Peut-on déjà tirer un bilan de cet épisode inédit en matière de cybersécurité ?

Deux constats ont pu être établi sur cette crise. Le premier est classique, les pirates se servent du sujet « à la mode », en l’occurrence le coronavirus, et le transforme en leurre. Chez Proofpoint, nous avons suivi cette tendance depuis début janvier au Japon et nous avons pu observer à ce jour au moins 250 campagnes et plus de 500 000 messages. La volumétrie des campagnes et leur fréquence (plusieurs fois par jour) montrent que l’actualité reste un moyen attrayant pour les cybercriminels. Deuxième constat, avec la pandémie et les mesures de confinement, les entreprises ont mis en place à très grande échelle et très rapidement du télétravail. Elles se sont appuyées sur les plans de continuité d’activité et les infrastructures d’accès à distance déjà mises en place pour certains salariés ou dans le cadre de la maintenance des systèmes. La fusion de cet ensemble a donné le plan d’urgence du passage au télétravail. Sur le plan cyber, on a vu plusieurs points apparaître comme le recours aux outils de visioconférence.

Justement sur ce point, la question de la sécurité de certaines plateformes de réunion en ligne a rythmé le confinement. Quelle est votre opinion sur le sujet ?

Les solutions de visioconférence ont souvent été mises en avant, car elles ont été très utilisées. Il y a eu un facteur multiplicatif de 20 sur le nombre d’utilisateurs. Le fait qu’elles soient populaires ont déclenché l’intérêt de deux communautés. La première : les pirates, qui se sont dit qu’il y avait un moyen de tenter de nouvelles arnaques. On a vu alors des systèmes qui généraient des liens de connexion aux réunions en ligne et et qui s’invitaient dans des conférences existantes pour les perturber ou pour les espionner. C’est ce que l’on a appelé le Zoom Bombing. On a même vu se développer des attaques de phishing qui créent des leurres de connexion sur Zoom.  

Une seconde communauté y a vu un intérêt, les hackers, au sens historique, constructif et positif du terme, c’est-à-dire ceux qui ont voulu comprendre le fonctionnement et apporter éventuellement des améliorations à ces systèmes de visioconférence. Dernier Sur ce point, cet usage a montré les manquements aux bonnes pratiques d’une société comme Zoom sur le chiffrement de bout en bout et aussi sur l’aspect « privacyData Privacy » avec la gestion des données personnelles. Heureusement, le CEO de Zoom a pris rapidement des décisions en stoppant les évolutions des fonctionnalités et en concentrant l’ensemble des ressources internes sur des services de sécurité avancées. Finalement, à la sortie de la pandémie, cette solution sera plus sécurisée. 

Quel a été le rôle du RSSI ces derniers mois ?

Pendant cette pandémie, les RSSI ont été mis fortement à contribution à plusieurs moments. D’abord lors de la bascule des entreprises vers le télétravail. Là, il a été obligé d’utiliser ses plans de continuité d’activité et ses infrastructures techniques d’accès à distance sécurisées, en VPN classique pour les mettre à disposition d’un grand nombre de personnes et dans un environnement plus vaste. Globalement cela a marché, certaines sociétés ont eu un peu de mal avec leurs infrastructures et ont demandé à leurs collaborateurs de se connecter par roulement, par exemple par créneau de deux heures. D’autres ont décidé d’investir dans les infrastructures zero Zero Ttrust, ont et montéer en charge très rapidement et ont embarqué les collaborateurs sans sur les VPN. 

Passé cette première phase, le RSSI a dû rester sur le pont, car la pression sur les infrastructures et la continuité d’activité ont nécessité parfois d’accorder des dérogations et quelques contournements aux règles de sécurité. Dans ce cadre, ils ont continué à monitorer et à veiller sur la sécurité des entreprises. Enfin, ils ont eu un rôle à jouer dans la préparation du déconfinement, avec le retour du personnel dans les bureaux. Gérer le volume de PC déconnectés du SI et de terminaux en télétravail mêlant vies professionnelle et personnelle ; ne pas reconnecter l’ensemble de ces machines d’un coup sans passer d’antivirus et éviter éviter ainsi dles effets de bord désastreux. Il s’agit donc d’une remise en contrôle de l’activité, tout en insistant, on l’a vue pendant le confinement, sur la formation et la sensibilisation des salariés.

Au sein du Clusif, comment cette crise a été appréhendée et fera-t-elle l’objet d’une documentation particulière ?

Depuis le début la pandémie, les adhérents du Clusif ont bénéficié d’une liste de diffusion cybersolidaire partageant de l’information en temps réel sur les attaques, les indices de compromission, les bonnes pratiques, et les usages de produits de sécurité. Par ailleurs, de nombreux fournisseurs ont profité de cette liste de diffusion pour proposer à titre gracieux leurs solutions de sécurité pendant six mois. Il existe aussi, uniquement pour les RSSI, un club où il y a eu beaucoup d’échanges pendant la pandémie. 

Le volet cyber de cette expérience est source d’enseignements. A l’avenir, le Clusif initiera vraisemblablement un groupe de travail sur cette pandémie ou intégrera cet aspect dans l’exercice de crise nommé Ecran que nous menons chaque année.

Pour terminer sur les menaces, on a parlé des particuliers, mais est-ce que les Etats ont profité du Covid-19 pour s’attaquer ?

Pandémie ou pas, les Etats continuent à attaquer. Le cyber est un outil bien intégré dans les méthodes de compromission et de récupération d’informations. Par contre, on a vu dès le 6 janvier une opération attribuée à des cybervietnamiens contre le centre de recherche sur les virus de WuHhuan. Même si le lien n’a pas été établi, cette offensive doit être mise en perspective avec la gestion de l’épidémie au Vietnam où des décisions de fermetures de frontières et de quarantaines de communes touchées ont été prises très tôt. On peut imaginer que l’attaque cyber ait est pu donner des renseignements pour mettre en place des décisions sanitaires. Plus classiquement, des Etats ont eu recours au Covid-19 comme leurre pour mener des opérations. Le Un des premiers observés a été attribué au Pakistan.