Télétravail et numérisation des loisirs ont connu une accélération drastique depuis l’adoption de mesures de confinement pour lutter contre la pandémie du COVID-19. Cela a mécaniquement accru les vulnérabilités numériques des institutions, des entreprises et des particuliers.
Les mesures de confinement ont brusquement augmenté le recours aux outils numériques pour le télétravail, le commerce ou encore les loisirs. En quelques semaines, les sociétés ont franchi un cap dans la numérisation. Cela a changé les modes de vie mais également augmenté les vulnérabilités aux cyber-attaques.
Le télétravail est le grand gagnant de la situation actuelle, et c’est une forme plébiscitée par les salariés, pour ceux qui ont la possibilité de travailler convenablement. Il contribue aussi à améliorer la situation de ceux qui travaillent dans les locaux de l’entreprise, en désengorgeant les espaces. Après des années à penser le bien-être au travail, il semble que le virus ait pu être un facteur déclencheur de nouvelles dynamiques, on le verra peut-être également dans le secteur du cloud ce qui ne va pas sans poser de problèmes de souveraineté. Il reste à voir si ce surcroît de télétravail est durable ou si un retour à la situation de départ va s’opérer plus ou moins rapidement. On peut imaginer que l’écosystème va s’adapter à cette nouvelle situation.
La question du management des équipes à distance pose toutefois question. Mais, au-delà, il faut observer que certains secteurs sont tenus à des standards de sécurité plus élevés, comme la banque et l’assurance, pour les flux financiers, mais aussi des secteurs comme celui de la santé avec les données personnelles. Or, la vulnérabilité à domicile est renforcée du fait de réseau wifi peu sécurisés, de la confusion des usages entre ordinateurs personnels et professionnels, de manque de visibilité des équipes informatiques, entre autres.
Dans ces situations, le matériel informatique à disposition doit bénéficier d’une protection renforcée, aussi élevée que sur le réseau de l’entreprise : disque dur chiffré, authentification forte pour se connecter à une partie des applications, limitation de certaines fonctionnalités, contrôle strict des paramètres, etc.
Cette fragilité sera exploitée par des pirates et cyber-délinquants, soit à court terme soit à moyen terme. En effet, les différentes catégories d’attaques restent d’actualité, de la désinformation à l’arnaque en passant par l’espionnage et le sabotage. Une situation nouvelle créé toujours de nouvelles formes de détournement.
La numérisation croissante de nos sociétés fait reposer sur ce secteur économique des responsabilités pour lesquelles il n’est pas encore totalement prêt, tant en termes de sûreté de fonctionnement que de sécurité opérationnelle et juridique.
A mesure que la société se numérise, la part de valeur qui est mise dans ce domaine augmente. Cette augmentation de la valeur entraîne une élévation de la convoitise (qu’elle soit privée ou étatique) mais aussi de l’impact (économique, social) d’une défaillance.
La maîtrise de cette transformation numérique est un immense défi car elle évolue très vite en tout cas bien plus vite que la législation. De plus, elle est dans la main d’entreprises étrangères qui sont avant tout « tech driven » et qui n’aspirent pas forcément au même modèle social que nous,…
Les mesures de confinement développent le télétravail, les services numériques et les loisirs sur Internet. Le surcroît de numérisation – même provisoire – des sociétés entraîne-t-il des vulnérabilités supplémentaires ?
Il faut distinguer ce qui relève du structurel et ce qui relève de la conjoncture : l’évolution des technologies numériques a donné naissance à un espace de communication, mais aussi de criminalité organisée, de lutte d’influence voire d’affrontements entre Etats. Dans un contexte où les budgets en cybersécurité vont être serrés, il est à craindre que les vulnérabilités augmentent.
La crise actuelle fait bien sûr évoluer l’environnement, mais elle ne remet pas en cause les tendances profondes. Dans la mesure où l’espace numérique laisse une place de choix à l’attaquant, l’idée de trêve est difficile à exécuter. Pour autant, il est vrai certains groupes d’attaquants ont effectivement déclaré faire une trêve à l’endroit du secteur de la santé, l’un des plus attaqués.
La bascule massive dans le télétravail a tendance à élever la vulnérabilité numérique. En effet, les entreprises de cybersécurité ont observé plusieurs phénomènes préoccupants. Les réseaux domestiques (wifi) sont peu sécurisés et l »ordinateur se retrouve exposé sur Internet sans bénéficier de la protection du réseau de l’entreprise. Facteur de vulnérabilité supplémentaire, les employés vont utiliser leur ordinateur professionnel pour aller sur Internet (cours pour les enfants) ou inversement utiliser leur ordinateur personnel pour travailler sur des dossiers pro ou se connecter au réseau de l’entreprise.
A la différence de la vie de bureau, les salariés sont isolés et la situation est stressante ce qui peut faire baisser la vigilance sur le phishing. Quant aux entreprises, pour permettre le télétravail, elle ont ouvert massivement leur SI, sans véritable contrôle de la sécurité, et ont recouru à des solutions de conférence vidéo non sécurisées comme Zoom sans que les équipes de sécurité aient de visibilité sur le parc informatique.
Cette élévation des vulnérabilités est exploitée par les attaquants, pour un usage immédiat ou postérieur.
Les grandes catégories d’attaques ne sont pas remises en cause : attaque à l’image (désinformation, attaque de marque,…), arnaque crapuleuse (faux sites de vente de masques,…) espionnage et enfin sabotage.
Chacune de ces grandes catégories d’attaque exploite à son profit de manière opportuniste la situation nouvelle et instable. Néanmoins les hackers (privés comme publics) ont eux aussi des familles, des besoins de transport, du télétravail,…ils sont donc aussi potentiellement moins productifs!
EAP : de nouvelles solutions sont-elles apparues pour pallier ces lacunes de sécurité?
Dans une perspective de moyen terme, le tableau n’est pas si noir. La bascule en télétravail va se prolonger au-delà du déconfinement et restera à un niveau élevé. Cela deviendra le nouveau normal et l’écosystème va s’adapter pour répondre à cette nouvelle situation. Par exemple une politique publique pour renforcer la sécurité des « home LAN » et le déploiement de nouvelles solutions de protection des ordinateurs isolés pourront être adoptés.
Parmi les pistes de réponse, la bascule dans le cloud public qui va s’accélérer. D’un point de vue de sécurité pur cette bascule est plutôt positive car les infrastructures de cloud public sont plus sûres que beaucoup d’infrastructures « on-premise » des entreprises. Néanmoins cette bascule, si elle n’est pas réalisée dans de bonnes conditions, peut aussi élever les risques. En outre la concentration de la valeur dans quelques data-centers constitue une concentration de risques. Enfin les cloud service providers sont essentiellement américains ce qui pose des problèmes juridiques et de souveraineté.
Pendant que la « guerre » au virus bat son plein, les cyber guerres se sont-elles arrêtées? Un trêve numérique est-elle observée? Ou bien ces luttes numériques se sont-elles accentuées à la faveur de la numérisation des entreprises?
La crise fait évoluer l’environnement, conjoncturellement et structurellement, sans toutefois remettre en cause les tendances profondes.
Ainsi on a pu voir ponctuellement des groupes d’attaquants (Maze par ex) faire des déclarations sur une trêve à l’encontre du secteur de la santé qui est traditionnellement avec la banque, l’énergie et les télécommunications un des secteurs les plus attaqué. Par ailleurs, certains groupes ont pu être eux aussi confrontés aux contraintes du confinement (supply chain, accès aux infra,…) et du télétravail (eux aussi ont des familles).
Mais globalement, il n’y a pas eu de trêve et il faut s’attendre au contraire à une forte augmentation : les individus comme les entreprises vont être plus vulnérables surtout si elles réduisent leurs investissements en cybersécurité du fait de la crise.
Les Etats vont continuer à investir massivement dans le cyber pour donner un avantage stratégique à leurs entreprises et forces armées. Le cyber a un rapport coût / efficacité / risque politique extrêmement avantageux par rapport aux autres composantes plus classiques.
Les pays les plus « numériques » sont-il des modèles de lutte contre la pandémie?
Les modèles de lutte contre la pandémie sont des pays dans lesquels l’information circule de manière fluide et dotés d’une capacité d’action forte (à travers l’action publique et les comportements individuels), le numérique n’est pas un facteur premier dans la gestion de la crise. Si le numérique permet d’éviter des contacts, son accès est parfois lié à une forte densité de population, où se concentrent les profils créatifs et les grandes organisations numérisées. Certains territoires mal connectés du Sud-Ouest sont d’ailleurs beaucoup moins touchés que la région parisienne ! Ni la Chine, ni la Russie, ni les Etats-Unis ne semblent
Les usages du numérique ont néanmoins connu des développements rapides dans des domaines essentiels de la société pendant cette crise : l’éducation en est l’exemple le plus frappant, autant que le télétravail. La méfiance des Français envers certains usages reste toutefois forte, en ce qui concerne l’application « StopCovid », comme l’a montré une enquête récente du CEVIPOF à lire ici : CEVIPOF
Il est extrêmement difficile d’isoler les facteurs pour arriver à la conclusion : plus le numérique est présent et moins il y a de morts du COVID. Le meilleur contre-exemple étant la Creuse qui ne recense aucun mort et qui est loin d’être la Silicon Valley !
Le numérique a démontré sa contribution essentielle à la résilience de la nation : les réseaux et internet ont tenu permettant de limiter l’impact économique (télétravail) et social (écoles, dialogue avec les personnes âgées,..) de la crise. En outre les applications comme « stop covid » pourraient contribuer à disposer d’une « télémétrie de la crise » afin d’ajuster constamment le dispositif et ainsi limiter les contraintes superflues. Néanmoins, cette numérisation s’accompagne de risques réels pour les libertés individuelles, la souveraineté,..
En fait, en basculant une partie de sa « vie » dans l’espace numérique on réduit sa dépendance à l’espace « physique » sans pour autant s’en affranchir (la logique de « pas tous les œufs dans le même panier »). Le monde numérique est encore un far-west (quasiment au sens propre du terme) techno et juridique qui a aussi ses risques, aujourd’hui moins importants que pour l’espace physique mais aussi moins maîtrisables.
EurAsia Prospective 