La crise du Covid-19 a obligé près de trois milliards d’individus dans le monde à se confiner[1], a affecté plusieurs dizaines de millions de gens dans leur activités professionnelles et a contraint des centaines de milliers d’entreprises à fermer menaçant beaucoup d’entre elles de fermeture à terme[2].

Cette crise majeure – l’une des plus fortes depuis la Seconde Guerre mondiale – s’accompagne d’une autre crise d’autant plus dangereuse qu’elle est encore invisible, ou du moins l’urgence du moment la relègue au second plan, et surtout parce qu’elle risque d’arriver de manière décalée.

Une activité numérique mal maîtrisée

La sortie de crise Covid-19 pourrait bien nous confronter à un autre type de problèmes : ceux liés à une activité numérique mal maîtrisée et une activité des attaquants qui connaît depuis deux mois un bond sans précédent, profitant d’une situation d’extrême faiblesse de nos sociétés dites "modernes".

Notre dépendance au numérique n’a jamais été aussi forte et le constat de notre fragilité dans ce domaine n'a jamais été aussi criant, quel que soit le critère que l’on considère. Il aura fallu une crise comme celle du COVID-19 pour s’en apercevoir.

Tout d’abord quel est le contexte et la situation :

• Un grand nombre de systèmes informatiques ne sont plus suffisamment protégés et/ou surveillés.
• L'explosion du télétravail chez les salariés qui, pour la majorité, ne maîtrisent pas les technologies le permettant a pour conséquence un affaiblissement conséquent et général de l’environnement de sécurité, quand il existait. Combien de salariés se connectent aux serveurs de leur entreprise en mode dégradé (le service primant sur la sécurité), tandis que les entreprises ouvrent de manière inconsidérée certaines portes que les salariés ne sont pas les seuls à franchir. Les sauvegardes et procédures de sécurité sont fortement dégradées voire ne sont plus appliquées. Les PCI/PRI[3], quand ils existent, se révèlent lacunaires, inadaptés voire ne sont plus appliqués.
• La découverte/confirmation d’une absence totale de souveraineté de l’Europe qui ne dispose pas de moyens de visio-conférence, de réseaux, de systèmes numériques réellement souverains, maîtrisés et vertueux.

Des menaces qui risquent d'être décuplées au moment de la reprise des activités

Dans ce contexte nous voyons un certain nombre de menaces augmenter voire émerger :

• Les attaques se multiplient notamment contre des systèmes critiques de première nécessité (comme les hôpitaux qui ont subi, dans certains pays européens, des attaques intenses par DDoS[4]) : attaques par déni de service, vols de bases de données, attaques par ransomware et bien sur les arnaques en tous genres, petites ou grandes.
• Collecte sans précédent des données, personnelles ou non, par des sociétés non européennes du fait d’un usage de solutions non souveraines et irrespectueuses de la sécurité et de la protection des données (en particulier de visio-conférence; le pire cas, mais pas le seul, étant celui de Zoom[5] qui revend les données à Facebook et autres data-brokers). Combien de secrets d’entreprises, de données confidentielles (voix, vidéos, documents) sont maintenant dans la nature parce qu’échangés au mépris de toute sécurité ?
• Le plus gros risque sera sans conteste la période qui va suivre la crise COVID-19 quand les entreprises vont redémarrer et ce pour deux raisons :
  • Combien de « portes » informatiques resteront ouvertes, de procédures et mauvaises pratiques perdureront ? Combien d’entreprises mèneront un audit post-crise pour s’assurer de la santé informatique de leur entreprise, reverront leur PCA/PRA et PCI/PRI ? Peu, sans doute, car la reprise sera leur priorité et cela peut se comprendre.
  • Il est à craindre – avec une probabilité non négligeable – que certains attaquants (selon leurs motivations, voir ci-après) ont ou sont en train d’installer des dispositifs à retardement pour déclencher leur attaque au pire moment. Un attaquant efficace et expérimenté pensera ainsi, plutôt que d’exploiter une faiblesse dès qu’elle est identifiée. La vigilance et l’audit des systèmes devront impérativement être menés avant la reprise à un niveau nominal.

Qui faut-il craindre ?

Quels sont les attaquants et autres acteurs malfaisants derrière cette hyperactivité ? Sans donner trop de détails, pour ne pas faire de publicité déplacée à ces acteurs, nous observons les groupes suivants :

• Les entités mafieuses habituelles qui utilisent le ransomware[6] comme moyen d’enrichissement. Le nombre de victimes explosent et de toutes tailles. L’exploitation de failles de sécurité ou de services mal protégés (RDP étant le plus fréquent) sur des serveurs plus exposés et moins protégés monte en flèche.
• Des groupes – avec soutien de certains états ou en sous-traitance pour eux – agissent pour provoquer la disruption des économies des pays occidentaux dont ils ne partagent pas les valeurs. En particulier, on constate une augmentation importante des attaques contre tout ce qui représente l’Europe et ses valeurs. Ainsi, certains groupes d’obédience nationaliste et/ou ayant des motivations populistes, soutenus par certains partis/états, profitent directement et activement de la crise COVID-19 pour mener une guerre intense contre les actifs (les entreprises par des attaques et des disruptions, les citoyens par la désinformation) de l’Europe.
• D’autres entreprises concurrentes qui anticipent des conditions économiques difficiles et qui n’hésitent pas à se placer dans une situation de concurrence déloyale par tous les moyens. La crise a montré combien, entre Etats, les comportements déplorables se sont multipliés[7]. Malheureusement, les mêmes comportements sont et seront constatés dans le domaine du numérique.

Des solutions pour les entreprises

Fort de tout cela, et gardant à l’esprit que tout problème doit être vu comme une opportunité de prise de conscience et d’action, voici quelques conseils à donner aux entreprises :

• Profitez de cette situation de moindre activité pour repenser votre PCA/PCI/PRA/PRA. Revoyez et vérifiez vos procédures de sauvegardes et de restauration. Assurez-vous de pouvoir repartir en cas de blocage ou d’incident majeur. Il est important de se rappeler que l’on protège autant la disponibilité des données que des fonctions essentielles voire critiques.
• Auditez vos serveurs et en particulier les services RDP. Revoyez la configuration des serveurs (ports ouverts, services exposés et correctifs de sécurité non appliqués).
• Formez vos salariés et utilisateurs. Sensibilisez-les à la sécurité. Prévoyez des séances de sensibilisation à la rentrée.
• Revoyez toutes vos procédures de travail et de communication.
• Profitez de cette moindre activité pour cartographier vos données et en particulier les données personnelles que vous collectez et traitez. Jamais le RGPD n’a été autant essentiel et c’est une des valeurs de l’Europe la plus combattue en particulier par les USA.
• Revoyez le choix des outils que vous utilisez en particulier pour communiquer. Privilégiez les outils européens (ils existent). En les utilisant, la demande fera croître le besoin et donc à terme l’offre. Il est vital que l’Europe comprenne enfin la nécessité d’une souveraineté numérique. Pour la visio-conférence, utilisez préférentiellement les outils suivants :
  • https://jitsi.org/what-is-jitsi/ et toutes les offres reposant sur Jitsi (voir https://jitsi.org/built-on-jitsi/ et https://meet.jit.si/)
  • https://ensemble.scaleway.com/
  • Le service framatalk.org et plus largement les services de framasoft.org
  • Le service infomaniak https://www.infomaniak.com/fr/meet/

 Il en existe d’autres, recherchez-les et partagez-les !

Le tableau qui vient d’être dressé est certes noir et inquiétant mais il est la réalité[8]. Mais il n’est en rien inéluctable. Considérez comme une prise de conscience généralice d’opportunités. La (re)lecture des deux ouvrages de Nassim Nicholas Taleb – « Le cygne Noir », « Antifragile » – est, de ce point de vue, de circonstance.

Il est malheureusement à craindre qu’après cette crise un grand nombre d’entreprises ressortiront fragilisées économiquement mais aussi informatiquement. Et pour ce dernier aspect, ne soyez pas parmi celles qui seront dans la difficulté.

Les pensées d'un homme diligent ne mènent qu'à l'abondance; mais tout étourdi ne court qu'à la disette. (Proverbes 21 :5)

[1] Au 30/03/2020, https://www.lemonde.fr/planete/article/2020/03/30/coronavirus-quels-pays-sont-confines_6034936_3244.html

[2] https://www.awex-export.be/fr/plus-d-infos/actualites/quel-est-l-impact-du-covid-19-pour-les-entreprises-et-le-commerce-international, https://economie.fgov.be/fr/themes/entreprises/coronavirus/impact-economique-du

[3] Plan de continuité d’Activité/Plan de Reprise Informatique.

[4] Distributed Denial of Service.

[5] https://www.theverge.com/2020/4/2/21204018/zoom-security-privacy-feature-freeze-200-million-daily-users, https://www.forbes.com/sites/marleycoyne/2020/04/03/zooms-big-security-problems-summarized

[6] Un ransomware est un code malveillant prenant en otage les données ou l’activité d’une entreprises et demandant une rançon.

[7] https://www.valeursactuelles.com/societe/la-republique-tcheque-bien-detourne-680-000-masques-destines-litalie-117397, https://lesobservateurs.ch/2020/03/11/coronavirus-la-douane-allemande-bloque-des-conteneurs-medicaux-en-direction-de-la-suisse-lapprovisionnement-de-lallemagne-est-prioritaire, https://www.francetvinfo.fr/sante/maladie/coronavirus/coronavirus-des-masques-commandes-par-la-france-rachetes-sur-le-tarmac-par-les-americains_3895897.html

[8] Il est malheureusement en deça de cette réalité mais tout ne peut pas être dit.

Intéressez par la data protection ? Rejoignez l'info session en ligne du "Programme in European Data Protection (GDPR)" le 30 juin à 12H.

 JE M'INSCRIS