Circulation fluide sur les autoroutes habituellement engorgées, métros presque vides en heures de pointe et villes désertes : les travailleurs, dont ceux de l’industrie de l’assurance, ont répondu à l’appel des gouvernements leur demandant de troquer le travail au bureau pour le télétravail, une mesure d’isolation préventive pour ralentir la propagation de la COVID-19.

Cependant, « le travail à distance à l'échelle que nous connaissons accroît les cyberrisques comme jamais auparavant » a soulevé, plus tôt cette semaine, la branche nord-américaine de l’assureur international Zurich.

Le contexte pandémique bouleverse les habitudes de travail. Déjà, les pirates informatiques sont en train de s’adapter à ce phénomène, a dit Jean-Philippe Racine, président de Groupe CyberSwat, lors d’un webinaire organisé pour sensibiliser les télétravailleurs aux cyberrisques.

Une menace nommée hameçonnage

« Des sites malveillants incitent les gens à installer des logiciels, par exemple pour suivre l’évolution en temps réel de la propagation de l’infection à la COVID-19. Ces faux sites peuvent notamment installer un virus qui permet la récupération des mots de passe, donc si vous utilisez au même moment votre poste de travail du bureau, le virus peut voler tous les mots de passe de votre employeur », a-t-il ajouté.

Le spécialiste en cybersécurité dit avoir eu connaissance de quelques rançongiciels en lien avec la COVID-19. Un type d’attaque qui prend les données en otage et demande une compensation financière pour en redonner l’accès.

À ce propos, Google confirme une hausse des sites d’hameçonnage, depuis l’éclosion de la pandémie du coronavirus. Dans la semaine du 5 janvier 2020, le géant du web dénombrait près de 40 000 nouveaux sites d’hameçonnage sur son réseau. Quelques semaines plus tard, alors que le monde est tenu en haleine par la COVID-19, Google comptait 188 831 nouveaux sites le 23 février, et 178 608 le 8 mars. « Ces sites d’hameçonnage sont, probablement, voués à tromper les gens dans le contexte de la COVID-19 », croit M. Racine.

Dans une perspective globale, le Canada dénombre environ 1 % de logiciels malveillants sur les 3 910 sites analysés par Google. C’est plus que les États-Unis qui en ont moins d’un pourcent sur les 579 893 sites analysés. Alors qu’en Chine, le pourcentage de sites comprenant un logiciel malveillant est de 3 % sur 15 478 sites analysés.

Pour M. Racine, cette donnée n’est pas à prendre à la légère, car « il faut absolument éviter le faux sentiment de sécurité des entreprises, a-t-il dit. Ce faux sentiment ouvre grand la porte aux malfaiteurs puisque l’entreprise baisse sa garde. »

Le risque d’hameçonnage est cependant tout aussi présent sur les téléphones cellulaires, via la messagerie texte, par exemple. Le président de Cyberswat appelle donc à la vigilance des gens, puisque dans les prochaines semaines, « il pourrait y avoir de faux textos et de faux courriels en lien avec les programmes d’aide du gouvernement qui sont annoncés en ce moment », prévient-il.

Former ses employés aux risques

Les employés aussi peuvent être responsables d’une fuite de données. Ce fut le cas pour Desjardins, l’été passé. « C’est pourquoi il est important que l’employeur communique à l’employé, dans le contexte de télétravail, ce qu’il est permis de faire et ce qui ne sera pas permis, bien entendu, selon la sensibilité des renseignements. C’est que l’impact peut être grand pour une entreprise qui ne gère pas adéquatement sa cybersécurité, quitte à restreindre l’accès de certaines données en contexte de télétravail », dit M. Racine.

« Il faut bien entendu penser au volet santé et sécurité, mais il ne faut pas négliger l’aspect cybersécurité », poursuit-il.

« En tant qu'employé, assurez-vous de vous conformer aux normes de sécurité de votre entreprise », dit Nikki Ingram, consultant senior en cybersécurité pour la branche nord-américaine de Zurich.

Des mesures à prendre pour gérer le télétravail

« Il est absolument essentiel que les employeurs exigent que les employés utilisent des ordinateurs configurés par les techniciens informatiques de l’entreprise. S'il le faut, les employeurs peuvent acheter des ordinateurs portables réusinés, qui coûtent moins cher, mais qui permettront d'avoir un logiciel de réseau privé virtuel (RPV) et un accès bureau à distance fermé au réseau local », a précisé Louis-Martin Landry, consultant TI pour BioITpm, au Portail de l’assurance.

Parmi les autres mesures suggérées par le consultant, figure notamment l’installation d’antivirus récent sur tous les postes de travail, y compris ceux qui sont achetés pendant la crise de la COVID-19.

Il recommande également l’installation d’une application sur le téléphone intelligent des employés pour qu’ils répondent via leur extension téléphonique du bureau et que leur numéro personnel soit brouillé s’ils passent des appels.

Il est également nécessaire que l’employé distancie son réseau personnel et son réseau professionnel, disent les experts. « Assurez-vous d'avoir un mot de passe complexe sur votre réseau Wi-Fi domestique qui n’a pas de lien avec le mot de passe de votre ordinateur professionnel », ajoute M. Ingram.

Connectez-vous aux réseaux d'entreprise à l'aide d'un moyen sécurisé (par exemple, un réseau privé virtuel) et stockez les données sur les lecteurs réseau cryptés disponibles pour éviter toute perte en cas de virus informatique ou autre dysfonctionnement, suggère Zurich.

À LIRE SUR LE SUJET :