Alors que l’évolution de la pandémie va dans le bon sens et que la vie publique commence à reprendre son cours, tout le monde aspire à des vacances bien méritées. Juillet et août sont aussi une période essentielle pour les étudiants jobistes. Des cohortes d’entre eux retrouveront bientôt le chemin des entreprises. Peut-être pas tous en présentiel, car le télétravail les concerne aussi désormais. Chacun doit en effet à nouveau s’habituer au travail collaboratif dans des locaux. Il est même probable que l’entreprise ait entre-temps recruté de nouveaux visages, que l’on n’a encore jamais croisés. La reprise se fera-t-elle facilement ou faudra-t-il d’abord fixer de nouveaux accords concrets? Hans Claeskens, de Sophos Benelux, s’inquiète des opportunités qui se présenteront aux cybercriminels durant les vacances d’été.
Mais attention… les vacanciers ne sont pas les seuls à attendre juillet et août avec impatience. Les cybercriminels sont aussi à l’affût. Car pour eux également, les grandes vacances sont une période des plus fertiles. Comment pourrait-il en aller autrement ? Des collaborateurs doivent assumer des tâches de leurs collègues absents. Des milliers de travailleurs temporaires, intérimaires et jobistes ont accès aux réseaux des entreprises, parfois depuis leur ordinateur, voire d’un banal smartphone. Et lorsque tous ces gens travaillent de leur domicile, pirater un réseau est devenu un jeu d’enfant. Les cyberattaques les plus réussies ciblent en effet les postes de travail, c’est-à-dire les appareils que vous et moi employons quotidiennement – tout comme les étudiants jobistes.
Une faiblesse à mettre en grande partie à notre actif.
Au cours des deux prochains mois, nous allons assurer des tâches pour nos collègues partis en vacances, assistés par des étudiants jobistes. Beaucoup n’hésitent pas à partager, parfois par e-mail, les identifiants et mots de passe de plusieurs applications et programmes. Pour les cybercriminels, c’est un terreau idéal. Car une fois enregistrés dans la boîte de courrier électronique, ces mots de passe n’attendent plus qu’à être « cueillis ».
Après avoir travaillé aussi longtemps à distance, on est évidemment encore moins bien informé des contacts habituels entretenus par les collègues que l’on doit remplacer. Avec qui a-t-on le droit de partager des renseignements, éventuellement sujets au RGPD, et avec qui ne faut-il surtout pas le faire ? Et c’est ici qu’interviennent aussi les jobistes.
Car sans aucune précaution, beaucoup d’entreprises les laissent accéder à leur réseau informatique. On ne se pose aucune question à propos des ressources et applications que ces jeunes, pour la plupart des ‘digital natives’, connaissent et installent rapidement. Leur objectif n’est-il pas de nous faciliter la vie ?
Loin de moi l’idée de soupçonner ces jeunes étudiants d’activités cybercriminelles. Non, les vrais « méchants » font partie d’organisations professionnelles. Rusés, ils ont pris soin d’accéder aux smartphones ou aux ordinateurs des étudiants jobistes avant même qu’ils ne reçoivent un sésame pour accéder au réseau de votre entreprise. Les meilleures techniques de phishing et de smishing ont en effet évolué sous la forme d’une fusée à deux étages : en partie par le biais de processus automatisés, et en partie par des techniques manuelles. Un banal clic imprudent quelques mois auparavant a peut-être permis à un pirate informatique de se loger insidieusement sur un appareil, attendant le moment opportun pour frapper et infecter tout un réseau. N’a-t-on pas récemment appris que des cybercriminels s’étaient discrètement introduits depuis déjà deux ans sur le réseau du Service Public Fédéral des Affaires Etrangères ? Toutes ces failles ne sont évidemment pas à mettre au compte des étudiants jobistes. Depuis un an et demi, les télétravailleurs sont eux aussi assaillis de faux e-mails et SMS bidon. Les dégâts que peut provoquer un clic impulsif dépendent avant tout de la cohérence des systèmes de protection sur tous les appareils et l’ensemble du réseau.
Aucune entreprise n’est à l’abri. Même les plus petites peuvent s’avérer intéressantes pour les cybercriminels, parce qu’ils ont automatisé leurs attaques. Chaque société est devenue une cible. Mais chacune a le choix de devenir une victime. Ou pas.
Bonne préparation
Avant de confier un travail aux étudiants jobistes, assurez-vous de prendre les mesures de précaution suivantes :
Activez un contrôle d’applications sur tous les appareils, pour empêcher l’utilisateur d’installer de nouveaux programmes sur ses appareils connectés au réseau.
Installez un filtre capable de bloquer sur tous les appareils les malwares connus ou suspects.
Développez un système de test anti-phishing par e-mail afin d’envoyer régulièrement à votre personnel de faux e-mails d’hameçonnage. La formation et la répétition sont deux critères importants pour apprendre et retenir de ses erreurs. C’est également important pour la cybersécurité, d’autant que les tactiques utilisées pour le phishing évoluent rapidement. Impliquez aussi les jobistes, certains d’entre eux sont vos futurs travailleurs.
Les cybercriminels ont-ils été plus rusés que vous ? Après avoir désinfecté tous vos systèmes et réinstallé tous les backups, votre tâche de nettoyage n’est pas terminée. L’heure est venue de détecter la cause profonde, la faille réelle de votre système, et de rechercher une solution. Sinon, vous serez très vite une nouvelle cible.
Prenez toutes les mesures pour que l’été soit aussi serein que possible pour vos collaborateurs et les étudiants jobistes que vous engagez.
À l’inverse, faites en sorte que la période soit rude pour les cybercriminels !
Contributeur – Hans Claeskens, Channel Sales Director de Sophos Benelux