En 2021, l’utilisation exponentielle d’appareils connectés, d’applications et de services web dans notre vie professionnelle et privée augmentera la surface d’attaque de la maison connectée au point de soulever de nouveaux risques majeurs pour les individus et leurs employeurs. Parmi ces risques des fuites d’informations qui rentrent dans le périmètre du RGDP, le Règlement Général de la Protection des Données.
Le RGPD, on en a énormément entendu parlé depuis mai 2018. Alors qu’auparavant, les entreprises regardaient ailleurs, il aura fallu suivre les règles imposées par l’Europe pour protéger les internautes, les clients, les employés, les élèves, les patients … bref toutes les informations que les individus ont pu laisser dans les mains d’entreprises privées et publiques. Les RGPD formations se retrouvent par dizaines. Seulement, les confinements imposés par la lutte contre la pandémie de COVID-19 ont rajouté une couche d’insécurité pour les données avec le télétravail. Rajoutant des cheveux gris sur bon nombre de têtes des DPO RGPD.
La menace qui pèse sur les foyers connectés ne date pas d’hier. Cependant, l’émergence de fonctionnalités accrues dans les appareils domestiques et professionnels, et le fait que ces appareils s’interconnectent plus que jamais, représente une nouveauté et les données personnelles et professionnelles sont en ligne de mire. À cela s’ajoute la croissance historique du recours au télétravail, entrainant un usage de ces appareils plus important que jamais. Suivre une formation RGPD pourrait être proposée aux salariés découvrant le télétravail.
Objectif des pirates Versus objectif RGPD
L’année 2020 a vu la pandémie faire passer les employés du bureau à la maison, transformant ainsi l’environnement domestique en un environnement de travail. Depuis le début de la crise Covid-19, la surveillance des appareils de la plateforme McAfee a montré, par exemple, une augmentation de 22 % du nombre de dispositifs domestiques connectés dans le monde. Plus de 70 % du trafic de ces appareils provenait de smartphones, d’ordinateurs portables ou fixes, et de télévisions, et plus de 29 % provenait d’appareils IoT tels que les dispositifs de streaming, les consoles de jeu, les vêtements et accessoires connectés, ainsi que les lampes intelligentes. Autant de nid à données.
Les cybercriminels se sont concentrés davantage sur la surface d’attaque à domicile avec une montée en flèche des messages de phishing sur les canaux de communication. Le nombre de liens de hameçonnages bloqués par l’éditeur a augmenté de plus de 21 % de mars à novembre 2020, avec une moyenne de plus de 400 liens par foyer. Cette augmentation est significative comme a pu le prouver le blog cybersécurité ZATAZ.COM et suggère qu’un flux de messages de phishing contenant des liens malveillants est entré dans les réseaux domestiques par les appareils aux mesures de sécurité les plus faibles.
Des millions d’employés sont individuellement devenus responsables de la sécurité informatique de leur employeur, évoluant dans un bureau à domicile équipés de dispositifs non protégés, de la cuisine au salon, en passant par la chambre à coucher. Nombre de ces appareils domestiques sont « orphelins » : leurs fabricants ne les prennent pas en charge correctement avec des mises à jour de sécurité pour faire face aux nouvelles menaces ou vulnérabilités. Cela contraste avec un environnement professionnel où les dispositifs sont renforcés par des mesures de sécurité à l’échelle de l’entreprise. Les collaborateurs travaillent désormais avec des équipements de qualité grand public qu’ils configurent eux-mêmes. Ils ne disposent pas de la gestion centrale, des mises à jour régulières des logiciels et du contrôle de sécurité de l’entreprise.
« C’est pourquoi nous pensons que les cybercriminels feront de la maison une surface d’attaque pour des campagnes visant non seulement les utilisateurs mais aussi les entreprises, souligne Fabien Rech, Vice-Président Europe du Sud, Benelux et Israël chez McAfee. Les pirates profiteront de l’absence de mises à jour régulières des logiciels, du manque de dispositifs de sécurité, de la faiblesse des politiques de protection de la vie privée, des exploits de vulnérabilités et de la vulnérabilité des utilisateurs à l’ingénierie sociale« .
En compromettant l’environnement domestique, ces acteurs malveillants lanceront une série d’attaques sur les appareils des entreprises et des consommateurs en 2021.