La généralisation du télétravail liée à la pandémie de Covid-19 pousse de nombreuses organisations à s’interroger sur la manière dont les collaborateurs accèdent au système d’information (SI) de l’entreprise. En effet, le chamboulement actuel remet en question un modèle de sécurité historiquement très périmétrique qui permettait de voir et contrôler extrêmement bien ce qui se passait au sein des murs de l’entreprise. Sans personne au bureau, il faut réadapter les accès et les contrôles des collaborateurs afin qu’ils puissent tous travailler dans de bonnes conditions et que l’impact opérationnel soit le plus faible possible.
Ce changement de politique de sécurité va s’exprimer, entre autres, sur trois sujets majeurs : les accès à distance au SI de l’entreprise ; le contrôle et la surveillance des accès malveillants ; la sécurisation des données sensibles.
Gérer les accès tout en soutenant la continuité de service
Dans la gestion des accès à distance ou au sein d’un SI, malgré les changements, les questions fondamentales restent les mêmes : qui a le droit de faire quoi ? Qui a accès à quoi ? Fait-on confiance à tel collaborateur ? Comment fournir les accès ? Comment contrôler ?
Se posent ici les questions de gestion des identités, d’authentification forte (tels que les SMS à usage unique, carte à puce, clé cryptographique, ou biométrie, comme facteurs d’authentification complémentaire au mot de passe), des utilisateurs et du CASB (contrôle d’accès aux services « cloud »), afin de donner accès aux employés aux applications d’entreprise à distance.
Ces différents systèmes permettent aujourd’hui aux entreprises de réfléchir différemment à la sécurisation et à l’accès à leur réseau, aux services et aux applications, tout en maintenant un périmètre de confiance permettant de s’assurer que le collaborateur X est bien le collaborateur X.
La tendance du moment est d’avoir un contrôle continu sur l’identité d’un utilisateur et de la revérifier régulièrement selon le risque perçu dans son activité informatique.
Ce concept est vulgarisé actuellement par les acteurs du marché sous l’étiquette « Zero-Trust ».
La mise en place d’une barrière de contrôle
La sécurité informatique est comme la sécurité physique. S’il est bon d’avoir une super serrure pour fermer la porte de chez soi et de savoir à qui on a donné les clés, il faut anticiper le fait qu’un intrus puisse chercher à la forcer, ou voler ces clés. Pendant le confinement, on a observé le surcroit d’activité des cybercriminels ainsi que de certains groupes mafieux qui ont réorienté leurs investissements vers des activités de piratage informatique. Au moment où la vague de Covid-19 immergeait la région parisienne, l’AP-HP a connu une cyberattaque. Les équipes ont su résister et ont réalisé un travail admirable pour permettre aux soignants de continuer à sauver des vies, mais concrètement, des personnes malveillantes ont tenté d’installer des rançongiciels sur les machines des hôpitaux de Paris. Avec des vies en jeu, ce type d’attaque pouvait en effet s’avérer particulièrement lucratif pour les cybercriminels.
S’il est bon d’avoir une serrure dernier cri, il est également important de prévoir un système de surveillance efficace. On observe cette tendance au sein de nombreuses organisations. On constate aujourd’hui une course à la compétence humaine pour les SOC (Security Operations Center – véritables tours de contrôles de sécurité), mais aussi sur des technologies de détection et de remédiation rapide, toujours plus fines. La solution rapide et efficace est souvent d’externaliser certaines fonctions de SOC vers des acteurs qui connaissent les processus de mise en place et qui ont de l’expertise d’exploitation.
Préserver la confidentialité des données et l’accès à l’information essentielle
Même avec le Zero-Trust, le télétravail a ouvert le périmètre historique de l’entreprise et a fait de tout collaborateur un collaborateur en mobilité. Dans ce cadre, il est nécessaire que même les fichiers accessibles normalement exclusivement depuis l’intérieur de l’entreprise, le soient depuis l’extérieur. En effet, si les collaborateurs ne peuvent plus travailler, l’organisation s’effondre. Dès lors, le contrôle de la confidentialité devient une priorité.
Dans cette optique, et d’autant plus avec la présence de réglementations telles que le RGPD, on constate que les projets de chiffrement de l’information, permettant de travailler avec des données anonymisées, pseudonymisées, protégées, génèrent de l’intérêt. Les entreprises repensent leur manière d’interagir avec leur valeur fondamentale, à savoir leur propriété intellectuelle, leur historique, leurs données.
Plus forts unis contre les cybercriminels
Si l’on connaissait toutes les manières de crocheter une serrure, on développerait des serrures incrochetables. Hélas, la créativité est aujourd’hui du côté de l’attaquant et la réactivité du côté du défenseur. Cela demande à ce dernier de savoir réagir rapidement, de proposer de nouvelles solutions sachant détecter les intrusions plus rapidement, car l’activité cybercriminelle évolue constamment.
Dans ce contexte, le métier de la surveillance commence à prendre une tournure de plus en plus collaborative : on assiste à l’arrivée de groupes de travails interprofessionnels qui favorisent l’échange d’informations sur les types de menaces du moment. On voit aussi le développement de la « Threat intelligence » : des flux d’informations sur les menaces actuelles qui sont mis à disposition par des équipes d’analystes spécialisées. Ces flux s’intègrent directement dans les solutions de surveillance des organisations. Les équipes SOC peuvent donc intégrer ces informations à leurs nouvelles règles de détection pour être plus réactifs et pouvoir retrouver des preuves d’attaque dans leurs systèmes.
A l’heure de la pandémie on parle beaucoup des cybercriminels confinés et qui doivent réorienter leurs sources de revenus vers le télétravail. Cela se traduit concrètement par une sérieuse recrudescence d’attaques de rançongiciel. Mais il ne faut pas oublier les enjeux géopolitiques et sanitaires, avec les attaques de laboratoires pharmaceutiques et d’instituts de recherche à des fins de vol d’informations que nous avons également pu constater également.
___________________
Par Louis Vieille-Cessay, Pre-Sales Manager, Security, Risk & Governance Solutions – France, BeLux – Micro Focus