Nous vivons une crise sanitaire sans précédent et le recours rapide au télétravail massif a permis aux cybercriminels de s’infiltrer dans les failles dû au relâchement des politiques de sécurité.

Aujourd’hui l’heure est à la reprise, cependant il y a un avant et un après confinement. Nous devons tirer les enseignements de cette crise sanitaire. Y aura-t-il de nouvelles problématiques ou simplement une évolution des tendances ?

Voici les premières conclusions de SERMA :

Les postes fixes ne devront plus exister.

Les salariés ne disposant pas de PC portable ont dû utiliser leur poste personnel et parfois, dans la majorité des cas, ils ne disposent pas des mêmes mesures de protection que dans leur entreprise (les PC personnels sont utilisés parfois pour le piratage de films ou séries, un comportement à risque). Un changement d’organisation qui n’a pas été sans risque pour la cybersécurité des entreprises. Les pirates informatiques ont continué de se focaliser sur les données personnelles et bancaires. En cette période de télétravail massif, il a pu être facile pour eux d’infiltrer l’entreprise.

Le VPN classique est obsolète

Pour pallier le mauvais usage des salariés de leur PC, ceux-ci peuvent recourir à un VPN « Virtual Private Network ». Cette technologie permet de relier deux systèmes informatiques à distance via un « tunnel » virtuel. Cela permet aux salariés de maintenir leur connexion sécurisée. Cependant l’accès au VPN n’est pas sans risque car si l’ordinateur personnel est piraté, le cybercriminel pourra voir toute son activité professionnelle mais n’aura pas accès directement à la base de données. D’autre part, de nombreux services étant disponibles dans le cloud, les salariés se sont naturellement connectés directement à ces services, depuis l’accès Internet de leur maison au détriment d’un accès VPN passant par leur réseau d’entreprise sécurisé.

L’authentification forte

Si l’utilisation de services dans le cloud devient la norme l’authentification forte est indispensable. Il est plus qu’important de savoir comment les employés se connectent au système informatique de l’entreprise pour s’assurer qu’il ne s’agit pas d’intrus. Les bonnes pratiques sont d’instituer une authentification à deux facteurs, comme pour les paiements en ligne et de demander aux employés de renouveler leurs mots de passe et d’en augmenter la complexité. Sans oublier d’utiliser des mots de passe différents pour la sphère privée et professionnelle.

La sécurité des équipements nomades devra être repensé

Le recours massif au télétravail pendant la crise à demander aux équipes de sécurité de redoubler de vigilance. Les mises à jour que ce soit au niveau du patching des OS ou au niveau sécurité étaient au préalable effectué dans le réseau de l’entreprise. Comment alors garantir une mise à jour des postes lorsqu’ils sont tous à l’extérieur de l’entreprise et non connectés de manière permanente au réseau de l’entreprise ? Outre cette question de « joignabilité » des postes, les VPN ne vont pas transporter de gros volumes de mises à jour et l’évolution devrait là encore passer par davantage de mises à jour en direct.

La gestion des outils collaboratifs doit changer

Les outils collaboratifs, et en particulier les outils de partage de fichiers en ligne, ont été considérablement déployés pendant la crise. Les équipes de sécurité ont ouvert de manière massive les réseaux d’entreprises afin que les salariés puissent continuer leur activité cependant ils n’ont pas veillé à vérifier les accès et droit. Cela a eu pour conséquence de donner beaucoup plus d’autonomie aux utilisateurs, mais sans pour autant les responsabiliser. Confier ces outils de partage sans donner aux utilisateurs une quelconque visibilité sur ce qu’ils partagent est une très grosse prise de risques en matière de protection des données. Les entreprises vont devoir se doter d’outils de supervision ainsi que des outils complémentaires de recherche de fuites d’information pour les cas où la prévention n’aurait pas suffi.

Le SOC est aujourd’hui incontournable

Nous avons pu l’observer avant la crise, beaucoup d’entreprises très impactées par des cyberattaques n’avaient pas de SOC ou ceux-ci étaient à l’état embryonnaire. Dorénavant avec des données éparpillées, et des utilisateurs également dispersés, la surface d’exposition aux risques d’attaque devient énorme. Il ne faudra pas compter uniquement sur la vigilance de l’utilisateur. Si le clic de trop déclenche une crise, c’est que l’environnement était vulnérable.

Qu’il soit internalisé ou externe, peu importe, le SOC est désormais une pièce maîtresse d’un dispositif de cybersécurité. Cette tendance était déjà là, avant la crise, et elle devrait progresser rapidement. La capacité de surveillance, de détection et de réponse aux incidents est devenue essentielle en complément des mesures préventives. Il faut s’appuyer sur un SOC pour réagir rapidement. C’est ce que les nouveaux accès et les nouvelles délégations dans le cloud permettent de faire pour toutes les populations quel que soit l’utilisateur.

Avant de repenser tout ou une partie de votre sécurité. Voici quelques mesures sur lesquelles nous sommes en mesure de vous accompagner :

1  | Contrôler et formaliser la sécurité de vos accès distants et outils collaboratifs pour renforcer la sensibilisation de vos collaborateurs

2  | Maîtriser l’éparpillement des données pendant le confinement (BYOD, Clouds GAFA, Shadow IT etc.)

3  | Établir un inventaire des accès dérogatoires mis en place en urgence et contrôler leur nécessité et évaluer leur sécurité

4  | Analyser et désinfecter les appareils nomades avant de les reconnecter au réseau de l’entreprise

5  | Elaborer, mettre en oeuvre, évaluer, moderniser, et tester vos sauvegardes et PCA/PRA (organisationnel et technique)

6   | Faire le bilan des incidents de sécurité enregistrés pendant le confinement

7   | Contrôler la sécurité de vos applications critiques et des composants qui les portent en prenant en compte les nouvelles menaces dues à l’accroissement du travail à distance

8   | Investiguer vos réseaux et applicatifs à la recherche de compromissions silencieuses

9   | Cartographier, prioriser et agir sur les correctifs/mises à jour de sécurité à faire

10 | Revoir vos politiques et procédures pour la SSI du « monde d’après » incluant plus de télétravail et de digitalisation