![\"Face](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_299936939-e1618484399729.jpg\" "\\"De")
<\/p>\n<\/p>\n
Le t\u00e9l\u00e9travail est une des manifestations les plus \u00e9videntes de la transformation num\u00e9rique qui bouleverse les possibilit\u00e9s au sein des entreprises et l\u2019une des r\u00e9ponses \u00e0 la crise sanitaire que nous traversons actuellement. Mais selon les comportements des collaborateurs, ces nouveaux usages tendent \u00e0 fragiliser la s\u00e9curit\u00e9 des entreprises. En mati\u00e8re de protection Endpoint, faudrait-il alors restreindre les acc\u00e8s et fonctionnalit\u00e9s de certains postes pour assurer la s\u00e9curit\u00e9 de l\u2019ensemble ? Revenir \u00e0 une \u00e9poque o\u00f9 il fallait demander les droits d\u2019acc\u00e8s et d\u2019installation sur un poste pourrait faire lever un certain nombre de boucliers. Et placer les services informatiques entre le marteau et l\u2019enclume.<\/strong><\/p>\n Avec la transformation num\u00e9rique, la virtualisation des services et la mobilit\u00e9 des travailleurs, les fronti\u00e8res de l\u2019entreprise se d\u00e9placent et les barri\u00e8res entre vie professionnelle et personnelle sont de plus en plus poreuses. Que ce soit pour acc\u00e9der au r\u00e9seau interne depuis un Wi-Fi non s\u00e9curis\u00e9<\/a>, ou pour copier-coller un document-cl\u00e9 de l\u2019entreprise via une cl\u00e9 USB perso<\/a>, les devices se m\u00e9langent et s\u2019interconnectent. Pr\u00e9cision d\u2019entr\u00e9e\u00a0: cet \u00e9tat de fait ignore la hi\u00e9rarchie ; le stagiaire na\u00eff, le commercial press\u00e9 ou le PDG qui se croit intouchable sont tous des vecteurs de risque cyber en puissance. D\u2019autant que nombre d\u2019entre eux b\u00e9n\u00e9ficient d\u2019acc\u00e8s administrateurs sur leurs postes. Une question se pose alors\u00a0: faudrait-il revenir \u00e0 des usages \u00ab\u00a0du pass\u00e9\u00a0\u00bb, et imposer \u00e0 tous un bridage, pour leur propre s\u00e9curit\u00e9\u00a0?<\/strong><\/p>\n <\/p>\n Une question qui peut se poser encore plus \u00e0 l\u2019heure de la crise sanitaire actuelle, puisqu\u2019urgence et cybers\u00e9curit\u00e9 ne font jamais bon m\u00e9nage. Pour permettre aux entreprises de maintenir leurs activit\u00e9s, les services num\u00e9riques et notamment le t\u00e9l\u00e9travail s\u2019invitent chez les collaborateurs. Mais ils ne viennent pas seuls \u2013 les vuln\u00e9rabilit\u00e9s de l\u2019entreprise s\u2019exportent \u00e9galement chez les collaborateurs. \u00ab\u00a0Avec le Covid-19, les entreprises qui ne mourront pas des suites de la crise \u00e9conomique vont mourir du fait des attaques informatiques<\/em>\u00a0\u00bb, souligne avec gravit\u00e9 le RSSI d\u2019une grande entreprise du secteur a\u00e9ronautique. Ces paroles r\u00e9sument en quelques mots les craintes de toute une profession \u00e0 l\u2019heure o\u00f9 une crise sanitaire sans pr\u00e9c\u00e9dent depuis un si\u00e8cle se propage aux quatre coins du globe.<\/p>\n Avec le Covid-19, les entreprises qui ne mourront pas des suites de la crise \u00e9conomique vont mourir du fait des attaques informatiques.<\/em><\/p>\n Osons donc le parall\u00e8le entre cette situation de crise sanitaire in\u00e9dite et celle du bridage des collaborateurs. La d\u00e9cision gouvernementale d\u2019imposer un confinement \u00e0 la population est une mesure contraignante, mais elle renvoie \u00e0 la n\u00e9cessit\u00e9 d\u2019assurer la s\u00e9curit\u00e9 collective. Et si, en mati\u00e8re de cybers\u00e9curit\u00e9, il fallait s\u2019en inspirer\u00a0?<\/p>\n <\/p>\n L\u2019une des r\u00e9ponses possible est la mise en jeu de la responsabilit\u00e9 des collaborateurs<\/a>, qui peut dans certains cas conduire \u00e0 des sanctions. Mais cette solution est-elle souhaitable\u00a0? Une autre option serait de revenir \u00e0 une \u00e9poque o\u00f9 il fallait demander les droits d\u2019acc\u00e8s et les droits d\u2019installation sur un poste. Est-ce viable dans le contexte actuel des entreprises o\u00f9 de nombreux collaborateurs ont des acc\u00e8s administrateur directement sur leur poste\u00a0? \u00ab\u00a0Pour comprendre comment on en est arriv\u00e9 l\u00e0 dans certaines entreprises, il faut prendre en compte deux enjeux. D\u2019une part une volont\u00e9 d\u2019autonomie de la part de certains collaborateurs, qui ont des comp\u00e9tences informatiques pouss\u00e9es et souhaitent pouvoir installer des applications sp\u00e9cifiques, \u00e9crire des scripts ou pr\u00e9parer des maquettes sans avoir \u00e0 solliciter le service IT pour obtenir telle ou telle autorisation<\/em>\u00a0\u00bb, analyse Franck Nielacny<\/strong>, DSI chez Stormshield. \u00ab\u00a0Il faut aussi prendre en compte un deuxi\u00e8me facteur, qui a trait \u00e0 la disponibilit\u00e9 et \u00e0 la r\u00e9activit\u00e9 des \u00e9quipes IT. Dans certains contextes, une DSI peut \u00eatre fortement sollicit\u00e9e et doit g\u00e9rer les demandes en fonction de priorit\u00e9s. Donc la facilit\u00e9 revient parfois \u00e0 ouvrir les droits admin<\/em>\u00a0\u00bb.<\/p>\n Pour autant, il est recommand\u00e9 de respecter quelques r\u00e8gles simples en mati\u00e8re de filtrage et de restriction d\u2019acc\u00e8s. \u00ab\u00a0Ma recommandation est double\u00a0: les fonctions qui n\u2019ont pas une dominante technique forte n\u2019ont pas \u00e0 b\u00e9n\u00e9ficier d\u2019un compte administrateur. Pour les populations plus techniques, l\u2019id\u00e9al est d\u2019avoir deux comptes, un standard couramment utilis\u00e9 et un admin, ce dernier ayant les fonctionnalit\u00e9s les plus restreintes possibles et avec un encadrement strict des cas d\u2019usage via une charte informatique<\/em>\u00a0\u00bb, d\u00e9taille Franck Nielacny.<\/p>\n Et les chiffres parleront s\u00fbrement encore davantage que les paroles. D'apr\u00e8s le Rapport annuel Microsoft des vuln\u00e9rabilit\u00e9s 2020<\/em> de Beyond Trust, l'application du principe du moindre privil\u00e8ge et la suppression des droits admin \u00e9limineraient 77 % des vuln\u00e9rabilit\u00e9s critiques Microsoft<\/a>. Et le site Undernews<\/a> <\/em>creuse un peu plus les conclusions du rapport : d'apr\u00e8s celui-ci,\u00a0100% des vuln\u00e9rabilit\u00e9s critiques d\u2019Internet Explorer et de Microsoft Edge auraient pu \u00eatre \u00e9limin\u00e9es par la suppression des droits admin<\/strong>...<\/p>\n <\/p>\n Dans un contexte normal, il est difficile d\u2019envisager une approche coercitive de bridage complet des collaborateurs pour garantir la protection des postes. En effet, comment pr\u00e9voir la r\u00e9action des collaborateurs \u00e0 des mesures jug\u00e9es trop restrictives ou attentatoires \u00e0 leurs droits fondamentaux ? \u00ab Seul un contexte de tr\u00e8s forte criticit\u00e9, o\u00f9 l\u2019entreprise serait r\u00e9ellement en p\u00e9ril, justifierait le recours \u00e0 des m\u00e9thodes dures de bridage pour tous les collaborateurs<\/em>, poursuit Franck Nielacny. Ces mesures ne peuvent \u00eatre que temporaires<\/em>\u00a0\u00bb. Le contexte actuel, marqu\u00e9 par une double contrainte d\u2019autonomie et d\u2019efficacit\u00e9, semble donner lui raison pour le moment\u00a0: c\u2019est parce que la situation est exceptionnelle et temporaire que le confinement est accept\u00e9.<\/p>\n Un autre exemple de bridage\u00a0: savoir s\u2019il faut autoriser ou non l\u2019acc\u00e8s aux messageries personnelles dans des contextes professionnels. L\u00e0 encore, la voie m\u00e9diane consisterait \u00e0 autoriser l\u2019acc\u00e8s, mais \u00e0 interdire de cliquer sur des pi\u00e8ces jointes, en sensibilisant aux risques d\u2019infection par ce biais. Car, ne l\u2019oublions pas, le risque de contournement et, par extension, de shadow IT<\/a> ne sont jamais loin\u00a0! \u00ab\u00a0Il faut \u00eatre r\u00e9aliste<\/em>, souligne Franck Nielacny, on \u00e9volue tous aujourd\u2019hui dans un environnement de travail avec une \u00e9tanch\u00e9it\u00e9 fine entre vie pro et perso. Encore plus avec le Covid-19 et le confinement, le shadow IT est une r\u00e9alit\u00e9 pour toutes les entreprises. Tout l\u2019enjeu est de s\u2019assurer au maximum de l\u2019\u00e9tanch\u00e9it\u00e9 avec le syst\u00e8me SI de l\u2019entreprise en limitant les transferts de donn\u00e9es avec des syst\u00e8mes tiers.<\/em>\u00a0\u00bb Sensibilisation et responsabilisation en amont sont donc indispensables<\/strong>. On ne r\u00e9p\u00e9tera jamais assez l\u2019utilit\u00e9 de mettre en place une culture de cybers\u00e9curit\u00e9 efficace<\/a>.<\/p>\n <\/p>\n En France, le 16 mars 2020, dans un contexte o\u00f9 la r\u00e9organisation pr\u00e9cipit\u00e9e des environnements de travail vers du travail \u00e0 distance fait peser d\u2019\u00e9normes risques sur les entreprises, le Minist\u00e8re de l\u2019Int\u00e9rieur se fend d\u2019une annonce<\/a> pour rappeler qu\u2019une \u00ab\u00a0intensification des cyberattaques de type \u00ab\u00a0vol de donn\u00e9es\u00a0\u00bb et\/ou ran\u00e7ongiciels (ransomware<\/a>) sur les r\u00e9seaux d\u2019entreprises, cherchant \u00e0 jouer sur leur possible baisse de vigilance ou d\u00e9faut d\u2019organisation, est pr\u00e9visible<\/em>\u00a0\u00bb. \u00ab\u00a0Avec le Covid-19, les entreprises n\u2019\u00e9taient pas pr\u00eates \u00e0 faire face. La plupart ont r\u00e9agi dans la pr\u00e9cipitation<\/em>, appuie le RSSI d\u2019une grande entreprise du secteur a\u00e9ronautique. La crise frappe dans un contexte o\u00f9 les directions SI manquent de pouvoir d\u00e9cisionnaire et leurs budgets sont largement insuffisants.<\/em>\u00a0\u00bb Impr\u00e9paration, gel des budgets SI\u2026 la crise sanitaire pourrait avoir des cons\u00e9quences impr\u00e9vues pour certaines. D\u2019autant que dans ce contexte, l\u2019anticipation des cons\u00e9quences \u00e9conomiques fait passer la n\u00e9cessit\u00e9 d\u2019assurer la continuit\u00e9 de l\u2019activit\u00e9 et du business avant les enjeux de gestion de la s\u00e9curit\u00e9 informatique. On l\u2019aura compris, l\u2019heure est grave. Dans le cas des structures strat\u00e9giques, en premi\u00e8re ligne, comme les h\u00f4pitaux, tout l\u2019enjeu est de parvenir \u00e0 mettre en place \u00ab\u00a0des solutions ergonomiques et efficaces<\/em>\u00a0\u00bb, comme l\u2019explique C\u00e9dric Cartau<\/strong>, RSSI du CHU Nantes, dans son billet \u00ab\u00a0La DSI face au COVID<\/em>\u00a0\u00bb (sur DSIH.fr<\/a>).<\/p>\n <\/p>\n En compl\u00e9ment du bridage, il faut \u00e9galement contr\u00f4ler les vecteurs probables et risqu\u00e9s d\u2019attaques informatiques. Certaines technologies permettent ainsi de rep\u00e9rer les comportements anormaux d\u2019une machine qui tente d\u2019exploiter une vuln\u00e9rabilit\u00e9, l\u2019augmentation soudaine du nombre de requ\u00eates, des connexions utilisateurs g\u00e9ographiquement impossibles (par exemple en Australie en fin de matin\u00e9e et du c\u00f4t\u00e9 de New York en d\u00e9but d\u2019apr\u00e8s-midi), ou encore l\u2019utilisation de commandes inhabituelles. Il incombe alors au RSSI de fixer correctement la \u00ab\u00a0norme\u00a0\u00bb du comportement non suspect<\/a>, sa baseline<\/em>, histoire de durcir la s\u00e9curit\u00e9 sans pour autant devoir brider l\u2019utilisateur.<\/p>\n <\/p>\n On l\u2019a vu, les contextes de crise, la reconfiguration des fronti\u00e8res de l\u2019entreprise et la mobilit\u00e9 croissante des collaborateurs imposent de repenser la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information. Dans ce contexte, l\u2019approche zero-trust fait de plus en plus parler d\u2019elle. L\u2019enjeu\u00a0? Adopter une r\u00e9elle approche de z\u00e9ro confiance dans les utilisateurs, les terminaux ou les postes de travail et ma\u00eetriser au maximum les \u00e9changes entre une machine et le reste de son environnement. \u00ab\u00a0Gr\u00e2ce \u00e0 ce mod\u00e8le, l\u2019entreprise peut contr\u00f4ler qui a acc\u00e8s \u00e0 quoi, comment et quand<\/em>\u00a0\u00bb, relevait Pierre-Yves Popihn<\/strong>, directeur technique chez NTT Security France dans Les Echos<\/a><\/em>.<\/p>\n <\/p>\nUrgence et cybers\u00e9curit\u00e9 ne font pas bon m\u00e9nage<\/h2>\n
Un RSSI<\/strong> d\u2019une grande entreprise du secteur a\u00e9ronautique<\/pre>\n<\/blockquote>\n
La protection des postes, un environnement de contraintes<\/h2>\n
Brider, bloquer, responsabiliser\u00a0: une valse cyber en trois temps<\/h2>\n
Face au Covid-19, un abaissement g\u00e9n\u00e9ral du niveau de s\u00e9curit\u00e9<\/h3>\n
Zero-trust, un paradigme d\u2019avenir\u00a0?<\/h2>\n