Si personne ne peut mesurer toutes les conséquences liées à la crise du COVID-19, il en est au moins une sur laquelle tous les experts s’accordent : le Flex-Office, entre bureau et télétravail, va s’installer dans la durée ! Or, plus de la moitié des personnes en télétravail ont été confrontées à des problèmes techniques pendant le confinement (Source ZDNet). Dès lors, une question essentielle se pose pour les DSI et RSSI : les dispositifs mis en place dans l’urgence pendant le confinement sont-ils suffisamment pérennes ? D’autant plus en ce qui concerne la sécurité puisque tout le monde semble également s’accorder sur le fait que le pire des cyberattaques est à venir La réactivité qu’a imposée la crise du COVID-19 aux équipes informatiques exige aujourd’hui de prendre le temps de la réflexion pour sécuriser durablement l’environnement de travail du futur. Cela passera par une analyse de nouveaux cas d’usages rencontrés liés au télétravail et un audit des risques de sécurité associés afin de prendre les bonnes décisions pour la suite…

Le télétravail : des menaces bien réelles
pour la sécurité du SI

Trois mois de recul sur les usages imprévus et/ou inappropriés engendrés par la généralisation du télétravail nous montrent que l’agenda des DSI et RSSI sera chargé dans les mois à venir pour la sécurité du SI.

En effet, de nombreuses organisations ont dû faire face à des pratiques telles que l’utilisation de matériels professionnels à des fins personnelles, potentiellement partagés entre les membres de la famille, et le tout, sur des réseaux domestiques faiblement sécurisés. Inversement, de nombreuses personnes ont eu recours à l’utilisation de matériels personnels pour se connecter à des environnements d’entreprise. Ce BYOD « forcé » déplace alors la responsabilité de l’entreprise qui ne peut plus se contenter de sécuriser des matériels maîtrisés mais doit principalement sécuriser l’utilisateur et son identité numérique au sein du système d’information.

On comprend ainsi aisément que les télétravailleurs sont davantage vulnérables aux cybermenaces et risques de détournement d’identités et d’accès car la connexion au système d’information de l’entreprise se fait à travers des couches non maîtrisées pour la plupart (WiFi personnel au débit aléatoire, PC personnel, mots de passe moins sécurisés voire partagés à d’autres personnes, etc.). Cybermalveillance a communiqué dès fin mars 2020 sur ces risques et fourni des recommandations de sécurité informatique pour le télétravail en situation de crise.

Les environnements personnels moins sécurisés sont une cible privilégiée pour les cyberattaques et notamment les campagnes emails de ransomware ou celles de phishing destinées à voler des données personnelles. Les politiques de sécurité et règles habituelles à respecter en entreprise devraient également s’appliquer à domicile mais combien de salariés le font réellement ? Combien d’entreprises prennent le temps de mener des campagnes de sensibilisation de bout en bout sur ce sujet ? Comment faire prendre conscience aux utilisateurs qu’ils sont une cible encore plus facile à atteindre alors qu’ils sont chez eux ? Certains RSSI ont évalué cette sensibilisation en menant de fausses campagnes de phishing pendant le confinement exploitant deux thèmes favoris des pirates : les aides financières, pour compenser les pertes de revenus dans les foyers et le COVID-19. Le résultat révèle un pourcentage encore trop élevé de destinataires qui cliquent dans ces emails et représentent alors une réelle menace pour le SI de l’entreprise.

Des mesures de sécurité déployées
dans l’urgence

Malgré ces menaces, le confinement a imposé aux équipes informatiques d’ouvrir le système d’information à l’extérieur pour répondre aux besoins de continuité de l’activité. Une étude réalisée par Censuswide pour Citrix révèle que « si 70 % des DSI rapportent que le télétravail au moins un jour par semaine était pratiqué dans leur organisation, 49 % n’avait pas prévu, dans leur plan de continuité d’activité, de devoir ainsi basculer vers un télétravail généralisé. 46 % ont jugé la transition difficile, 74 % des responsables IT se jugeant en situation de stress. »

Parmi les solutions déployées dans l’urgence, la généralisation du VPN (Virtual Private Network ou « réseau privé virtuel ») a évidemment été plébiscitée. L’accès VPN, qui permet d’accéder au réseau de l’entreprise depuis l’extérieur, n’était auparavant pas accessible à tous les collaborateurs mais souvent réservé à certaines populations nomades et/ou VIP. Son extension à une population massive du jour au lendemain a été légitimée par le devoir de réactivité et la nécessité d’ouvrir des applications au plus grand nombre pour maintenir l’activité, rompant ainsi plus ou moins fortement avec les exigences habituelles de la politique de sécurité de l’organisation.

La Société Générale a par exemple dû basculer 50.000 salariés en télétravail en Europe. En trois semaines, les capacités déjà disponibles en matière de Remote Access et de VPN avaient été multipliées par cinq. Néanmoins, pour d’autres organisations, les VPN se sont parfois retrouvés en surchauffe du fait d’un dimensionnement non adapté au volume de connections.

Par ailleurs, certains accès distants ouverts à la hâte ont parfois généré des accès exceptionnels, attribués manuellement en dehors de tout processus habituel conforme à la PSSI (Politique de Sécurité du Système d’Information). Lorsque les administrateurs du SI utilisent plusieurs outils séparés, cela augmente le nombre d’interfaces d’administration et donc le risque de faille d’exploitation. À l’inverse, ceux qui gèrent les accès à toutes les applications et services du SI de manière centralisée dans une plateforme IAM unifiée ont grandement diminué ces risques potentiels en termes d’accès inadaptés.

Les mesures de sécurité déployées dans l’urgence ont donc éloigné les entreprises de leur périmètre habituel d’intervention parfois au détriment de la conformité des droits sur le système d’information. Aujourd’hui, la vague étant passée, il est indispensable de s’interroger dès maintenant sur une démarche de revue des habilitations :

Les bonnes pratiques pour pérenniser
les dispositifs de sécurité en télétravail

Le monde d’après ne sera pas le monde d’avant et la sensibilisation des utilisateurs aux risques de cybersécurité dans un environnement de Flex-office est devenue une nécessité absolue. Le télétravail va s’installer dans la durée et les collaborateurs doivent être conscients de la vulnérabilité occasionnée par certains usages.

Plus largement, c’est une véritable démarche qualitative de sécurisation des accès distants que les organisations doivent désormais entreprendre. La première étape sera d’auditer et cartographier tous les accès ouverts pour identifier puis résoudre les faiblesses des solutions déployées dans l’urgence. C’est ainsi qu’il sera possible de contrer les assaillants qui, une de fois de plus, ont su exploiter en un temps record l’ensemble des failles engendrées par ce contexte inédit.

Cette situation renforce la nécessité de parfaitement maîtriser sa stratégie de gestion des identités et des accès. Les entreprises qui s’étaient bien organisées en amont et avaient déjà centralisé la gestion de leurs accès Single Sign-On ont pu maintenir plus facilement le contrôle et une supervision du SI en temps réel. C’est d’ailleurs ces mêmes entreprises qui ont pu gérer sans mal les pics d’authentification liés aux connexions à distance des collaborateurs à leurs applications métier notamment en début de journée.

L’un des enseignements de cette crise en matière de cybersécurité et de prévention des risques est que seule une approche globale et centralisée de la gestion des identités et des accès permet d’unifier les règles et donc de garder le contrôle sur la sécurité du SI