Eric FILIOL

ENSIBS Vannes & HSE, Moscou

La crise du Covid-19 depuis un mois oblige dans le monde près de trois milliards d’individus à se confiner[2], affecte plusieurs dizaines de millions de gens dans leurs activités professionnelles et a contraint des centaines de milliers d’entreprises à arrêter leur activité, menaçant beaucoup d’entre elles de fermeture à terme[3]. Cette crise majeure – l’une des plus fortes depuis la Seconde guerre mondiale – s’accompagne d’une autre crise d’autant plus dangereuse qu’elle encore invisible, ou du moins l’urgence du moment la relègue au second plan. En outre, elle risque d’arriver de manière décalée.

La sortie de crise Covid-19 pourrait bien nous confronter à un autre type de problèmes : ceux liés à une activité numérique mal maitrisée et à une activité des attaquants qui connait, depuis deux mois un bond sans précédent, profitant d’une situation d’extrême faiblesse de nos sociétés dites modernes.

Notre dépendance au numérique n’a jamais été aussi forte et jamais le constat a été aussi criant de notre fragilité dans ce domaine, quel que soit le critère que l’on considère. Il aura fallu une crise comme celle du COVID-19 pour s’en apercevoir. Tout d’abord quels sont le contexte et la situation :

• Un grand nombre de systèmes informatiques ne sont plus suffisamment protégés (personnels en activité réduite voire au chômage partiel) et/ou surveillés.
• Une explosion du télétravail de la part de salariés qui, pour la majorité, ne maitrisent pas les technologies le permettant, avec pour conséquence un affaiblissement conséquent et général de l’environnement de sécurité, quand il existait. Combien de salariés se connectent aux serveurs de leur entreprise, en mode dégradé (le service primant sur la sécurité) ? Ces connexions, insuffisamment contrôlées, ouvrent de manière inconsidérée, certaines portes que les salariés ne sont pas les seuls à franchir. Il faut être conscient que ce qui était encore récemment « confiné » dans le secret des salles de réunions des entreprises (réunion de comex/codir, négociations commerciales, entretiens RH…) passe maintenant par des réseaux et des applications non souveraines – qui captent massivement les données — et quelquefois insoupçonnées (exemple récent : une réunion de comex à distance, certains participants ayant Alexa ou Google Home à l’écoute dans la même pièce).
• Les sauvegardes et procédures de sécurité sont fortement dégradées. Les PCI/PRI[4] quand ils existent, se révèlent lacunaires, inadaptés voire ne sont plus appliqués.
• La découverte/confirmation d’une absence totale de souveraineté de l’Europe qui ne dispose pas de moyens de visioconférence, de réseaux, de systèmes numériques réellement souverains, maitrisés et vertueux.

Dans ce contexte nous voyons un certain nombre de menaces augmenter, voire émerger :

• Les attaques se multiplient notamment contre des systèmes critiques de première nécessité (comme les hôpitaux qui ont subi récemment, dans certains pays européens, des attaques intenses par DDoS[5]) : attaques par déni de service, vols de bases de données, attaques par ransomware et bien sur les arnaques en tous genres grandes ou petites.
• Collecte sans précédent des données, personnelles ou non par des sociétés non européennes du fait d’un usage de solutions non souveraines et irrespectueuses de la sécurité et de la protection des données (en particulier de visioconférence, le pire cas, mais pas le seul, étant celui de Zoom[6] qui revend les données à Facebook et autres data-brokers). Combien de secrets d’entreprises, de données confidentielles (voix, vidéo, documents) sont maintenant dans la nature parce qu’échangés au mépris de toute sécurité et des règles les plus élémentaires de confidentialité ou de discrétion professionnelle.
• Le plus gros risque sera sans conteste la période qui va suivre la crise COVID-19 quand les entreprises vont redémarrer et ce pour deux raisons :
  • Combien de « portes » informatiques resteront ouvertes, de procédures et mauvaises pratiques perdurerons ? Combien d’entreprises mèneront un audit post-crise pour s’assurer de la santé informatique de leur entreprise, reverrons leur PCA/PRA[7] et PCI/PRI ? Peu sans doute, car la reprise sera leur priorité et cela peut se comprendre.
  • Il est à craindre – avec une probabilité non négligeable – que certains attaquants (selon leurs motivations, voir plus loin) ont ou sont en train d’installer des dispositifs à retardement pour déclencher leur attaque au pire moment. Un attaquant efficace et expérimenté pensera ainsi plutôt que d’exploiter une faiblesse dès qu’elle est identifiée. La vigilance, l’audit des systèmes devront impérativement être menés avant la reprise à un niveau nominal.

Quels sont les attaquants et autres acteurs malfaisants derrière cette hyperactivité ?

Sans donner trop de détails pour ne pas faire une publicité déplacée à ces acteurs, nous observons les groupes suivants :

• Les entités mafieuses habituelles qui utilisent le ransomware[8] comme moyen d’enrichissement. Le nombre de victimes explose et de toutes tailles. L’exploitation de failles de sécurité ou de services mal protégés (RDP étant le plus fréquent) sur des serveurs plus exposés et moins protégés, monte en flèche.
• Des groupes – avec soutien de certains Etats ou en sous-traitance pour eux – agissent pour provoquer la disruption des économies des pays occidentaux dont ils ne partagent pas les valeurs. En particulier, on constate une augmentation importante des attaques contre tout ce qui représente l’Europe et ses valeurs. Ainsi, certains groupes d’obédience nationaliste et/ou ayant des motivations populistes, soutenus par certains partis/états, profitent directement et activement de la crise COVID-19 pour mener une guerre intense contre les actifs (entreprises par des attaques et des disruptions, les citoyens et leurs valeurs culturelles par la désinformation) de l’Europe.
• D’autres entreprises concurrentes qui anticipent des conditions économiques très difficiles à venir et n’hésitent pas à se placer dans une situation de concurrence déloyale par tous les moyens. La crise a montré combien, entre Etats, les comportements déplorables se sont multipliés[9]. Malheureusement, les mêmes comportements sont et seront constatés dans le domaine du numérique.

Fort de tout cela, et gardant à l’esprit que tout problème doit être vu comme une opportunité de prise de conscience et d’action, quels sont les conseils à donner aux entreprises :

• Profitez de cette situation de moindre activité pour repenser votre PCA/PCI/PRA/PRI. Revoyez et vérifiez vos procédures de sauvegardes et de restauration. Assurez-vous de pouvoir repartir en cas de blocage ou d’incident majeur. Il est important de se rappeler que l’on protège autant la disponibilité des données que des fonctions essentielles, voire critiques. La règle des 3/2/1 – au moins trois sauvegardes, sur au moins deux supports ou environnements différents et dont une au moins à l’extérieur — est plus que jamais de rigueur. Rappelez-vous en outre qu’une sauvegarde qui n’est pas régulièrement testée (ainsi que les procédures de restauration) est sans valeur.
• Auditez vos serveurs et en particulier les services RDP. Revoyez la configuration des serveurs (ports ouverts, services exposes et correctifs de sécurité non appliqués). Surveillez plus que jamais les tentatives de connexion sur vos serveurs et services.
• Formez vos salariés et utilisateurs. Sensibilisez-les à la sécurité. Prévoyez des séances de sensibilisation à la rentrée. Mais d’ores et déjà, sensibilisez les et rappelez leur les règles de vigilance de base par un mail. Nous assistons à une recrudescence de tentative de connexions sur des comptes professionnels (Office 365 par exemple) détectées par les utilisateurs légitimes qui reçoivent un SMS avec un code de vérification non sollicité. Tout utilisateur ou salarié doit être vigilant et doit savoir à qui rapporter l’incident dans l’entreprise.
• Revoyez toutes vos procédures de travail et de communication.
• Profitez de cette moindre activité pour cartographier vos données et en particulier les données personnelles que vous collectez et traitez. Jamais le RGPD n’a été autant essentiel et c’est une des valeurs de l’Europe la plus combattue en particulier par les USA et leurs entreprises.
• Revoyez le choix des outils que vous utilisez en particulier pour communiquer. Privilégiez les outils européens (ils existent). En les utilisant, la demande fera croitre le besoin et donc à terme l’offre. Il est vital que l’Europe comprenne enfin la nécessité d’une souveraineté numérique. Pour la visio-conférence, utilisez préférentiellement les outils suivants:

• Pour le professionnel (solutions certes payantes mais la sécurité a un prix et il est souvent modique en regard des risques), voici quelques solutions françaises de confiance :
  • Tixeo : solution certifiée et qualifiée par l’ANSSI (qui hélas n’en fait pas assez la publicité)
  • Adista 
  • Visio4You
  • Izeeconf 
• Pour un usage personnel (ou en PME/PMI):
  • Jitsi et toutes les offres reposant sur Jitsi (voir https://jitsi.org/built-on-jitsi/ et https://meet.jit.si/)
  • Scaleway
  • Le service Framatalk et plus largement les services de Framasoft
  • Le service Infomaniak.

Il en existe probablement d’autres, recherchez-les et partagez-les. Maintenant, si vous préférez utiliser des applications bien connues US, libres à vous, mais lisez les CGU pour vous convaincre du pillage de données dont vous ferez l’objet.

Le tableau qui vient d’être dressé est certes noir et inquiétant mais il est la réalité[10]. Mais il n’est en rien inéluctable. Considérez comme une prise de conscience générale d’opportunités. La (re)lecture des deux ouvrages de Nassim Nicholas Taleb – « Le cygne Noir », « Antifragile » – est, de ce point de vue, de circonstance.

Il est malheureusement à craindre qu’après cette crise un grand nombre d’entreprises ressortiront fragilisées économiquement mais aussi informatiquement. Et pour ce dernier aspect, ne soyez pas parmi celles qui seront dans la difficulté.

Les pensées d’un homme diligent ne mènent qu’à l’abondance; mais tout étourdi ne court qu’à la disette. (Proverbes 21 :5)

[1] En référence au livre éponyme de Nassim Nicholas Taleb

[2] AU 30 mars 2020, https://www.lemonde.fr/planete/article/2020/03/30/coronavirus-quels-pays-sont-confines_6034936_3244.html

[3] Lire https://www.awex-export.be/fr/plus-d-infos/actualites/quel-est-l-impact-du-covid-19-pour-les-entreprises-et-le-commerce-international, et https://economie.fgov.be/fr/themes/entreprises/coronavirus/impact-economique-du

[4] Plan de Continuité Informatique/Plan de Reprise Informatique

[5] Distributed Denial of Service

[6] https://www.theverge.com/2020/4/2/21204018/zoom-security-privacy-feature-freeze-200-million-daily-users, https://www.forbes.com/sites/marleycoyne/2020/04/03/zooms-big-security-problems-summarized/ ,https://www.ft.com/content/2fc518e0-26cd-4d5f-8419-fe71f5c55c98

[7] Plan de Continuité d’Activité/Plan de Reprise d’Activité qui incluent respectivement le PCI/PRI

[8] Un ransomware est un code malveillant prenant en otage les données ou l’activité d’une entreprise et demandant une rançon. La lecture de ce document de l’ANSSI est fortement recommandée  https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-001/ et plus généralement l’ensemble des documentations ANSSI https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

[9] https://www.valeursactuelles.com/societe/la-republique-tcheque-bien-detourne-680-000-masques-destines-litalie-117397, https://lesobservateurs.ch/2020/03/11/coronavirus-la-douane-allemande-bloque-des-conteneurs-medicaux-en-direction-de-la-suisse-lapprovisionnement-de-lallemagne-est-prioritaire/, https://www.francetvinfo.fr/sante/maladie/coronavirus/coronavirus-des-masques-commandes-par-la-france-rachetes-sur-le-tarmac-par-les-americains_3895897.html

[10] Il est malheureusement en-deçà de cette réalité