Les attaques liées au cyberespionnage et menées par des entités étatiques ou para-étatiques se multiplient et visent les entreprises européennes. Elles ciblent principalement des organisations essentielles à la stabilité économique d’un pays.

Conséquence des instabilités géopolitiques

La recrudescence des attaques étatiques et para-étatiques

Depuis la guerre en Ukraine, les conflits dans le cyberespace continuent de se renforcer. La typologie de cyberattaquants tend à se diversifier. Ainsi, de plus en plus d’acteurs étatiques usent de méthodes de cybercriminalité traditionnelles, comme les rançongiciels et ciblent des organisations privées ou publiques. Par conséquent, il devient de plus en plus complexe d’identifier précisément les auteurs de ces activités malveillantes. De plus, les techniques utilisées sont davantage sophistiquées et donc efficaces puisqu’elles mobilisent davantage de moyens. Elles font ainsi plus de dégâts. D’ailleurs, la lutte contre le cyberespionnage a même été l’une des missions principales de l’ANSSI en 2022. Les actions de cyberespionnage peuvent toucher des systèmes d’informations durant des mois, sans être perceptibles par les organisations.

En 2022, 150 attaques cyberétatiques ont été dénombrées : 77% concernent des opérations d’espionnage. En 2023, le pourcentage s’élève déjà à 83% à date sur le total des cyberattaques étatiques. Et l’année n’est pas encore terminée.

Principalement d’origine chinoises ou russes, ces attaques d’espionnage étatiques et para-étatique poursuivent, selon les cas, différents objectifs :

• la récolte de données confidentielles,
• le sabotage informatique voire physique d’une infrastructure critique
• ou encore la déstabilisation politique.

Les secteurs sensibles particulièrement visés

Des organisations gouvernementales, des entreprises, des administrations ou encore des instituts de recherche font partie des cibles privilégiées du cyberespionnage. C’est auprès d’elles que les cyberattaquants peuvent récolter des données sensibles, liées à l’activité économique, industrielle ou scientifique d’une nation. Cela peut débuter par le piratage de messageries de collaborateurs afin de récupérer des informations confidentielles.

Récemment, l’ANSSI a déclaré que plusieurs attaques de cyberespionnage, visant notamment des entreprises françaises, ont été menées par l’unité de pirates APT 28 (ou Fancy Bear). Proches des services de renseignements militaires russes, ces pirates auraient exploité plusieurs failles de sécurité pour s’infiltrer dans des messageries Outlook, entre mars 2022 et juin 2023.

Quelles sont les conséquences du cyberespionnage ?

Impacts financiers pour les entreprises

Le cyberespionnage a des impacts économiques conséquents sur les entreprises. D’abord, l’attaque est généralement découverte plusieurs mois après l’infiltration et est aussitôt médiatisée. Cela nuit à l’image de l’organisation et entraîne une perte de confiance de la part de ses clients et partenaires. L’espionnage industriel peut aussi amener à une perte de marchés et à un vol de données relatives à la propriété intellectuelle de l’organisation. Tout cela concourt à déstabiliser financièrement les entreprises.

Atteinte aux intérêts de la nation

Par ailleurs, l’espionnage d’entreprises évoluant dans des secteurs critiques peut poursuivre des intérêts autres que financiers. Par exemple, lorsqu’il s’agit d’infrastructures liées aux secteurs de l’énergie, des TIC ou de la santé, le cyberespionnage participe à la déstabilisation du pays, sur le plan économique, social voire même sécuritaire.

Dans un contexte de guerre et de menace terroriste, les organismes étatiques ciblent des secteurs stratégiques. En 2023 a été découverte l’infiltration de Mirage, acteur de la cybermenace chinoise, dans les réseaux de l’Agence fédérale allemande pour la cartographie et la géodésie en décembre 2021. Même si l’on ne connait pas aujourd’hui le type d’informations compromises, cela démontre bien que ces attaques peuvent corrompre en profondeur un système et s’y installer potentiellement dans le temps.

Le renforcement de la cybersécurité européenne plus que jamais essentiel

Avec la directive NIS 2 ou DORA, l’Europe se prépare dès à présent à renforcer la cybersécurité des organisations les plus sensibles, notamment face au cyberespionnage.

Les cyberattaques étatiques rentrent également dans le spectre de la cyberdéfense des nations. Ainsi, en France, le Commandement de la cyberdéfense a notamment pour mission de défendre les systèmes d’informations d’organismes critiques étatiques ou privés, afin d’éviter leur paralysie. Dans le même sens, la DGSI participe à la cyberdéfense en détectant et identifiant le plus tôt possible des ingérences cyberétatiques.

Les JO 2024 : un contexte favorable à la déstabilisation des entreprises

À l’aube des Jeux Olympiques 2024 à Paris, les autorités préviennent déjà d’un « niveau inédit de risques de cyberattaques », pouvant également cibler des entreprises, toujours dans le but de déstabiliser le pays organisateur.

Les organisations dans tous les secteurs essentiels et critiques doivent se préparer à une potentielle crise cyber. Des mesures de cyberprotection techniques sont attendues, notamment pour protéger les communications et les données confidentielles. Mais il est également recommandé d’accentuer la formation aux bonnes pratiques de cybersécurité en interne. En effet, les collaborateurs et les dirigeants sont généralement les portes d’entrée dans le SI des entreprises en cas de cyberespionnage.

Nouvelle directive NIS 2 : quels changements pour les entreprises et administrations européennes ?

Spearphishing, ransomware, téléchargement de logiciels malveillants… Ces menaces de cybersécurité touchent les salariés de toutes entreprises, notamment en télétravail. La sensibilisation à la cybersécurité est aujourd’hui indispensable.

Des risques économiques et politiques

Les cyberattaques dans les entreprises et les administrations répondent à des intérêts économiques et parfois politiques, selon le secteur d’activité ciblé.

Comme l’explique le site vie.publique.fr, les objectifs des hackers peuvent être :

• De voler de l’argent à un particulier ou à une entreprise
• De capter la clientèle d’une entreprise
• De nuire à la réputation d’une entreprise ou d’un acteur/parti politique
• De mettre en place un espionnage industriel, politique ou militaire
• …

Les collaborateurs d’une organisation sont en première ligne face à ces risques de cybersécurité qui se multiplient. La sensibilisation à la cybersécurité est ainsi indispensable pour qu’ils puissent en prendre conscience et réagir en conséquence.

Les actions de sensibilisation à la cybersécurité :

Programmer des formations régulières

Les formations en cybersécurité concernent l’ensemble des collaborateurs de l’entreprise et doivent être proposées régulièrement. Il est préférable de les organiser en petit comité pour favoriser les échanges et, si possible, de les adapter aux profils de métiers.

En effet, former un public de comptables ou de professionnels des ressources humaines à la cybersécurité est différent de former un public de développeurs ou de commerciaux. Segmenter les formations par métiers permet également d’aborder des sujets précis et concrets pour chaque enjeu professionnel (réseaux wi-fi en déplacement, e-mails frauduleux…). Idéalement, les modules de formations doivent être courts et ne pas dépasser 1 heure. Au-delà de cette durée, le risque est de générer de la lassitude et d’altérer la bonne compréhension du message.

Il peut être intéressant de conclure chaque formation par la transmission d’un document pratique et synthétique. Celui-ci servira de mémo au collaborateur. Pour le côté ludique, proposer des quiz suite aux formations, avec des récompenses à la clé, incite les collaborateurs à s’intéresser au sujet.

Utiliser la gamification

Toujours dans une visée plus ludique, la gamification lors d’une sensibilisation à la cybersécurité s’avère performante. Différents organismes proposent des escape game ou cyber game sur le thème de la sécurité informatique, durant lesquels les salariés se mettent par exemple dans la peau d’un hacker. Ces jeux de rôles et formations interactives permettent de mieux prendre conscience des risques, tout en atténuant l’aspect anxiogène du sujet.

Faire appel à des acteurs marquants

Pour des formations à plus grande échelle, faire intervenir un acteur reconnu en cybersécurité est un bon moyen de capter l’attention du public. Les salariés bénéficient ainsi d’une expertise poussée. Il peut s’agir d’organismes spécialisés en sécurité informatique, de chercheurs universitaires ou encore d’experts en cyberdéfense, selon le secteur d’activité et les enjeux de l’entreprise.

Renforcer la communication interne

Les salariés nécessitent d’être informés régulièrement sur les actualités relatives à la cybersécurité, qu’elles concernent directement leur entreprise ou non. Le fait de donner des exemples concrets d’incidents et leurs conséquences est un bon moyen de sensibilisation.

Par exemple, les attaques de spearphishing sont actuellement en hausse et concerne de plus en plus d’organisations. Ce type de cyberattaque cible de façon précise un salarié d’une entreprise ayant accès à des informations sensibles. Généralement, ce procédé repose sur de l’usurpation d’identité et de l’ingénierie sociale forte. L’objectif du hacker est d’envoyer un e-mail cohérent par rapport à l’activité de la personne ou de l’entreprise ciblée, en l’incitant à cliquer sur un lien malveillant ou à ouvrir une pièce jointe infectée. De ce fait, les données du salarié peuvent être comprises. Le taux de réussite du spearphishing est important et inquiétant. Communiquer ce type d’informations auprès des salariés, par e-mail, via un réseau social d’entreprise ou dans un référentiel interne, est nécessaire. Ces communications peuvent être accompagnées de quelques pratiques concrètes à mettre en place pour ne pas se faire piéger.

Par ailleurs, en cas d’incident, les salariés doivent réagir vite, notamment si leur poste est infecté et donc inutilisable. Pour les aider, la distribution de « fiches SOS » portant sur différentes problématiques est utile (exemple : « j’ai cliqué sur un mauvais lien, que dois-je faire ? »). Les salariés y retrouveront les coordonnées du service support et quelques actions simples à réaliser, en attendant d’être accompagnés. Ces fiches sont particulièrement recommandées pour les télétravailleurs qui sont davantage livrés à eux-mêmes face à ces problématiques de sécurité.

À lire aussi :

Les 5 conseils de Julien, Admin Système et sécurité @Tixeo, pour sécuriser le télétravail

Faire des campagnes de tests

Enfin, pour la sensibilisation à la cybersécurité, rien de tel qu’une (fausse) cyberattaque. Les campagnes de test de cybersécurité concernent toute l’entreprise et recouvrent un double objectif. Elles démontrent aux salariés que les attaques peuvent les concerner et mesurent ainsi leur niveau de vigilance. Généralement, ce sont des campagnes de phishing qui sont organisées, puisque ce type d’attaque par mail demeure le plus courant. À l’issue de ces campagnes de test, et selon les résultats, des modules de formation supplémentaires devront être proposées aux salariés.

3 précautions indispensables pour sensibiliser à la cybersécurité

Miser sur la diversité des actions

Libérer du temps pour se former n’est pas toujours simple et la majorité des salariés se rendent en formation cybersécurité en traînant les pieds. La clé est donc de diversifier les formations, pour aborder le sujet sous différents angles, en diffusant des informations concrètes et pratiques. Sans oublier l’aspect pédagogique et ludique !

Adapter la sensibilisation aux métiers

Il est important pour les salariés d’apprendre des techniques pour se protéger mais aussi et surtout de prendre conscience que chacun est une cible à part entière pour les hackers aujourd’hui. La sensibilisation globale des effectifs doit se faire en même temps que la sensibilisation des différents profils métiers.

Renforcer les formations des télétravailleurs

Si tous les salariés nécessitent d’être formés à la sécurité informatique, c’est encore plus le cas pour les télétravailleurs. En effet, depuis l’avènement du télétravail, les cyberattaques ont bondi et leur coût pour l’entreprise également. Les entreprises ont tout intérêt de maximiser les formations à destination des télétravailleurs tout comme leur support à distance en cas d’incident.

Comment éviter le « zoombombing » durant une visioconférence ?

Les entreprises sont confrontées à des cybermenaces de plus en plus fortes et le télétravail accentue ces risques. Julien, Administrateur Système et sécurité chez Tixeo, nous délivre ses conseils pour renforcer la sécurité du télétravail (et des télétravailleurs !).

Pourquoi faut-il renforcer la sécurité du télétravail dans les entreprises ?  

Ce n’est plus un secret : les cybermenaces augmentent depuis plusieurs années. Elles se sont même renforcées depuis la pandémie et les bouleversements au niveau géopolitique. Les entreprises de toutes tailles sont concernées par des attaques informatiques aujourd’hui. Et l’expansion du télétravail n’y est pas pour rien.

Le récent rapport d’IBM « Cost of a data breach » indique même que lorsque le télétravail est un facteur à l’origine d’une attaque informatique, le coût de celle-ci pour l’entreprise augmente de près de 1 million de dollars, en comparaison avec une attaque sans ce facteur.

Quelles sont les cybermenaces du télétravail ?

Par définition, le télétravailleur travaille chez lui. L’employeur a donc un contrôle limité sur son environnement et ses usages, notamment concernant sa connexion Internet domestique. Pourtant, le réseau Wi-Fi constitue une première cybermenace en télétravail. Si son accès n’est pas protégé, cela peut exposer les données de l’appareil connecté.

Par ailleurs, en télétravail hybride, le salarié est souvent amené à se déplacer avec ses appareils professionnels. Là encore, la connexion à des réseaux Wi-Fi publics est problématique. Les risques de perte et de vol de matériel sont également plus élevés.

Enfin, la recrudescence des cybermenaces telles que le phishing ou le ransomware peut faire davantage de dégâts auprès de salariés en télétravail. En effet, sur site, le moindre soupçon d’attaque informatique fait l’objet de discussions dans l’open-space. S’il est isolé, un collaborateur en télétravail hybride sera sans doute moins vigilant face à l’un de ces risques de cybersécurité.

Que faut-il sécuriser en télétravail ? 

La sécurité en télétravail passe par trois éléments principaux. D’abord, le poste de télétravail doit être protégé. Chez Tixeo, les disques durs des télétravailleurs sont chiffrés. Cela limite les risques de compromission des données, si l’appareil est volé lors d’un déplacement par exemple.

Les télétravailleurs nécessitent également d’avoir accès aux ressources hébergées sur le réseau de l’entreprise depuis chez eux et lorsqu’ils se déplacent. La mise en place d’un VPN protège cet accès. Lorsque les ressources sont disponibles via un système de cloud (souverain de préférence), le MFA (ou authentification multi-facteur) authentifie de façon sécurisée l’utilisateur.

Enfin, protéger les communications en télétravail hybride est un enjeu primordial. Les salariés utilisent la visioconférence pour aborder une multitude de sujets, et certains sont confidentiels. L’accès à ces échanges peut avoir de lourdes conséquences pour les entreprises, dans un contexte de cyberguerre constante. L’utilisation d’une solution de visioconférence sécurisée est donc fortement recommandée, pour éviter le zoombombing et l’espionnage informatique.

À LIRE AUSSI :

Comment la visioconférence sécurisée protège les données personnelles des entreprises et salariés ?

Pourquoi la sensibilisation des télétravailleurs à la cybersécurité est-elle essentielle ?

Même avec toutes les mesures de sécurité adéquates mises en place, le facteur humain reste toujours la plus grande vulnérabilité. Selon le dernier rapport Verizon, ce facteur est présent dans 74 % de toutes les brèches de données. De plus, 52 % des attaques de cyberespionnage commencent par du « spearphishing » ou « attaque par hameçonnage ciblé ». Ce type de cyberattaque cible de façon précise un salarié d’une entreprise ayant accès à des informations sensibles. Généralement, ce procédé repose sur de l’usurpation d’identité et de l’ingénierie sociale forte. L’objectif du hacker est d’envoyer un e-mail cohérent par rapport à l’activité de la personne ou de l’entreprise ciblée, comme l’explique l’ANSSI sur son site.

Les télétravailleurs ne doivent pas se sentir livrés à eux-mêmes par rapport à ces sujets. C’est pourquoi, les actions de sensibilisation à la cybersécurité doivent être régulières. Une charte informatique complète et adaptée à leur poste doit leur être communiquée et contenir toutes les informations nécessaires sur l’utilisation des équipements fournis ou encore les bons réflexes à avoir en cas de suspicion d’attaque. Enfin, les télétravailleurs nécessitent d’être sensibilisés aux risques accrus du shadow IT. Ce phénomène consiste pour les salariés à utiliser des logiciels et applications informatiques qui n’ont pas été vérifiés et approuvés par la DSI. Le shadow IT peut engendrer des vulnérabilités sur le poste de travail, et par extension, sur le réseau interne. Pour éviter les désagréments du shadow IT, les DSI ont tout intérêt à s’interroger sur la performance des outils déployés et prévoir des formations sur leur utilisation.

Quels conseils donnerais-tu aux entreprises pour renforcer la sécurité du télétravail ?

1. Renforcer les actions de sensibilisation à destination des télétravailleurs
2. Faciliter le support des télétravailleurs, notamment grâce à des logiciels de prise de contrôle à distance des postes
3. Intensifier la sécurité des postes des télétravailleurs nomades ainsi que de leur accès aux ressources (VPN, MFA, Endpoint Detection & Response, Mobile Device Management, Disc encryption…)
4. Bien connaître les usages de ses employés en télétravail et adapter la sécurité en fonction pour ne pas générer de la frustration et du shadow IT
5. Mettre en place un outil de visioconférence sécurisée pour protéger les données et les communications sensibles de l’entreprise

Retrouvez d’autres bonnes pratiques sur la sécurité du télétravail dans le livre blanc : découvrir tous les conseils sécurité de Julien