«En période de crise, les employés sont encore plus vulnérables qu’en temps normal. De nombreux cybercriminels en profitent, c’est déjà le cas avec des campagnes de phishing portant sur le coronavirus.» Directeur dans l’équipe Cybersécurité de Deloitte, Maxime Verac invite à appliquer encore plus strictement les bonnes règles d’hygiène numérique, surtout si ces employés travaillent à distance, ainsi qu’à respecter les consignes de sécurité communiquées par leurs employeurs.

«Il y a trois situations possibles. Soit une entreprise n’est pas prête à permettre un accès à distance et il est trop tard. C’est généralement trop difficile de mettre en place un accès bien sécurisé en peu de temps», explique l’expert. «Soit elle passe par une solution de type VPN (Virtual Private Network) et fournit un ordinateur portable à ses collaborateurs, ce qui leur permet de maîtriser la sécurité du poste de travail et de donner accès au réseau de l’entreprise (à tout ou à peu près, selon la réglementation qui entoure son activité). Dans ce cas, le collaborateur n’a pas trop de souci à se faire, c’est l’entreprise qui va vérifier que le fonctionnement est sûr, il faut surtout veiller à ce que le VPN ne soit pas utilisé depuis des réseaux publics de wifi et que les mots de passe ou token de son employé ne soient pas partagés.»

Enfin, «troisième cas, l’entreprise permet à son employé de se connecter à un ‘poste de travail virtuel’ depuis son ordinateur personnel. Généralement, elle va s’assurer que son employé a installé la dernière version de son système d’exploitation, qu’il a un antivirus à jour et fonctionnel, et qu’il dispose d’un navigateur internet également à jour.» Dans ce cas, une authentification forte de l’utilisateur est indispensable (token physique ou OTP sur application mobile).

Une authentification forte plutôt qu’un mot de passe

Surtout, le directeur de la cybersécurité appelle au respect des bonnes pratiques de l’hygiène numérique: ne pas partager son mot de passe, ne pas laisser son écran déverrouillé et veiller à ce que personne ne passe derrière, ne pas cliquer sur un lien douteux dans un mail.

«Le recours massif au télétravail pose une autre question», dit-il enfin. «Généralement, l’entreprise a prévu le recours au télétravail et au VPN pour des cas particuliers. Son équipement est-il capable de supporter que toute l’entreprise bascule en télétravail? A-t-on pris une licence exceptionnelle pour couvrir tout le monde? Les boîtiers physiques sont-ils de taille face à cette généralisation du VPN? Ce sont plutôt les problèmes concrets auxquels ont été confrontées les entreprises cette semaine.»

Le changement pas toujours bon

Pour lui, dans le cas où l’authentification de l’utilisateur reposerait uniquement sur un mot de passe (pas recommandé pour un accès VPN ou service en ligne sensible, surtout si l’ordinateur n’est pas authentifié), le mot de passe doit être fort.

Un mot de passe fort n’est pas nécessairement complexe à retenir, mais il ne doit pas pouvoir être deviné facilement par un cybercriminel disposant d’une forte puissance de calcul (par exemple: mot de passe déjà présent dans des fuites sur internet, mots du dictionnaire ou expression usuelle, suite de caractères du clavier, mot de passe précédent avec ajout d’un chiffre, etc.).

Il vaut mieux un mot de passe long (12 caractères minimum) sans contrainte forte de composition, plutôt qu’imposer des caractères spéciaux qui vont créer de la complexité inutile pour les utilisateurs (surtout à Luxembourg avec tous nos claviers différents).

Par ailleurs, il est préférable que les entreprises s’assurent que les mots de passe restent forts dans le temps plutôt qu’imposer un changement de mot de passe trop régulier aux utilisateurs.