusieurs entreprises auraient déjà demandé à tester la formation.

 

Les normes ISO font partie de la Soft-Law adoptée par les entreprises pour gérer leurs risques. L’AFNOR présente une norme pour le management des Plans de Continuité d’Activité.

Coronavirus : avez-vous votre plan de continuité d’activité ?

En ce temps de crise sanitaire, les entreprises constatent avec effroi leur impréparation. Anticiper toute perturbation pour y laisser le moins de plumes possible : voilà l’objectif d’un système de management de la continuité d’activité. Et c’est une norme volontaire qui en donne les lignes directrices : ISO 22301. Exceptionnellement, l’AFNOR permet de la consulter gratuitement.  Vous pouvez la consulter gratuitement.

La crise sanitaire que traverse la planète en ce début de printemps 2020 a mis en lumière deux sigles désormais mondialement connus : COVID-19 et FFP2. Le premier désigne le fameux virus ; le second le type de masque censé nous en protéger. Chez AFNOR, on se permettra d’ajouter trois autres sigles qui tombent fort à propos : SMCA, PCA et ISO 22301.

ISO 22301 : le management de la continuité d’activité

Un SMCA, c’est un système de management de la continuité d’activité. Le PCA est son bras armé : le plan de continuité d’activité. Ces deux outils sont décrits dans une norme volontaire internationale : ladite  ISO 22301, dont la dernière version date de novembre 2019 et qu’AFNOR vous propose de consulter gratuitement dans sa boutique en ligne. Pourquoi vous en parler maintenant ? Simplement parce que dans le monde de l’entreprise, il est important d’anticiper une crise, afin de la traverser sans trop de dégâts et de s’en remettre rapidement. « La norme spécifie les exigences pour mettre en œuvre, maintenir et améliorer un système de management afin de se protéger contre les perturbations, réduire la vraisemblance de leur survenance, s’y préparer, y répondre et se rétablir lorsqu’elles se produisent », résume Nicolas Scuto, chef de projet chez AFNOR Normalisation, qui anime le groupe de professionnels ayant mis à jour le document pour la France.

« Inondation, pandémie, coupure du câble télécom dans la rue à cause d’une pelleteuse maladroite… En entreprise, toute perturbation, petite ou grosse, provoque un ralentissement ou une rupture de production, de livraison, de prestation de service, expliquent Yves Mérian et François Tête, membres du Club de la continuité d’activité et contributeurs actifs à la norme, côté français. ll y a dix ans, on attendait six mois, on se faisait indemniser par les assurances et on repartait. Aujourd’hui, ce n’est plus possible. Imaginez des libraires à l’arrêt, qui mettent deux mois à reprendre leur activité : entre temps, le marché sera pris par Amazon et consorts ! » Pratique : le Club de la continuité d’activité met à disposition un guide de mise en place d’un SMCA selon la norme ISO 22301 Guide dans une ETI ou une PME. Vous pouvez aussi vous passer par la case formation : AFNOR Compétences a ouvert une « classe virtuelle » pour apprendre à mettre en place un plan de continuité de l’activité (7 heures, 500 € HT).

ISO 22301 : savoir apprécier les risques et définir les priorités

Dans l’entreprise, il faut désigner un pilote chargé de déployer, suivre et faire évoluer le SMCA. Ce pilote est souvent assisté d’un consultant extérieur, qui aide à sa mise en place. Le SMCA a aussi son référent au Comex. « Cette personne doit bien connaître l’environnement dans lequel l’entreprise évolue, savoir apprécier les risques et avoir le sens des priorités. Elle doit aussi avoir accès à tous les niveaux de l’organigramme, aux fonctions support comme l’informatique et aux services extérieurs comme la médecine du travail. C’est indispensable pour identifier quels sont les postes les plus exposés et les collaborateurs les plus vulnérables, dans le respect du secret médical », soulignent Yves Mérian et François Tête.

A charge, pour elle, de mener sur ces bases un bilan d’impact sur les activités (Business Impact Analysis en anglais, ou BIA). Cet exercice permet de définir des priorités (quel poste, quel équipement, quelle usine mettre à l’arrêt en premier et en dernier recours ?), des délais d’interruption acceptables (plusieurs heures, jours, semaines ?), des effectifs critiques (que faire sans la hotline informatique, sans service courrier ?). S’ensuit plusieurs scénarios qui doivent être finement étudiés : interruption partielle, interruption totale, délocalisation, télétravail généralisé, etc. Et c’est sur ces bases que le fameux PCA, le plan de continuité d’activité, définit les solutions (stratégiques) et mesures (opérationnelles) à mettre en œuvre, en fonction de la situation : plages horaires d’ouverture, modalités de télétravail, roulement d’effectifs, travail dominical, animation de la cellule de crise.

ISO 22301 : amélioration continue et outil de résilience

On le voit, le management de la continuité d’activité touche de près la gestion de crise, elle aussi objet d’une norme volontaire, XP CEN/TS 17091 (août 2019). La cellule de crise choisira les solutions du PCA les plus adaptées, voire en inventera de nouvelles, en toute agilité. Car, il faut bien le reconnaître : « En gestion de crise, on constate souvent que le PCA n’avait pas vu juste pour la crise en question. Car il n’y a pas deux crises qui se ressemblent ! », indiquent Yves Mérian et François Tête, prenant l’exemple de la répartition des masques dans la crise actuelle du coronavirus. C’est pourquoi un SMCA doit se penser en amélioration continue : les leçons d’une crise doivent venir enrichir le plan, pour mieux gérer la crise d’après. C’est le concept de RETEX : le retour d’expérience. »

Bref, la norme ISO 22301 doit figurer au-dessus de la pile au siège de l’entreprise. « Ceux qui l’ont adoptée ne le regrettent pas et se disent mieux armés », conclut François Tête, citant son cas personnel : « Je préside un conseil syndical d’immeuble, et je peux vous dire que cela m’est utile actuellement pour définir quel traitement réserver aux occupants âgés, que faire pour le nettoyage, comment sortir les poubelles… » Une crise fait toujours des dégâts, mais bien gérée, ces dégâts se trouvent minimisés.

Deux articles sur les risques liés au télétravail. Le 1er dresse un état de la situation (télétravail en période de confinement), identifie les principaux risques, fait des recommandations pour les atténuer. Le 2ème (visionnaire) paru en 2018 rappelle le contexte réglementaire qui accentue l’intérêt des entreprises pour ce risque à savoir le RGPD ; il est ce que j’appelle dans mes travaux un amplificateur de risque.

Recommandations de sécurité informatique pour le télétravail en situation de crise

La situation de crise et de confinement liée à l’épidémie du CORONAVIRUS – COVID-19 engendre une intensification du recours au télétravail. Pour beaucoup d’employeurs et de collaborateurs, cette situation inédite et qui va s’inscrire dans la durée, n’avait pas été anticipée. Une mise en œuvre non-maîtrisée du télétravail peut augmenter considérablement les risques de sécurité pour les entreprises ou organisations qui y recourent. Elle peut même mettre en danger leur activité face à une cybercriminalité qui redouble d’efforts pour profiter de cette nouvelle opportunité.
En complément des 
mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr tant pour les collaborateurs que pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

État de la situation

La crise sanitaire mondiale du CORONAVIRUS – COVID-19 a nécessité la mise en place de mesures de confinement et de stricte limitation des déplacements aux seuls motifs indispensables. Face à cette situation exceptionnelle et inédite, les entreprises, associations, administrations ou collectivités qui en avaient la possibilité ont dû mettre en place le télétravail pour préserver au moins les activités essentielles que ce mode de fonctionnement peut permettre.

Certaines de ces organisations étaient déjà préparées au télétravail, mais pas pour y faire face de manière aussi massive et en s’inscrivant autant dans la durée.

Pour beaucoup d’autres organisations, la mise en place du télétravail a dû se faire dans l’urgence, voire elles ont dû l’initier « à distance » avec des collaborateurs confinés et sans réelle maîtrise des mesures de sécurité à mettre en place pour protéger de manière satisfaisante le système d’information de l’organisation.

Dans certains cas, et faute d’avoir pu déployer les moyens nécessaires, le télétravail s’opère même depuis les équipements personnels des collaborateurs, dont le niveau de sécurité ne peut pas être évalué et encore moins garanti.

Parallèlement, on peut observer dans cette crise du CORONAVIRUS – COVID-19 une intensification des activités de cybercriminels qui, comme dans toute situation exceptionnelle, cherchent à profiter de l’aubaine et des vulnérabilités induites.

Cette situation engendre une augmentation des risques de cybermalveillance pour les organisations qu’il est indispensable de juguler au mieux sous peine de dommages considérables.

Principaux risques et cybermenaces liés au télétravail

Avec l’intensification du télétravail, les cybercriminels vont chercher à mettre à profit la possible désorganisation et confusion des entreprises et organisations, ainsi que la dématérialisation des procédures qui en résulte, pour intensifier leurs attaques.
Les principales cyberattaques que l’ont peut envisager sont :

– L’hameçonnage (phishing) : Messages (email, SMS, chat…) visant à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’organisation, intrusion sur le réseau de l’entreprise, rançongiciels (ransomware), fraude aux faux ordres de virement… En savoir plus.

– Les rançongiciels (ransomware) : Attaque qui consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalables des sauvegardes. Ces attaques sont généralement rendues possibles par une intrusion sur le réseau de l’entreprise, soit par ses accès à distance, soit par la compromission de l’équipement d’un collaborateur. Conséquence : arrêt de l’activité de l’entreprise, perte de données… En savoir plus.

– Le vol de données : Attaque qui consiste à s’introduire sur le réseau de l’entreprise, ou sur ses hébergement externes (cloud), pour lui dérober des données afin de la faire « chanter », ou de les revendre, ou encore de les diffuser pour lui nuire. Comme pour les rançongiciels (cf. supra), ces attaques sont généralement possibles par une intrusion dans le réseau ou sur les systèmes hébergées de l’entreprise via ses accès à distance ou bien encore par la compromission du poste d’un collaborateur. Conséquences : atteinte à l’activité et à l’image de l’entreprise ou de l’organisation.

– Les faux ordres de virement (FOVI/BEC) : Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière pour l’entreprise ou l’organisation.

« Bien connaître les risques permet de mieux détecter les attaques et de comprendre l’intérêt des mesures de sécurité à appliquer. »

10 recommandations de sécurité pour les télétravailleurs

Vous êtes confinés et devez avoir recours au télétravail pour maintenir votre activité. Vous ne disposez parfois pas d’équipement professionnel pour télétravailler et devez le faire avec vos moyens informatiques personnels (ordinateur, tablette, téléphone, comptes de messagerie…).
Afin de préserver au mieux la sécurité de votre entreprise, appliquez les 10 recommandations suivantes :

  1. Si vous disposez d’équipements professionnels, séparez vos usages : Séparez bien vos usages professionnels et personnels au risque de les confondre et de générer des fautes de sécurité qui pourraient être préjudiciables à votre entreprise. L’activité professionnelle doit se faire sur vos moyens professionnels et seulement sur vos moyens professionnels et l’activité personnelle doit se faire seulement sur vos moyens personnels. En savoir plus.
  2. Appliquez strictement les consignes de sécurité de votre entreprise : Ces mesures de sécurité visent à protéger votre entreprise, donc votre activité. Si vous rencontrez des difficultés à appliquer les mesures prescrites, remontez l’information et demandez conseil à votre entreprise, mais ne les contournez pas de votre propre chef, car vous n’êtes probablement pas en mesure d’apprécier l’étendue des risques que vous pourriez prendre et faire prendre à votre entreprise
  3. Ne faites pas en télétravail ce que vous ne feriez pas au bureau : A fortiori sur vos équipements professionnels si vous en disposez. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels. Si vous utilisez vos moyens personnels en télétravail, ayez conscience que vos activités personnelles peuvent faire prendre un risque aussi à votre entreprise, redoublez donc d’attention et de prudence.
  4. Appliquez les mises à jour de sécurité sur tous vos équipements connectés (PC, tablettes, téléphones…) : Et ce dès qu’elles vous sont proposées afin de corriger les failles de sécurité qui pourraient être utilisées par des pirates pour s’y introduire et les utiliser pour attaquer le réseau de votre entreprise au travers de vos accès. En savoir plus.
  5. Vérifiez que vous utilisez bien un antivirus et scannez vos équipements : Vérifiez que tous vos équipements connectés (PC, téléphones, tablettes…) sont bien protégés par un antivirus, qu’il est bien à jour, et effectuez une analyse complète (scan) de vos matériels. Si un matériel ne peut avoir d’antivirus, évitez le plus possible de l’utiliser pour accéder au réseau de votre entreprise.
  6. Renforcez la sécurité de vos mots de passe : Utilisez des mots de passe suffisamment longs, complexes et différents sur tous les équipement et services auxquels vous accédez, qu’ils soient personnels ou professionnels. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  7. Sécurisez votre connexion WiFi : Le télétravail s’opère en général principalement sur votre connexion WiFi personnelle. Il est donc primordial de bien la sécuriser pour éviter toute intrusion sur votre réseau qui pourrait être utilisée pour attaquer votre entreprise. Utilisez un mot de passe suffisamment long et complexe (voir plus haut) et assurez vous que vous utilisez bien le chiffrement de votre connexion en WPA2. Pensez également à mettre à jour régulièrement votre « box Internet » en la redémarrant ou depuis son interface d’administration.
  8. Sauvegardez régulièrement votre travail : La sauvegarde est le seul moyen permettant de retrouver ses données en cas de cyberattaques, mais également en cas de panne ou de perte de son équipement. Si vous en avez la possibilité, sauvegardez régulièrement votre travail sur le réseau de l’entreprise ou les moyens qu’elle met à disposition à cet effet, mais aussi sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En savoir plus.
  9. Méfiez-vous des messages inattendus : Que ce soit par messagerie (email, SMS, chat…) en cas de message inattendu ou alarmiste, demandez toujours confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une attaque par hameçonnage (phishing) visant à vous dérober des informations confidentielles (mots de passe), de l’envoi d’un virus par pièce-jointe ou d’un lien qui vous attirerait sur un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement (voir menaces supra).
  10. N’installez vos applications que dans un cadre « officiel » et évitez les sites suspects : Sur vos équipements professionnels, n’installez de nouvelles applications qu’après l’accord de votre support informatique. Sur vos équipements personnels utilisés en télétravail, n’installez des applications que depuis les sites ou magasins officiels des éditeurs (exemple : Apple App Store,Google Play Store) pour limiter les risques d’installation d’une application piégée pour pirater votre équipement. De même, évitez les sites Internet suspects ou frauduleux (téléchargement, vidéo, streaming illégaux) qui pourraient également piéger vos équipements.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut être déjà compromis par leur usage personnel).
  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.
  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.
  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.
  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.
  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.
  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.
  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…
  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.
  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…
  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

 

Travail nomade : risk managers et DRH limitent les risques

JULIE LE BOLZER

L’employeur doit s’assurer que le télétravailleur est convenablement équipé.

Bénéficiant d’une vision transverse, le risk manager apporte une méthode pour cartographier les risques inhérents au travail nomade.

D’après les entreprises matures sur le sujet, le travail à distance constitue notamment un vecteur de bien-être, d’engagement, de performance et de baisse du stress pour les collaborateurs concernés. Reste que le télétravail n’est pas sans risques.

Pour identifier les grains de sable qui pourraient venir contrarier sa mise en oeuvre, les directions des ressources humaines (DRH) ont tout intérêt à s’appuyer sur l’expertise et la méthode de cartographie des risk managers« Par essence, le responsable des risques occupe une fonction transverse et prouve son efficacité dès lors qu’il oeuvre en interface avec les autres départements de l’entreprise », explique François Beaume, vice-président chargé des risques digitaux de l’Association pour le management des risques et des assurances de l’entreprise (Amrae).

Accompagnement et confiance réciproque

En interagissant avec les différentes directions, le risk manager peut cartographier l’ensemble des failles et aider les services concernés, comme les ressources humaines, à mieux identifier et quantifier les risques« Le premier risque lié au télétravail est le manque de conformité juridique, d’où la nécessité pour la DRH de travailler sur la question avec les instances représentatives du personnel », pointe François Malan, vice-président métier et formation de l’Amrae.

De son avis, cette consultation du terrain et des règles clairement définies permettent d’emporter l’adhésion des collaborateurs et des managers« Le télétravail ne doit pas devenir une source de frustration avec des collaborateurs qui se retrouvent exclus du dispositif alors qu’ils pourraient y prétendre. L’accompagnement des managers et la confiance réciproque sont indispensables pour réussir cette transformation », prévient-il.

La cartographie des risques permet d’identifier les adaptations de process et d’organisation nécessaires au maintien de la performance de l’entreprise. « Les entreprises de services, par exemple, ne peuvent pas se permettre de ne pas être accessibles aux clients. Il s’agit donc de veiller à ce que tous les membres d’une même équipe ne soient pas en télétravail au même moment », souligne François Malan.

Equipement suffisant et installation aux normes

Autre élément essentiel à la mise en place d’une politique de télétravail : l’aspect technique. L’employeur doit s’assurer que le télétravailleur est convenablement équipé, avec une connexion Internet suffisante et une installation électrique non défectueuse.« Le plus souvent, c’est l’entreprise qui dote les collaborateurs des outils nécessaires et les assure. Si elle ne fournit pas les équipements et qu’elle n’assure pas le matériel, elle doit inviter le télétravailleur à se rapprocher de son assureur et elle peut interdire le recours à des logiciels non sécurisés », rappelle François Beaume.

En effet, le risque cyber constitue l’un des principaux dangers du télétravail. Il s’avère donc essentiel d’impliquer le directeur des services d’information (DSI) à la démarche. « On a coutume de dire que 50 % des risques cyber sont liés aux individus et aux comportements des personnes. Si les collaborateurs sont conscients de la menace et adoptent une certaine hygiène informatique, l’entreprise se met davantage à l’abri », remarque François Beaume, estimant que la formation constitue la pierre angulaire de la sécurité informatique« Les firewall, antivirus, antimalware, VPN [« virtual private network » ou réseau privé virtuel, NDLR] et autres ne se révèlent réellement efficaces que si l’ensemble des équipes est sensibilisé », dit-il, insistant sur « la nécessité de mettre autour de la table la DRH, la DSI, le service juridique et le risk manager pour que les mesures qui sont prises soient cohérentes entre elles ».

Si ce travail transverse entre les différentes entités de l’entreprise constitue un rempart aux risques, il n’est pas encore effectué naturellement dans toutes les entreprises. « Dans les organisations moins matures, le risk manager n’est associé qu’aux projets considérés comme stratégiques. Si le télétravail est jugé comme tel, le risk manager interviendra dès le début. Mais cela est encore loin d’être le cas partout », conclut François Malan.

Julie Le Bolzer

Entré en application le 25 mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises à prendre des mesures techniques et organisationnelles garantissant la sécurité des données personnelles qu’elles traitent dans le cadre de leurs activités (données RH, consommateurs, clients, fournisseurs…). « Avec le travail à distance, certains collaborateurs sont amenés à manipuler des données personnelles en dehors de l’entreprise, d’où la nécessité de prendre en compte la dimension télétravail dans la politique de protection des données personnelles pour en garantir la sécurité effective grâce à un bon usage des outils informatiques », prévient Guillaume Bordier, avocat associé chez Capstan Avocats.

 

Préparation de la Table Ronde sur la Cybersécurité organisée par la Mêlée Numérique en juin 2020 : nouvelles cyberattaques.

Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.

Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».

Marseille, Martigues, Charleville-Mézières : les villes françaises sous attaque des ransomwares

Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.

Par La rédaction de ZDNet.fr | lundi 16 mars 2020

Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.

La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.

Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.

« Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée »

La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.

« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».

Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».

Le secteur public en première ligne

« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.

Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.

L’utilisation de systèmes et de logiciels anciens est un problème qui provoque des faiblesses dans ces organisations

Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.

« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».

L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.

Le manque de budget est la principale préoccupation des RSSI de ces organisations

« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.

Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.

Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.

Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.

Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :

  • Une architecture de systèmes plus intelligente :La modernisation de l’IT ne peut être reportée qu’un certain temps et, compte tenu des dommages financiers que peuvent causer les rançons, il convient d’envisager au plus tôt la réorganisation des anciens systèmes pour prévenir ces attaques.
  • Formation du personnel :La formation et la fidélisation du personnel sont essentielles, tout comme les partenariats entre les secteurs public et privé pour élargir les réserves de talents disponibles.
  • Gestion des correctifs :Deloitte suggère que des pratiques adéquates de gestion des correctifs soient appliquées et que l’on envisage à la fois le cloisonnement des données et les sauvegardes offline.
  • Cyberassurance :Si la cyberassurance peut couvrir le coût des attaques par rançon, son utilisation doit être envisagée avec prudence. Ces politiques peuvent avoir un effet d’entraînement en incitant les pirates à exiger des paiements importants.

 

Contrer le cyber risque, risque n°1 du baromètre Allianz 2019.

Ci-dessous un article intéressant paru dans les Echos. Je vous conseille la lecture du dossier des Echos sur ce sujet.

Contrer le risque : toutes les étapes dans un guide de l’Anssi et de l’Amrae

L’Agence nationale de la sécurité des systèmes d’information et l’Association pour le management des risques ont conjugué leurs expertises pour apporter aux entreprises, dans un guide gratuit, une réponse globale et pratique au risque cyber.

Voilà devenus réels les pires scénarios de science-fiction… Dans un monde où les nouvelles technologies ont pénétré toutes les strates de l’entreprise, une atteinte aux infrastructures informatiques peut remettre en question l’existence même d’une organisation.

Arrivées à ce même constat – celui que le risque cyber a glissé du domaine technique vers le champ stratégique -, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et l’Association pour le management des risques et des assurances de l’entreprise (Amrae) ont mutualisé leurs compétences dans un guide cosigné.

Destiné aux acteurs économiques moins matures en termes de cybersécurité, depuis les PME jusqu’aux grandes sociétés cotées, administrateurs ou services publics, « Maîtrise du risque numérique, l’atout confiance » est téléchargeable gratuitement sur les sites des deux organisations.

« L’objectif est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les principes pratiques d’une politique de sécurité numérique », explique Brigitte Bouquot, présidente de l’Amrae. « Ce guide a également une ambition européenne : nous plaidons pour un partage à l’échelle du continent », poursuit Guillaume Poupard, directeur général de l’Anssi.

Lancé officiellement la semaine dernière au cours du forum de la Fédération européenne des associations de risk management (Ferma) à Berlin, ce vademecum détaille 15 étapes clefs de la mise en oeuvre d’une stratégie de cybersécurité.

Parmi elles : une appropriation du sujet par la direction générale« Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprise d’une gouvernance de la cybersécurité et mettre toute l’organisation en ordre de marche », pointe Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique de l’Anssi et contributeur du guide.

Fil conducteur de l’ouvrage, la nécessité de mettre la prévention au service de la croissance de l’entreprise imprègne chaque conseil énoncé. Ainsi, dans les démarches jugées essentielles à une politique de sécurité, la cartographie des impacts fait écho à la méthodologie des risk managers. « Nous préconisons d’anticiper les scénarios les plus impactants, en évaluant leurs conséquences financières ou réputationnelles. Si l’entreprise a en permanence un oeil sur ses vulnérabilités, elle pourra réduire le risque », estime Philippe Cotelle, président de la commission systèmes d’information de l’Amrae, qui a également participé à la rédaction.

Dossier: Cybersécurité : les entreprises contre-attaquent

Valorisation du risque

Autre pilier d’une stratégie visant la protection, la défense et la résilience, la capacité à tenir sur le long terme. « La démarche en faveur de la sécurité doit être tenable dans le temps, ce qui se révèle compliqué, car le numérique évolue en permanence. Pour cela, l’organisation doit se donner les moyens d’être agile et performante », prévient Fabien Caparros.

Outre le rappel des enjeux et une boîte à outils, le guide insiste sur la notion de valorisation de la prise en compte du risque cyber. « Cela suppose des investissements conséquents, mais, en retour, l’entreprise sera perçue comme un partenaire de confiance par ses clients et ses investisseurs », souligne Philippe Cotelle.

L’une des caractéristiques du risque cyber étant sa transversalité, « Maîtrise du risque numérique, l’atout confiance » est destiné à tous : dirigeants, gestionnaires des risques, directeurs des systèmes d’information, responsable de la sécurité des systèmes d’information, mais aussi responsables métiers, directeurs des ressources humaines, directeurs financiers, etc. « Le but n’est pas d’avoir un discours suscitant la peur et prônant le tout sécuritaire, mais de rappeler que si la maison brûle, nous avons les outils pour la protéger et mettre en sécurité ses occupants », conclut Brigitte Bouquot.

« L’Amrae continue à évangéliser les entreprises éloignées du risk management »

« La complémentarité de l’Anssi, sur les volets techniques et normatifs, et de l’Amrae, sur les aspects stratégiques et de gouvernance, n’a cessé de se resserrer ces dernières années. Dans ce guide exhaustif, l’Anssi apporte sa culture héritée d’un environnement étatique, voire militaire, là où l’Amrae continue à évangéliser les entreprises éloignées du risk management. Notre objectif commun est de faire en sorte que notre écosystème mette en place toutes les conditions d’une confiance numérique. » Brigitte Bouquot est présidente de l’Amrae

« Le numérique représente un vecteur de menaces toujours plus destructrices »

« L’Amrae et l’Anssi n’ont pas la même approche du risque numérique et parlent des langages différents, mais nous partageons une ambition commune : nous glisser dans la peau de la cible et répondre à ses préoccupations. L’enjeu est majeur à l’heure où le numérique représente autant une source d’opportunités qu’un vecteur de menaces, toujours plus sophistiquées et destructrices. Le risque zéro n’existe pas, mais ce livre entend être au côté des entreprises dans une logique d’amélioration continue. » Guillaume Poupard est directeur général de l’Anssi

Julie Le Bolzer

Fleury Michon : histoire d’une crise de cybersécurité qui a bien tourné

L’entreprise française d’agroalimentaire a été victime, au printemps, d’une compromission par ransomware. Mandaté par son assurance, Intrinsec est venu à la rescousse.

Compte-rendu par Valery Marchive d’une gestion de crise qui n’arrive pas qu’aux autres.

[En direct des Assises de la Sécurité.] Le 15 avril, Fleury Michon publiait un communiqué indiquant que ses systèmes informatiques avaient « été touchés par un virus informatique. Par mesure de précaution, l’ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l’arrêt jeudi dernier, 11 avril, à 14

Anne Michel, directrice organisation et systèmes d’information de Fleury Michon, aurait pu espérer une prise de fonctions plus calme : elle est arrivée à ce poste deux mois plus tôt. Le 11 avril, elle est prévenue à 7 h du matin, par un appel du responsable de la sécurité qui parle d’infection virale. Elle pense d’abord santé de ses équipes. Mais non, il s’agit d’un maliciel.

Et les circonstances ne sont pas des plus favorables. À l’époque, le responsable de la sécurité n’est même pas RSSI à 100 %, simplement à quart temps. Ce sont les vacances scolaires. Les équipes ne sont pas encore habituées à leur nouvelle cheffe. Et les procédures d’alerte ne sont manifestement pas pleinement au point : l’infection a été découverte vers minuit. Le directeur des infrastructures a été prévenu, mais il n’était pas immédiatement joignable, et il aura donc fallu attendre plusieurs heures avant qu’Anne Michel ne soit informée.

Toutefois, comme elle le souligne, de premières mesures avaient été prises immédiatement : l’accès à Internet avait été coupé et les applications avaient été arrêtées, par précaution. Mais rapidement, une attaque est soupçonnée. En accord avec le directeur de la production et de la logistique, des applications supplémentaires sont arrêtées. Le directeur général convoque alors la cellule de crise pour 10 h. Mais tout le monde s’active très vite en amont de cette réunion.

À 9 h, le directeur financier a déjà contacté l’assurance qui mandate un prestataire. Anne Michel a tenté de joindre directement l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en vain. Le directeur général appelle le préfet de la Vendée qui demande que l’Anssi entre en contact avec Anne Michel. Ce qui est fait rapidement et contribue à faire baisser la pression.

À 10 h, la cellule de crise est donc réunie, avec directeur général, direction financière, direction de la santé alimentaire, direction industrielle, et Anne Michel. Le fait qu’il s’agit d’une attaque cyber est acté, de même que la méconnaissance de sa portée à ce stade. La communication réglementaire commence à être préparée. Il faudra aussi prévenir les banques, et surtout les clients pour les informer que les flux d’EDI et les interfaces applicatives sont coupés. Sans compter les directions des usines et des centres logistiques pour expliquer la situation et la manière de communiquer, car tant la production que l’expédition se retrouvent brutalement à l’arrêt. Les membres de la cellule de crise feront le point toutes les quatre heures.

À 11 h, Cyrille Barthelemy, patron d’Intrinsec, prend contact. Les grandes lignes du plan d’action sont lancées et une équipe constituée d’une dizaine de personnes est envoyée en Vendée : il faut trouver l’origine de l’incident et reconstruire. Et cela alors même que les documentations ne sont pas accessibles. L’approche retenue consiste à déployer en 24 h une petite base de centre opérationnel de sécurité (SOC) pour gagner de la visibilité, démarrer une première bulle de confiance, et la faire grossir graduellement. La surveillance permettra d’arrêter tout ce qui aura été relancé, mais présentera un comportement suspect. Au total, ce sont tout de même 8 To de données à analyser, 220 machines à couvrir, des points de réplication du trafic réseau à mettre en place, etc. Une source virale inconnue a pu être identifiée rapidement.

Rapidement, un constat s’impose : toutes les applications majeures fonctionnaient sur des serveurs affectés. Les usines et la production ont été coupées par prudence, mais leurs systèmes opérationnels ne sont pas touchés.

Il faut pouvoir décider vite de la marche à suivre, car l’entreprise, qui travaille avec des produits frais, ne peut pas rester trop longuement à l’arrêt. Et il faut lutter aussi avec ceux, en interne, qui seraient tentés de retrouver une connexion à Internet avec leur smartphone.

Le choix est donc fait de donner la priorité à la logistique afin de pouvoir vider l’entrepôt et de pouvoir le remplir à nouveau. L’application dédiée est reconstruite avec deux postes de travail, afin de pouvoir gérer les expéditions. Dans les usines, deux salles blanches sont mises en place pour remonter leurs applications et permettre aux équipes locales de travailler avant de pouvoir remonter les liens. Les applications de robotiques sont relancées directement.

En fait, il n’a fallu que trois jours pour remonter la logistique. Et quand Fleury-Michon rendait public l’incident, il relançait en fait sa production, grâce aux salles blanches. Du point de vue des métiers, la crise était finie deux semaines plus tard.

Un type d’attaque qui peut arriver à d’autres

Tout est parti d’un service RDP exposé sur une machine virtuelle hébergée sur Azure, comme il y en a tant, et détourné par une attaque en force brute. De là, il ne s’est rien passé pendant 10 jours. La phase de reconnaissance du système d’information a alors commencé – en remontant le VPN utilisé pour relier le SI local au cloud public de Microsoft. Des rebonds sur trois serveurs, en RDP en encore, ont pu être identifiés. Leur VLAN était accessible depuis le VPN. Le ransomware a ensuite été déployé via Psexec sur 220 machines, pourtant isolées sur un VLAN dédié. Enfin, l’outil Mimikatz a été mis à profit pour récupérer des identifiants avant de lancer le chiffrement du serveur identifié comme patient 0 de la crise.

Mais il a fallu rétablir la confiance, notamment vis-à-vis des partenaires. Là, les efforts de communication et de transparence ont joué un rôle important. D’ailleurs, d’anciens collaborateurs, ayant appris l’incident par ailleurs, ont proposé leur aide. À l’instar de partenaires. La prise de contact d’Intrinsec, en direct, avec l’un des principaux distributeurs, a également aidé à élever dès le départ le niveau de confiance. Des marqueurs ont également été partagés.

Du point de vue de la direction de l’organisation et des systèmes d’information, la sortie de crise a attendu le mois de juillet. Mais Anne Michel n’occulte pas quelques mois de traîne. Plus de 800 tickets ont été traités. Pendant pratiquement 12 jours, jusqu’à plus de 100 personnes ont été mobilisées 24 h/24. La fatigue, morale comme physique, était là.

La gestion de l’expérience a été engagée dès le mois de mai, afin d’identifier ce qui avait fonctionné ou pas, ainsi que les pistes d’amélioration. La partie industrielle/logistique en ressort comme particulièrement bien gérée, associée de près dès le début. Les choses sont moins flatteuses pour la partie administrative. Jusqu’en juin, des rumeurs circulaient sur l’origine réelle de l’incident. Pour Anne Michel, ces collaborateurs sont restés trop dans le flou.

Et puis, alors que les équipes informatiques sont massivement internes, certains n’ont pas compris pourquoi il était fait appel à des ressources externes. Certes, avec le recul, l’incident a été l’occasion de mesurer le niveau de compétence des équipes et de leur capacité de mobilisation, des personnes « qui ont véritablement sauvé l’entreprise », mais durant la crise elle-même, Anne Michel souligne qu’il ne faut surtout pas oublier le management des hommes.

Le principal enseignement qu’elle retire de cette crise est qu’il convient de revoir les plans de continuité de l’activité, qui se sont avérés inadaptés à une crise de cybersécurité. Comme le soulignait récemment dans nos colonnes Jérôme Saiz, dans un tel cas, il faut prendre en compte la question de la confiance que l’on peut accorder à ses outils et à son infrastructure.

Cyber sécurité : un exemple de plan d’action. Mise en place de solutions de sécurité des données.

Pour terminer le mois d’octobre consacré à la cybersécurité, je vous propose après des articles sur l’identification de ce risque puis sa quantification, un article consacré à la mise en place de plans d’actions (étape 4 de la démarche de gestion des risques).

Chez Rémy Cointreau, agilité rime avec sécurité

Le groupe de spiritueux, avec ses sites de production et de ventes disséminés partout dans le monde, offre une cible de choix pour les cyberassaillants. Rémy Cointreau a ainsi mis en place des solutions de sécurités des données.

Chez Rémy Cointreau, la menace cyber est prise très au sérieux. Il faut dire que, avec des sites de production disséminés un peu partout dans le monde (Angers, Cognac, Barbade, l’Ecosse, …) et des équipes de ventes et de marketing en Chine, aux Etats-Unis ou encore au Japon,  le groupe de spiritueux, dont l’origine remonte à 1724, s’est internationalisé au fil des années . Ce qui en fait aussi une cible potentielle pour des cyberassaillants. Il affiche aujourd’hui un chiffre d’affaires de 1,2 milliard d’euros par an et compte près de 1.900 salariés. « Nous sommes une entreprise internationale, nous ouvrons ou fermons des filiales régulièrement, nous devons donc avoir une organisation très agile », souligne Xavier Leschaeve, responsable de la sécurité des systèmes d’information (RSSI) du Groupe Rémy Cointreau.

Recours aux outils collaboratifs

Enclenchée à son arrivée, en 2015, la transformation numérique a d’abord consisté à basculer les données du groupe – ventes, marketing, financières… –  dans des clouds sécurisés : Amazon, Azure, Google . « Il n’y a pas de données clients hormis nos bases CRM », précise le RSSI. Une transformation digitale qui s’est également traduite par le recours à des outils collaboratifs (Box et Office 365) pour que tous les salariés puissent travailler ensemble d’où qu’ils se trouvent.

Quid de la cybersécurité ? « En arrivant [NDLR – en provenance de la sécurité Groupe de l’assureur Axa], j’ai mis en place des solutions de sécurité évoluées, explique Xavier Leschaeve. On a réalisé un vrai bond technologique, en ayant notamment recours à des outils EDR, Endpoint Detection and Response, sorte d’antivirus de nouvelle génération, qui nous permettent de détecter les comportements anormaux, aidés également par notre prestataire SOC, Security Operations Center, qui assure la surveillance de nos alertes de sécurité. » 

Fédération d’identité pour les salariés

Mais, ce qui fait la force du cloud, et des logiciels en tant que services (SaaS), à savoir la possibilité d’y avoir accès depuis l’extérieur, fait aussi leur faiblesse… C’est pourquoi, Rémy Cointreau a créé « une fédération d’identité » réunissant tous les accès pros d’un salarié, avec une double identification, à l’aide des téléphones mobiles de l’entreprise. « L’authentification forte, quand on travaille dans le cloud, c’est primordial, insiste Xavier Leschaeve. Cela évite notamment que les messageries soient piratées trop facilement. Ce qui reste un des points d’entrée privilégiées des pirates. » Et, d’ajouter « lorsqu’une personne quitte la société, on peut aussi lui retirer tous ses accès en une seule opération ». S’évitant ainsi les fuites d’informations vers la concurrence.

Mais, on a beau mettre tous les garde-fous, « Il y aura toujours quelqu’un derrière la porte », sourit celui qui siège aussi, depuis juin 2019, au conseil d’adminitration du Cesin, le Club des experts de la sécurité de l’information et du numérique. Ou ils essaieront de rentrer par la fenêtre… « Pour preuve, les récentes tentatives d’intrusion via Whatsapp ou LinkedIn qui sont apparues chez certains de nos membres », poursuit Xavier Leschaeve.

Sensibilisation et formation

Les clefs alors, toujours les mêmes, la sensibilisation et la formation des utilisateurs, notamment grâce au e-learning. « Et, à chaque fois que je vais dans une filiale, j’organise des rencontres avec les collaborateurs du site pour leur rappeler les risques, leur présenter les derniers menaces », poursuit le RSSI. Une sécurité de tous les instants qui passe aussi par la mise en place de Process métiers : « Au service comptabilité par exemple, on n’acceptera jamais de demandes de virement par téléphone ! » insiste-t-il.

Autre grand point de vigilance : les sites de production. L’informatique industrielle est, en effet, mise à jour moins régulièrement que celle de bureau, et les OS y sont souvent plus anciens. Rien d’étonnant donc pour le RSSI à ce que  les « cryptolockers » ou autre « ransomwares » s’attaquent d’abord aux usines .

Fort heureusement, pour l’instant Rémy Cointreau a été épargné. « On a réussi à détecter et bloquer les tentatives à temps, souffle son RSSI. Mais, en ce domaine, vous ne m’entendrez jamais crier victoire ! » 

Et, si jamais cela arrivait ? « Il faudra alors que nous soyons capables d’isoler chaque site, le plus rapidement possible afin d’éviter la contamination. C’est à cela que nous travaillons. » Car, même si la menace cyber évolue, les recettes restent finalement toujours les mêmes en sécurité informatique : « Mettre à jour, surveiller, ségréguer, et disposer de backup pour pouvoir réinstaller », conclut Xavier Leschaeve.

Stéphane CHARBEAU

Les Echos Publié le 25 sept. 2019

Le métier de Risk Manager est-il fait pour vous ?

Un grand merci à Philippe Roux pour m’avoir proposé de partager ma connaissance du métier encore peu connu de Risk Manager. Métier en émergence qui cherche à accroître son influence sur la décision. Challenge passionnant !

Ce partage de connaissance est également l’occasion de présenter l’ouvrage que j’ai co-écrit avec Nicolas Dufour sur la Fonction Risk Manager intitulé : « La Fonction Risk Manager. Organisation, méthodes et positionnement » ; parue en avril 2019 aux Editions Gereso.

Voici l’article : https://www.strategik.net/blog-iso-9001/risk-manager/