Le télétravail est une des manifestations les plus évidentes de la transformation numérique qui bouleverse les possibilités au sein des entreprises et l’une des réponses à la crise sanitaire que nous traversons actuellement. Mais selon les comportements des collaborateurs, ces nouveaux usages tendent à fragiliser la sécurité des entreprises. En matière de protection Endpoint, faudrait-il alors restreindre les accès et fonctionnalités de certains postes pour assurer la sécurité de l’ensemble ? Revenir à une époque où il fallait demander les droits d’accès et d’installation sur un poste pourrait faire lever un certain nombre de boucliers. Et placer les services informatiques entre le marteau et l’enclume.
Avec la transformation numérique, la virtualisation des services et la mobilité des travailleurs, les frontières de l’entreprise se déplacent et les barrières entre vie professionnelle et personnelle sont de plus en plus poreuses. Que ce soit pour accéder au réseau interne depuis un Wi-Fi non sécurisé, ou pour copier-coller un document-clé de l’entreprise via une clé USB perso, les devices se mélangent et s’interconnectent. Précision d’entrée : cet état de fait ignore la hiérarchie ; le stagiaire naïf, le commercial pressé ou le PDG qui se croit intouchable sont tous des vecteurs de risque cyber en puissance. D’autant que nombre d’entre eux bénéficient d’accès administrateurs sur leurs postes. Une question se pose alors : faudrait-il revenir à des usages « du passé », et imposer à tous un bridage, pour leur propre sécurité ?
Urgence et cybersécurité ne font pas bon ménage
Une question qui peut se poser encore plus à l’heure de la crise sanitaire actuelle, puisqu’urgence et cybersécurité ne font jamais bon ménage. Pour permettre aux entreprises de maintenir leurs activités, les services numériques et notamment le télétravail s’invitent chez les collaborateurs. Mais ils ne viennent pas seuls – les vulnérabilités de l’entreprise s’exportent également chez les collaborateurs. « Avec le Covid-19, les entreprises qui ne mourront pas des suites de la crise économique vont mourir du fait des attaques informatiques », souligne avec gravité le RSSI d’une grande entreprise du secteur aéronautique. Ces paroles résument en quelques mots les craintes de toute une profession à l’heure où une crise sanitaire sans précédent depuis un siècle se propage aux quatre coins du globe.
Avec le Covid-19, les entreprises qui ne mourront pas des suites de la crise économique vont mourir du fait des attaques informatiques.
Un RSSI d’une grande entreprise du secteur aéronautique
Osons donc le parallèle entre cette situation de crise sanitaire inédite et celle du bridage des collaborateurs. La décision gouvernementale d’imposer un confinement à la population est une mesure contraignante, mais elle renvoie à la nécessité d’assurer la sécurité collective. Et si, en matière de cybersécurité, il fallait s’en inspirer ?
La protection des postes, un environnement de contraintes
L’une des réponses possible est la mise en jeu de la responsabilité des collaborateurs, qui peut dans certains cas conduire à des sanctions. Mais cette solution est-elle souhaitable ? Une autre option serait de revenir à une époque où il fallait demander les droits d’accès et les droits d’installation sur un poste. Est-ce viable dans le contexte actuel des entreprises où de nombreux collaborateurs ont des accès administrateur directement sur leur poste ? « Pour comprendre comment on en est arrivé là dans certaines entreprises, il faut prendre en compte deux enjeux. D’une part une volonté d’autonomie de la part de certains collaborateurs, qui ont des compétences informatiques poussées et souhaitent pouvoir installer des applications spécifiques, écrire des scripts ou préparer des maquettes sans avoir à solliciter le service IT pour obtenir telle ou telle autorisation », analyse Franck Nielacny, DSI chez Stormshield. « Il faut aussi prendre en compte un deuxième facteur, qui a trait à la disponibilité et à la réactivité des équipes IT. Dans certains contextes, une DSI peut être fortement sollicitée et doit gérer les demandes en fonction de priorités. Donc la facilité revient parfois à ouvrir les droits admin ».
Pour autant, il est recommandé de respecter quelques règles simples en matière de filtrage et de restriction d’accès. « Ma recommandation est double : les fonctions qui n’ont pas une dominante technique forte n’ont pas à bénéficier d’un compte administrateur. Pour les populations plus techniques, l’idéal est d’avoir deux comptes, un standard couramment utilisé et un admin, ce dernier ayant les fonctionnalités les plus restreintes possibles et avec un encadrement strict des cas d’usage via une charte informatique », détaille Franck Nielacny.
Et les chiffres parleront sûrement encore davantage que les paroles. D'après le Rapport annuel Microsoft des vulnérabilités 2020 de Beyond Trust, l'application du principe du moindre privilège et la suppression des droits admin élimineraient 77 % des vulnérabilités critiques Microsoft. Et le site Undernews creuse un peu plus les conclusions du rapport : d'après celui-ci, 100% des vulnérabilités critiques d’Internet Explorer et de Microsoft Edge auraient pu être éliminées par la suppression des droits admin...
Brider, bloquer, responsabiliser : une valse cyber en trois temps
Dans un contexte normal, il est difficile d’envisager une approche coercitive de bridage complet des collaborateurs pour garantir la protection des postes. En effet, comment prévoir la réaction des collaborateurs à des mesures jugées trop restrictives ou attentatoires à leurs droits fondamentaux ? « Seul un contexte de très forte criticité, où l’entreprise serait réellement en péril, justifierait le recours à des méthodes dures de bridage pour tous les collaborateurs, poursuit Franck Nielacny. Ces mesures ne peuvent être que temporaires ». Le contexte actuel, marqué par une double contrainte d’autonomie et d’efficacité, semble donner lui raison pour le moment : c’est parce que la situation est exceptionnelle et temporaire que le confinement est accepté.
Un autre exemple de bridage : savoir s’il faut autoriser ou non l’accès aux messageries personnelles dans des contextes professionnels. Là encore, la voie médiane consisterait à autoriser l’accès, mais à interdire de cliquer sur des pièces jointes, en sensibilisant aux risques d’infection par ce biais. Car, ne l’oublions pas, le risque de contournement et, par extension, de shadow IT ne sont jamais loin ! « Il faut être réaliste, souligne Franck Nielacny, on évolue tous aujourd’hui dans un environnement de travail avec une étanchéité fine entre vie pro et perso. Encore plus avec le Covid-19 et le confinement, le shadow IT est une réalité pour toutes les entreprises. Tout l’enjeu est de s’assurer au maximum de l’étanchéité avec le système SI de l’entreprise en limitant les transferts de données avec des systèmes tiers. » Sensibilisation et responsabilisation en amont sont donc indispensables. On ne répétera jamais assez l’utilité de mettre en place une culture de cybersécurité efficace.
Face au Covid-19, un abaissement général du niveau de sécurité
En France, le 16 mars 2020, dans un contexte où la réorganisation précipitée des environnements de travail vers du travail à distance fait peser d’énormes risques sur les entreprises, le Ministère de l’Intérieur se fend d’une annonce pour rappeler qu’une « intensification des cyberattaques de type « vol de données » et/ou rançongiciels (ransomware) sur les réseaux d’entreprises, cherchant à jouer sur leur possible baisse de vigilance ou défaut d’organisation, est prévisible ». « Avec le Covid-19, les entreprises n’étaient pas prêtes à faire face. La plupart ont réagi dans la précipitation, appuie le RSSI d’une grande entreprise du secteur aéronautique. La crise frappe dans un contexte où les directions SI manquent de pouvoir décisionnaire et leurs budgets sont largement insuffisants. » Impréparation, gel des budgets SI… la crise sanitaire pourrait avoir des conséquences imprévues pour certaines. D’autant que dans ce contexte, l’anticipation des conséquences économiques fait passer la nécessité d’assurer la continuité de l’activité et du business avant les enjeux de gestion de la sécurité informatique. On l’aura compris, l’heure est grave. Dans le cas des structures stratégiques, en première ligne, comme les hôpitaux, tout l’enjeu est de parvenir à mettre en place « des solutions ergonomiques et efficaces », comme l’explique Cédric Cartau, RSSI du CHU Nantes, dans son billet « La DSI face au COVID » (sur DSIH.fr).
En complément du bridage, il faut également contrôler les vecteurs probables et risqués d’attaques informatiques. Certaines technologies permettent ainsi de repérer les comportements anormaux d’une machine qui tente d’exploiter une vulnérabilité, l’augmentation soudaine du nombre de requêtes, des connexions utilisateurs géographiquement impossibles (par exemple en Australie en fin de matinée et du côté de New York en début d’après-midi), ou encore l’utilisation de commandes inhabituelles. Il incombe alors au RSSI de fixer correctement la « norme » du comportement non suspect, sa baseline, histoire de durcir la sécurité sans pour autant devoir brider l’utilisateur.
Zero-trust, un paradigme d’avenir ?
On l’a vu, les contextes de crise, la reconfiguration des frontières de l’entreprise et la mobilité croissante des collaborateurs imposent de repenser la sécurité des systèmes d’information. Dans ce contexte, l’approche zero-trust fait de plus en plus parler d’elle. L’enjeu ? Adopter une réelle approche de zéro confiance dans les utilisateurs, les terminaux ou les postes de travail et maîtriser au maximum les échanges entre une machine et le reste de son environnement. « Grâce à ce modèle, l’entreprise peut contrôler qui a accès à quoi, comment et quand », relevait Pierre-Yves Popihn, directeur technique chez NTT Security France dans Les Echos.
Pour conclure, en complément de protections contre les menaces avérées et comportements anormaux, il est donc indispensable de mettre en place certains blocages au niveau des postes de travail. Mais cela doit être fait dans une approche qui laisse également la place à la sensibilisation à l’hygiène numérique et la responsabilisation des utilisateurs. Un des enseignements de la crise sanitaire actuelle est que – quoi que l’on puisse penser –, ces règles et cette discipline personnelle sont nécessaires pour endiguer une menace persistante. Face à un contexte qui évolue, il faut également intégrer le fait que le degré de « dureté » de ces règles peut et doit évoluer. L’adaptation est donc clé ici. Pour y parvenir, il est déterminant de faire le parallèle avec la vie personnelle des collaborateurs. « Si les gens sont convaincus que ça peut les impacter dans la vie personnelle, ils seront à même de le répéter dans leur vie professionnelle », souligne ainsi notre collègue RSSI du secteur de l’aéronautique.