Accueil La sécurité après le déconfinement

La sécurité après le déconfinement

Quelle sera la cybersécurité après le confinement ? La question se pose désormais de manière aigüe, car si la part du télétravail devrait être plus importante à l’avenir, les collaborateurs confinés reviennent peu à peu à leur poste avec de nouvelles pratiques dangereuses et des postes de travail potentiellement compromis.

 

Alors que les télétravailleurs ne vont revenir sur leurs lieux de travail que de manière progressive, les entreprises vont devoir remettre à plat leur cybersécurité. Après avoir ouvert portes et fenêtres, l’heure est désormais à la désinfection des postes et à la mise en place de mesures pérennes pour un fonctionnement hybride.

La généralisation du télétravail a très largement bousculé la sécurité des systèmes d’information des entreprises. Les entreprises qui étaient les plus avancées dans leur transition vers le Cloud, notamment avec l’utilisation d’applications SaaS ont certainement été les plus promptes à pouvoir basculer vers le télétravail. Patrick Ragaru, CEO d’Hackuity, éditeur d’une solution de monitoring du niveau d’exposition des entreprises à la menace cyber rappelle : « Le télétravail n’est pas nécessairement un problème en termes de cybersécurité. Il existe depuis des dizaines d’années et nous avons des solutions techniques et organisationnelles pour le sécuriser. Les problèmes ont essentiellement été liés à la précipitation de la mise en place du confinement. »

Une phase de reprise en main de l’IT s’impose

Après cette phase de survie, l’heure est désormais à la reprise en main de ces nouveaux usages. L’expert estime que la première chose à faire est de réaliser un diagnostic complet du système d’information afin de passer en revue tous les accès ouverts, mais aussi nettoyer les postes utilisateurs qui ne passeront plus par le VPN mais qui vont être amenés à être connectés au système d’information de l’intérieur lorsque les collaborateurs seront de retour. « Les entreprises les plus matures ont des processus de recensement, de gestion des exceptions. Elles pourront savoir quels ports ont été ouverts, quels services ont été mis en place de manière exceptionnelle et refermer les ports qui ont été ouverts pendant la crise. D’autres ont pris des mesures de manière non contrôlée et acheté en catastrophe autant de PC portables que possible à l’hypermarché du coin pour les distribuer à leurs collaborateurs le week-end avant le confinement. » Si les télétravailleurs ont utilisé ces machines pour se connecter au système d’information de leur entreprise, rien ne garantit au RSSI que la même machine n’a pas aussi été utilisée pour télécharger des films, installer des jeux pour les enfants le reste du temps. Les DSI doivent maintenant gérer le retour de milliers d’ordinateurs qui ont pu être exposés à des malwares.

Les entreprises présentent une surface d’attaque notoirement plus élevée

Camille Charaudeau

Pour Camille Charaudeau, vice-président en charge de la stratégie produit de CybelAngel, éditeur d’un service de détection de fuites de données, il ne faut pas espérer un retour immédiat à la normale. « Le télétravail va perdurer, ce qui implique du point de vue de la cybersécurité que la surface ne reviendra pas à son niveau initial. » CybelAngel a pu mesurer cette augmentation de la surface d’attaque sur ses outils internes, constatant un doublement des attaques de phishing toutes les 4 semaines environ sur les 2 mois de confinement. De plus, le nombre de ports RDP ouverts sur Internet s’est accru de 25 % sur la période. De même, alors que beaucoup d’entreprises stockent de plus en plus de données dans le Cloud, le nombre de ransomwares visant Elastic Search a été multiplié par 8 pendant la crise de Covid-19. « Dans un tel contexte, la vigilance devra être accrue, d’autant que de plus en plus de données confidentielles doivent être partagées en interne, mais aussi avec tout l’écosystème de l’entreprise, sa supply chain, etc. » ajoute Camille Charaudeau. Ces données ont été partagées via de nouveaux outils dont beaucoup sont apparus en “shadow IT” : gestion de projet, collaboration, etc. La DSI va devoir faire campagne auprès des collaborateurs pour que ceux-ci mettent en œuvre les outils corporate de l’entreprise, ou devra faire perdurer les outils choisis par les utilisateurs, mais en les intégrant à la stratégie IT et les sécuriser dans la mesure du possible.

Vers une explosion des fuites de données dans les prochains mois ?

Si plusieurs groupes hospitaliers ont eu à déplorer des attaques lors de la crise sanitaire du Covid-19, le pire pourrait bien être à venir. En effet, pour prendre l’exemple de la fuite de données qui a frappé EasyJet, révélée à la fin du mois de mai 2020, celle-ci avait commencé 7 mois auparavant, en octobre 2019. L’équipe de sécurité n’a identifié le problème qu’au mois de janvier 2020 et aurait mis plus de 2 mois à colmater les brèches. De facto, des pirates qui ont profité de la crise sanitaire et du relâchement des mesures de sécurité ne pourraient se manifester que dans quelques mois, lorsque ceux-ci vont vouloir rapatrier les données collectées. « Ces attaques porteront leurs fruits d’ici 4 à 6 mois car il y a beaucoup d’APT dans lesquelles l’attaquant reste silencieux quelques mois pour pénétrer les systèmes, trouver ce qui l’intéresse et se manifester seulement à partir de ce moment-là » estime Camille Charaudeau. Il ajoute : « Le concept de Zero Trust doit être remis au centre du jeu. On en parle depuis quelques années, mais il n’a jamais été véritablement mis en pratique. »

Dans cette nouvelle approche, la notion de collaborateurs dans l’entreprise ou en télétravail est parfaitement gérée “by design” par l’architecture de sécurité et une mesure de confinement telle que le monde vient de connaître aura un impact beaucoup moins fort sur l’IT des entreprises. Jean-Nicolas Piotrowski, PDG d’ITrust conclut : « Tout ce qui ira dans le sens d’une défense en profondeur sera positif pour détecter les nouvelles attaques. » La crise du Covid-19 aura peut-être une vertu, celle d’accélérer la transformation du modèle de sécurité des entreprises et une modernisation de leurs moyens de protection cyber.

 


AVIS D’EXPERT

Gérome Billois

 

Gérôme Billois,
Partner Cybersécurié et confiance numérique chez Wavestone

 

« Le modèle Zero Trust s’applique parfaitement à la situation actuelle »

 

« Pour les entreprises ayant déjà franchi le pas vers le Cloud, la gestion du confinement a été simplifiée. D’autres font du télétravail à l’ancienne. Avec un SI monolithique, le télétravail rime alors avec VPN. Ces entreprises ont connu plus de difficultés pendant les premiers jours, les premières semaines. Enfin, les réfractaires qui ne souhaitaient pas aller vers le télétravail et pour elles, la période a été terrible d’un point de vue sécurité, avec des ouvertures de flux non préparées et des crises cyber à la clé.

Le mouvement vers la digitalisation du travail est très fort et ne va certainement pas s’arrêter. En cybersécurité, nous avons la capacité d’avoir les outils pour gérer ce type de situation et le modèle Zero Trust est une décentralisation complète de la sécurité, une vérification en continu de ce qui se passe dans le système d’information et s’applique parfaitement à la situation que nous vivons actuellement. Nous allons connaître maintenant une accélération de cette digitalisation. »