La pandémie du COVID-19 a eu un effet d’accélérateur sans précédent sur la transformation des modes de travail avec un recours massif au télétravail dans tous les secteurs où cela a été possible. Des centaines de milliers d’employés ont ainsi pu poursuivre leur activité de chez eux, et donc à distance de leur lieu de travail habituel. Cet élan n’aurait évidemment pas été possible sans les outils informatiques qui sont entrés dans notre quotidien. Bien que cette transition vers un mode de travail à distance ait été vécue positivement par la plupart des entreprises, beaucoup de choses restent à construire et de nouveaux chantiers s’ouvrent aujourd’hui.
En effet, le premier pic épidémique étant maintenant passé, les Directions Informatiques s’affairent pour obtenir de leurs directions des budgets afin de renforcer les solutions mises en place entre fin mars et début avril. Notamment pour les entreprises qui n’avaient pas amorcé le virage du télétravail et où des investissements indispensables doivent être réalisés pour muscler leur infrastructure. Des projets de « cloudification » des applications Métier voient leurs calendriers accélérés, des VPN plus performants sont mis en place, et des initiatives pour digitaliser toutes les interactions avec les clients ou les fournisseurs fleurissent, et trouvent écho dans l’actualité récente pour assurer leur financement rapide. Sans oublier évidemment, les problématiques liées à la sécurité du système d’information : les « vannes » ayant bien souvent été ouvertes en catastrophe à la fin du premier trimestre. Le retour à un peu plus de calme s’accompagne d’une « reprise en main » des processus de sécurité élémentaires et de leur bonne application. Cela passe autant par le renforcement contre des cyber-attaques, recentrées depuis plusieurs semaines sur les collaborateurs en télétravail, que par la sécurisation des postes de travail avec la désactivation des ports USB pour les supports amovibles, ou la mise en place de firewall moins permissifs. Ces investissements « quick-win » sont financés sans grande difficulté tant l’impact de la crise est encore grand pour chacun de nous.
Mais il serait très préjudiciable de réaliser ces investissements, aussi nécessaires soient-ils, sans amorcer une réflexion plus profonde, moins court-termiste, mais tout aussi cruciale, celle de la gouvernance des identités et des accès. Le système d’information étant plus ouvert qu’il ne l’avait jamais été auparavant, les accès à certaines applications ont été élargies, des parties du SI ont été ouvertes à un accès distant alors qu’elles n’étaient accessibles que via le réseau interne jusqu’à présent : cela pose autant de problématiques de sécurité qu’il faut savoir aborder avec une approche stratégique, organisée et pragmatique.
Cela peut, par exemple, passer par une revue de comptes et une recertification des droits pour s’assurer de la bonne adéquation entre les accès donnés et les besoins réels Métier.
Des outils existent pour s’assurer périodiquement de la pertinence des accès accordés. Ils donnent la visibilité réelle sur qui peut accéder à quelle application. Bien que parfois moins tangible que les investissements « quick-win », la mise en place d’une gouvernance des identités et des accès peut se révéler un instrument puissant pour assurer la sécurité du SI.
___________________
Par Bertrand Augé, CEO de Kleverware.