Sécurité : ce que la crise sanitaire va changer

La crise sanitaire a fortement mobilisé les équipes des DSI, dont la fonction support est essentielle pour la continuité d’activité, se sont fortement mobilisées durant la crise sanitaire. Le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) tire les premiers enseignements de la crise pour le futur de la cybersécurité.

La crise sanitaire a bouleversé durablement l’organisation des entreprises et mis en évidence certains liens de causalité, comme les schémas de dépendance industrielle qui pouvaient mettre à mal la capacité de résilience. Le rôle majeur d’Internet n’a jamais été mentionné car il semble aller de soi, dans l’esprit de tous, que ces moyens soient disponibles tout le temps, pour tous et depuis n’importe où. Cependant, il a bien fallu adapter quelque peu les outils et usages numériques.

Du jour au lendemain, des millions de personnes se sont retrouvées confinées en télétravail, or, malgré les ordonnances Macron de septembre 2017 en faveur du télétravail, seul un quart des salariés français y avaient recours, et la plupart du temps de façon occasionnelle. Seuls 6 % des salariés le pratiquaient de manière régulière et contractuelle avant la crise. Il a donc fallu faire en sorte que ces millions de télétravailleurs puissent poursuivre leur activité à distance, avec des conditions de sécurité acceptables.

Pour les entreprises qui ont la culture du télétravail et où la transformation numérique permet déjà d’utiliser de nombreux services dans le cloud, la crise est un accélérateur de transformation avec une adoption encore plus large des outils collaboratifs dans le cloud, notamment pour partager des fichiers ou se réunir en visio-conférence. Dans ces organisations, la période de confinement a pu aussi ouvrir un usage étendu de la signature électronique ou le développement accéléré de nouveaux sites de e-commerce.

Concernant les entreprises encore au milieu du gué dans leur projet de transition numérique, et pour lesquelles le télétravail n’est pas culturel, l’épreuve est beaucoup plus rude. Achat de PC portables en catastrophe, transport de PC fixes au domicile ou encore utilisation de PC privés à des fins professionnelles, toutes les possibilités ont été explorées et gérées dans l’urgence. On a vu fleurir des usages de services cloud plus ou moins encadrés, voire en shadow IT.

Le niveau d’exposition aux risques cyber des entreprises a fortement augmenté pendant la crise. Evidemment, en pareilles circonstances, les pirates n’ont pas manqué de se déchaîner, avec des vecteurs d’attaques adaptés à la crise. Or, sur un poste de travail ou un espace en ligne mal protégé, une attaque de phishing peut avoir des impacts encore plus importants. Selon une étude d’Ivanti, les deux tiers des professionnels de l’IT français ont signalé une augmentation des problèmes liés à la sécurité dans cet environnement distant élargi, notamment dans trois domaines : les emails malveillants (58 % des entreprises), les comportements à risque et non conformes des salariés (45 %) et une augmentation des vulnérabilités logicielles (31 %).

Pour le Cesin, du point de vue de la sécurité, « le curseur a indéniablement bougé et de façon pérenne. » L’association identifie six tendances :

  1. Le PC fixe est mort
    Les entreprises équipées massivement de matériels mobiles ont été particulièrement agiles en s’adaptant au confinement quasiment du jour au lendemain. La différence de prix entre un PC fixe et un portable ne devrait plus être un obstacle à l’équipement des salariés devenus tous potentiellement mobiles. En complément, même si certains salariés ont réclamé des imprimantes pour leur domicile ou utilisé une imprimante personnelle, les parcs d’imprimantes et copieurs multifonctions devraient aussi diminuer, puisque la preuve est faite que l’on peut vivre sans.
  2. Le VPN traditionnel va disparaître
    De nombreux services étant disponibles dans le cloud, les salariés se sont naturellement connectés directement à ces services depuis l’accès Internet de leur domicile, plutôt que passer par le VPN, pour se connecter au réseau de l’entreprise, pour ressortir sur Internet afin d’utiliser ces services. Tant qu’il y aura du legacy, le VPN traditionnel va subsister, mais le sens de l’histoire est bien une connexion directe vers le cloud, ce qui ne dispense pas de passer par des proxies et diverses couches de sécurité, elles-mêmes dans le cloud.
  3. Le MFA (Multi Factor Authentication, ou authentification multi-facteurs) n’est plus une option
    Si on autorise les utilisateurs en mobilité à se connecter directement à des services cloud, sans passer par le réseau de l’entreprise, il va falloir généraliser l’utilisation de l’authentification forte pour tous ces services et non simplement pour se connecter au VPN. Le concept de MFA va sans doute enfin se généraliser pour réduire les risques d’usurpation d’identité, inévitables lorsqu’on laisse les utilisateurs se connecter à des services cloud avec de simples mots de passe. Le principe du zero trust est, plus que jamais, d’actualité.
  4. La mise à jour des postes devra être repensée
    Pendant la crise, un des principaux challenges a été de garder les PC d’entreprise à un niveau de sécurisation optimum. Les mises à jour de sécurité étaient souvent une gageure pour beaucoup avant la crise, que ce soit au niveau du patching des systèmes d’exploitation ou des mises à jour de sécurité. Comment, alors, garantir une mise à jour des postes lorsqu’ils sont tous à l’extérieur de l’entreprise et non connectés de manière permanente au réseau de l’entreprise ? Outre cette question de « joignabilité » des postes, les VPN ne vont pas transporter de gros volumes de mises à jour et l’évolution devrait, là encore, passer par davantage de mises à jour en direct.
  5. Adieu aux répertoires bureautiques !
    La crise a sans doute sonné le glas des serveurs de fichiers centraux traditionnels. Les outils collaboratifs, et en particulier les outils de partage de fichiers en ligne, se sont considérablement déployés pendant la crise. Cela a eu pour conséquence de donner beaucoup plus d’autonomie aux utilisateurs, mais sans pour autant les responsabiliser. En effet, dans le modèle précédent, c’était l’équipe informatique qui paramétrait les accès en central, alors que dans le modèle cloud on délègue aux utilisateurs le soin d’organiser les espaces partagés et d’en sécuriser les accès. Mais, autant il est simple de partager, autant il est difficile de maîtriser les subtilités des accès à ces partages. Et surtout, il est difficile d’en avoir une vision globale consolidée. Il est donc très facile de commettre des erreurs. Confier ces outils de partage sans donner aux utilisateurs une quelconque visibilité sur ce qu’ils partagent est une très grosse prise de risques en matière de protection des données ! Les entreprises vont devoir se doter d’outils de supervision, ainsi que d’outils complémentaires de recherche de fuites d’information sur le Web pour les cas où la prévention n’aurait pas suffi.
  6. Le SOC (Security Operations Center) est incontournable
    On a pu l’observer avant la crise, beaucoup d’entreprises très impactées par des cyberattaques n’avaient pas de SOC, ou ceux-ci étaient à l’état embryonnaire. Dorénavant, avec des données éparpillées dans de multiples clouds et des utilisateurs également dispersés, la surface d’exposition aux risques d’attaque devient énorme. Et il ne faudra pas compter uniquement sur la vigilance de l’utilisateur. Si le clic de trop déclenche une crise, c’est que l’environnement était vulnérable ! Qu’il soit interne, externalisé ou mixte peu importe, le SOC est désormais une pièce maîtresse d’un dispositif de cybersécurité ! Cette tendance était déjà là avant la crise et elle devrait progresser rapidement. La capacité de surveillance, de détection et de réponse aux incidents était devenue essentielle en complément des mesures préventives. La crise a accéléré les usages du cloud. Il faut s’appuyer sur un SOC pour surveiller avec vigilance et réactivité ce que les nouveaux accès et les nouvelles délégations dans le cloud permettent, pour toutes les populations, les administrateurs, les architectes, les développeurs et de façon générale, tous les utilisateurs.

Ces exemples sont des conséquences techniques ou organisationnelles immédiates de la crise sanitaire sur la cybersécurité. Pour Alain Bouillé, délégué général du Cesin, « il est nécessaire de se réinterroger sur nos priorités, sur ce que la crise nous apprend en tant que telle, ce qu’elle transforme, les nouveaux risques apparus et ceux qui vont se réduire naturellement. Il est important de reconsidérer sa roadmap cyber pour s’assurer de bien prendre en compte les transformations résultant de la crise, mais aussi pour veiller à aligner cette roadmap avec les changements stratégiques que l’entreprise va entreprendre dans les mois à venir. »

Pour le Cesin, « nos entreprises, qui sont fortement impactées au plan économique, doivent veiller à ne pas subir de crises cyber dans la foulée. En considérant le niveau très élevé de la menace et les fragilités qui apparaissent dans les périodes de transition, il serait dangereux d’entamer les budgets en matière de cybersécurité, qui sont plus que jamais nécessaires pour protéger l’activité métier. »