Les attaques ne semblent pas augmenter en nombre, mais elles deviennent très personnalisées, ce qui empêche de voir à qui les hackers tentent de nuire. (Photo: Shutterstock)

Les attaques ne semblent pas augmenter en nombre, mais elles deviennent très personnalisées, ce qui empêche de voir à qui les hackers tentent de nuire. (Photo: Shutterstock)

Les cas de Cactus, de Tarkett ou les alertes au phishing de Luxtrust sont-ils synonymes d’une recrudescence des attaques au Luxembourg? Le plus dangereux, c’est plutôt l’hyperpersonnalisation des attaques, répond le CEO de Securitymadein.lu, Pascal Steichen.

«C’est la question que tout le monde se pose: ‘Est-ce que les attaques ont augmenté?’» Le CEO de Securitymadein.lu, , en convient. Et y répond aussitôt. «Ce que nous voyons, concrètement, au Luxembourg, ce n’est pas une augmentation du nombre des attaques, mais plutôt une adaptation des types d’attaques au sujet du Covid-19.»

«Les phishings qu’on voit aujourd’hui sont beaucoup liés aux sujets autour du virus, que ce soit pour des dons, pour des masques bon marché, ou tous ces sujets-là! La semaine dernière, Google a publié une annonce sur le million d’e-mails qu’ils ont bloqués à propos de ces sujets-là», explique l’expert en cybersécurité.

Pourtant, chaque jour, une nouvelle société spécialisée en cybersécurité publie un nouvel avertissement… «Les entreprises qui utilisent cet argument ont davantage une démarche commerciale que de cybersécurité…»

Car, pour lui, si «les criminels vont utiliser le sujet du Covid-19 et s’intéresser à des types d’outils ou de logiciels qui sont beaucoup utilisés, comme les outils de vidéoconférence, comme Zoom, qui s’est fait hacker, la majorité des criminels restent des opportunistes, avec du phishing ou du ransomware».

Le danger est ailleurs. «Une tendance émerge depuis l’an dernier, celle de l’hyperpersonnalisation des messages. Le phénomène des sextorsions, qui adresse un peu la honte à un individu ciblé, ne nous permet pas de voir si une entreprise est visée au travers de cet individu. La catégorie ‘individu’ explose dans les statistiques, mais on perd la visibilité des secteurs de l’économie qui sont visés. C’est un peu inquiétant. Les criminels ont trouvé une méthode pour masquer leurs actions.»

«Il y a beaucoup moins de ransomwares, mais ceux qui sont là sont beaucoup plus consistants. On a vu certaines stars ou certaines personnes bien connues qui se sont fait hacker parce qu’il y a une recherche plus intense de ciblage très précis», ajoute-t-il.

Les craintes liées aux risques dus au basculement vers le travail à distance ne sont pas non plus fondées. «Il y a toujours la connexion à l’entreprise, qui reste très similaire à avant. Si un criminel attaque mon ordinateur à la maison ou au bureau, il aura le même accès.»

Autre enseignement de la crise: très peu d’entreprises ont manifesté leur inquiétude. «Au Luxembourg, la digitalisation était déjà assez avancée pour que le switch un peu abrupt qui s’est fait se passe assez bien. On l’a par exemple bien vu du côté des écoles où le système était déjà en place. Il n’était pas encore beaucoup utilisé.»

La vidéoconférence, son intérêt et ses limites

La crise va permettre de doper certains usages, comme celui de la vidéoconférence. «Des entreprises et des acteurs ont réellement compris ce que ça voulait dire, travailler à distance ou de faire des webinars. Toutes les heures, il y a 30 webinars... Pour toute une série de choses, on perdait beaucoup de temps, parce qu’il fallait se déplacer ou s’organiser. Les solutions de visioconférence ont démontré qu’on pouvait faciliter les choses. Dans le marché de ces outils, il y aura une petite sélection naturelle. Ces outils-là ont pour une fois été utilisés de manière correcte, et les gens vont retenir ce qui tient la route. Zoom, qui a quand même bien réagi et assez rapidement, a gardé certaines parts de marché. On va voir dans les mois à venir quel système va survivre.»

Comment s’en sortir entre toutes les possibilités? Pour Pascal Steichen, il faut avoir certains principes en tête:

- Un échange d’informations ou une discussion ne doivent être diffusés qu’aux personnes qui y ont accès. Et de la même manière qu’on ne va pas faire une réunion en plein milieu de l’open space pour que tout le monde entende, on va dans une salle de réunion, pour que seules ces personnes entendent, ces principes de confidentialité doivent être garantis par les solutions de vidéoconférence.

- Le plus simple est qu’on ait la main soi-même sur un système et qu’il soit hébergé chez soi ou par un prestataire de confiance, grâce auquel on sait où est le centre de données. Cela donne un certain niveau de garantie. Il reste la partie logicielle. Est-ce que le soft a été testé? Est-ce que moi, en tant qu’entreprise, je peux demander un test? Cela permet d’augmenter l’assurance de respect des règles. Des solutions open source permettent d’avoir plus facilement accès à ces éléments-là.

- Si on fait une conférence publique, à la limite, l’outil a beaucoup moins d’importance, on n’a pas besoin de confidentialité. Mais je ne vais pas utiliser Zoom pour des réunions internes ou confidentielles. Certains outils veulent être plus généralistes et augmentent les fonctionnalités, il est parfois plus difficile de s’y retrouver. D’autres restent dans un certain type d’utilisation. «Devoir installer un logiciel augmente à nouveau un peu le risque. À chacun de définir sa stratégie en fonction de son analyse du risque. Nous essayons d’utiliser au maximum Big Blue Button. J’ai dû installer tous les outils, comme tout le monde, ces dernières semaines. Pour des questions spécifiques, nous utilisons une solution à nous», confie-t-il encore.

Articles Associés