Au plus fort de la crise sanitaire, les entreprises ont dû concentrer leurs efforts sur la continuité de leurs activités, quitte à prendre quelques libertés en matière de cybersécurité. Comment alors rester agile dans la tempête sans mettre en jeu la sécurité numérique ? Comment prévenir les risques de cybermalveillance pour les organisations ? Et surtout comment envisager la suite ? Éléments de réponse.
Des répercussions de la crise sanitaire dans l’espace cyber
La crise sanitaire a précipité des millions de collaborateurs vers le télétravail, avec une explosion des demandes d’accès à distance et de VPN. « Avec la crise, tout le monde a été projeté en télétravail du jour au lendemain, avec des infrastructures qui ne tenaient pas en termes de performances », explique Alain Dupont, Directeur du Service Clientèle Stormshield. « Nous avons connu 30% d’activité supplémentaire sur les 15 derniers jours de mars, notamment des demandes de la part des administrateurs réseaux et systèmes qui ont dû configurer des accès distants, du jour au lendemain », estime quant à lui Farid Ichalalène, responsable du Support Technique Stormshield.
Mais face à l’urgence, les RSSI ont aussi dû se résoudre à faire des compromis avec la sécurité, quitte à l’altérer. Ils ont ainsi ouvert plus d’accès, mis en place des remote desktops, et ce, sans pouvoir appliquer toutes les procédures de sécurité informatique habituelles et sans qu’aucune étude préliminaire d’analyse de risque n’ait été menée. Une baisse de la vigilance et un flou numérique profitables aux cybercriminels pour infiltrer les réseaux et récupérer des données sensibles.
Parmi les structures les plus concernées : celles qui n’avaient jamais, ou peu, eu recours au télétravail et n’étaient donc pas au fait des procédures organisationnelles liées à la protection des SI dans un tel contexte. Gouvernements, ministères, mairies, associations, instituts de santé, collectivités, et autres acteurs publics sensibles ont ainsi vu leurs systèmes informatiques mis à rude épreuve pendant cette crise sanitaire. Et leur fragilité numérique exposée au grand jour. Les exemples sont internationaux, citons simplement ici l’Allemagne, où l’état fédéral de la Rhénanie-du-Nord-Westphalie a subi une attaque par hameçonnage (phishing) et a perdu plusieurs dizaines de millions d’euros, et les États-Unis, où des pirates ont ciblé activement les organismes impliqués dans la recherche contre le Covid-19, comme l’affirment le FBI et la CISA. En France, il semble que ce soient les PME qui aient été le plus touchées – généralement à grand coup de rançongiciel (ransomware). Partout ailleurs, l’épidémie du Covid-19 a révélé les faiblesses des réseaux informatiques et opérationnels des entreprises et collectivités, de leurs applications dédiées, ainsi que des terminaux des collaborateurs.
Nous avions effectivement dans les tiroirs un plan pandémie qui dormait depuis plusieurs années… mais rien ne nous avait préparé à cela
« À ce jour, grâce à la mise en place des procédures PRA-PCA (Plan de Reprise d’Activité / Plan de Continuité d’Activité), nous sommes capables de maintenir la disponibilité des systèmes d'information en cas de catastrophes naturelles ou d’un incendie d’un datacenter par exemple. Et nous avions effectivement dans les tiroirs un plan pandémie qui dormait depuis plusieurs années… mais rien ne nous avait préparé à cela », explique le RSSI d’un grand groupe industriel.
De l’urgence d’établir un bon diagnostic
Si un retour vers une situation presque normale semble approcher à petits pas, cette période semble propice à une autopsie numérique en bonne et due forme. Dans un article publié sur le site d’ITPro en pleine crise sanitaire, nous expliquions alors entre autres qu'il fallait bien tracer tous les accès exceptionnels qui avaient été ouverts pour les remettre en question. Il est temps de faire le bilan. Et de prendre le temps de le faire. Passée la phase d’acceptation, il semble logique de passer à la phase d’inspection et de vérification. Les RSSI se doivent désormais de procéder à un examen chirurgical en plusieurs étapes avec la détection et suppression des foyers d’infection, ainsi que la remédiation. Et en cas de défauts structurels dans l’architecture, il faudra se lancer dans une refonte de l’infrastructure IT (ainsi que de son pendant dans l’univers opérationnel qu’est l’infrastructure OT). Une autre échelle d’investissements ici. L’objectif in fine est de reprendre le contrôle des données et des systèmes d’accès et ce, de manière durable. Car, si les pirates informatiques ont profité de la précipitation générale liée à la crise du coronavirus, ils ne semblent pas avoir créé de nouvelles formes de menaces cyber. Ils ont simplement adapté leurs attaques au contexte ambiant.
De son côté, l'ANSSI n’a pas attendu le Covid-19 pour émettre des recommandations quant à l’essor du nomadisme numérique et ainsi faire face au mieux aux cybermenaces liées au télétravail. Ce guide des bonnes pratiques, remis en avant à l’occasion de la crise sanitaire, reprend le socle des fondamentaux en matière de procédures de sécurité informatique : recensement et analyse des incidents de sécurité, contrôles et tests de sauvegarde, analyse des équipements nomades, fermeture des accès externes devenus inutiles… Le site de cybermalveillance.gouv.fr propose également un ensemble de recommandations pour effectuer un diagnostic opérationnel efficace.
Pour Farid Ichalalène, il y a bien sûr des réflexes de bon sens, comme par exemple « n’autoriser que les accès nécessaires selon les services ». Les services de R&D ou de comptabilité par exemple n’auront notamment pas les mêmes besoins. Revenir aux basiques avec peut-être plus de simplicité. Et s’il fallait brider les collaborateurs pour leur propre bien ? La question est ouverte… « Il me paraît essentiel d’épurer les infrastructures, celles-ci sont devenues trop complexes de par la quantité de technologies, de solutions qu’elles proposent. On s’aperçoit, de plus, qu’elles n’ont pas forcément les expertises humaines nécessaires à leur bon fonctionnement. Le recours aux surcouches de sécurité est problématique en ce sens : nous allons devoir revenir à des choses plus simples pour une meilleure maîtrise. Ne serait-ce que mettre en place un poste de sécurité afin de détecter le plus rapidement possible, les incidents et ne pas permettre à des cybercriminels de s’installer dans la durée », complète le RSSI industriel.
Adopter une bonne hygiène numérique
La généralisation du télétravail complexifie la mission du RSSI : cette nouvelle donne doit s’intégrer à la politique de sécurité des entreprises et, avec elle, la DSI doit poursuivre sa stratégie d’adaptation des systèmes. Dans un premier temps, il s’agit de ne pas considérer la pandémie du Covid-19 comme exceptionnelle : en cas de nouvelle période critique, les structures IT se doivent d’être prêtes, bonnes réponses et outils dédiés à l’appui, le moment venu. Il s’agit désormais de pouvoir répondre rapidement aux demandes d’accès à distance dans des conditions de fiabilité et de sécurité satisfaisantes. Cette période particulière de télétravail massif devrait se poursuivre jusqu’à la fin de l’année et se généraliser dans le futur. Avec elle, le besoin d’accompagnement des collaborateurs sur les nouveaux besoins et usages liés au nomadisme professionnel – les outils de visioconférences et la question de leur sécurité étant un exemple parmi d’autres.
Le RSSI doit s’attendre chaque jour à de nouveaux défis et à se préparer à demain. La partie la plus complexe selon le RSSI du grand groupe industriel : « Le RSSI a été obligé de valider, parfois sans avoir le choix, des entorses à la politique de sécurité du ou des systèmes d'information (PSSI) qu’il avait lui-même mis des années à bâtir pour assurer un minimum de sécurité. Lorsque les collaborateurs auront la possibilité de revenir sur leur lieu de travail, il devra réduire leurs champs d’action et restreindre les accès ouverts en externe par nécessité. On peut imaginer que ce retour en arrière sera compliqué car beaucoup vont considérer que ces mesures d’exception sont devenues la règle. Avec tout le passif à rattraper, chaque nouvelle demande d’autorisation d’accès devra reposer sur des études préliminaires. La question : avec quel budget ? Même si certains fournisseurs ont offert gracieusement leurs services pendant la crise, n’oublions pas que, dans toute cette précipitation, quantité d’accès VPN ont été achetés sans avoir le temps de négocier les tarifs avec différents fournisseurs. »
Des complications qui viennent s’ajouter au stress omniprésent ressenti par les RSSI depuis plusieurs années.
Repenser son budget IT pour rester en bonne santé
Depuis plusieurs années, les dirigeants prennent davantage conscience du risque cyber, souvent mis en lumière par les projets de transformation numérique. Et encore plus avec la crise sanitaire. Mais à ce jour, l’impact économique de la crise sanitaire au niveau des métiers de l’IT et de la cybersécurité est réduit au rang de simples hypothèses.
Étonnamment, 40% des décideurs informatique d’Allemagne, des États-Unis, de France et de Grande-Bretagne, déclarent vouloir réduire leur budget dédié à la cybersécurité pour limiter l'impact financier de la crise liée au Covid-19. Les membres du CESIN, tous issus des grandes entreprises et administrations françaises, avancent des chiffres similaires avec près d’un tiers des répondants qui évoquent une baisse du budget cyber. Mais une autre partie, majoritaire, est plus optimiste : pour près 48% des répondants, le budget cybersécurité ne devrait pas être impacté par la crise. Et selon cette même étude, postée dans un article du blog des Assises de la Cybersécurité, près de 20% voient même leur budget cybersécurité augmenter.
C’est une chose de se mettre en télétravail mais c’en est une autre d’assurer le même niveau de sécurité que lorsqu’on est en entreprise
Alain Dupont, Directeur du Service Clientèle Stormshield
« Le risque de reconfinement existe et avec lui, la nécessité de télétravailler. Les décisionnaires le prennent désormais en compte dans leurs projets IT et de sécurité informatique », estime Farid Ichalalène. « Même si certains investissements pourraient être revus par mesure d’économies, les budgets cyber se maintiendront eux, pour la bonne et simple raison que c’est une chose de se mettre en télétravail mais c’en est une autre d’assurer le même niveau de sécurité que lorsqu’on est en entreprise », affirme Alain Dupont. Un réaménagement du budget qui doit consacrer une de ses parts à toujours mieux former et sensibiliser les employés. Franck Nielacny, DSI de Stormshield, témoigne : « Bien sûr, nos collaborateurs sont aguerris aux outils numériques, c’est facilitant. C’est pourquoi il faut aussi faire confiance aux équipes, elles sont capables de s’adapter et ont des capacités de résilience ».
Et c’est d’ailleurs souvent au cœur des moments difficiles que chacun exprime le meilleur de lui-même : Franck Nielacny évoque une belle expérience de solidarité dans son équipe, avec la volonté de « jouer collectif et réaffirmer réactivité et sens du service auprès de nos clients internes ». Qu’on se le dise, la vie des entreprises continue…
