Par Nicolas Casimir, Responsable de la Sécurité des Systèmes d’Informations EMEA de Zscaler
Tribune. La crise du Covid-19 a plongé le monde de l’entreprise dans une situation jamais vue. La transformation numérique et la migration vers le Cloud, désormais bien engagées par une majorité de nos entreprises, a permis une adaptation rapide à la situation du télétravail. Le confinement a accéléré encore un peu plus cette transformation de l’IT et c’est une bonne chose. Mais ne nous félicitons pas trop vite, car ce contexte a ouvert une fenêtre de tir précieuse aux cybercriminels. D’un point de vue sécuritaire, les outils installés pendant la crise sont majoritairement vulnérables, les utilisateurs et les postes de travail sont souvent moins protégés, et les employés risquent de revenir au bureau avec des bombes logiques, dans leurs outils de travail numériques. Il n’est pas trop tard pour réagir : tout d’abord en dressant un bilan sur la sécurité des outils qui ont été mis en place, comme le fameux VPN (Réseau Privé Virtuel), et en mettant en place les bonnes pratiques pour assurer le retour physique des employés au bureau en sécurité.
Les bienfaits de la transformation numérique
Les entreprises qui ont franchi le plus facilement la période de confinement et la mise en place massive du télétravail sont sans conteste celles qui étaient déjà avancées dans leur transformation numérique. Ces entreprises qui avaient engagé une migration vers le Cloud, avec une réelle réflexion amont autour de leurs applications, de la localisation de leurs données, et surtout de la manière dont les employés ou leurs clients y accèdent, ont pu s’adapter rapidement. En Europe, Engie, LVMH ou encore Schneider Electric font aujourd’hui figure de modèles en matière de transformation numérique et de migration vers le Cloud. Elles ont mis en place il y a quelques années des stratégies « Cloud-first » et « Direct-to-Cloud », qui ont pu permettre à des centaines de milliers de leurs employés de se connecter au réseau, aux applications métiers, et à surfer sur Internet de manière sécurisée, où qu’ils soient, sans avoir à déplacer une armée de techniciens sur le terrain notamment pour gérer matériels et logiciels dans les datacenters. Toutes les entreprises ne sont pas aussi avancées, et certaines tiennent parfois à conserver des infrastructures internes physiques, souvent en transition, nécessitant toujours plus d’investissements dans les datacenters de l’entreprise (serveur, stockage, réseau, sécurité). Mais globalement, le test a été passé avec succès, nous pouvons nous en féliciter et les entreprises en retard vont sûrement prendre acte d’un modèle qui a désormais fait ses preuves. Enfin, la période passée va aussi probablement faire réaliser les derniers récalcitrants qu’une DSI tournée vers le Cloud est aussi mieux perçue de l’intérieur car elle accompagne l’innovation plutôt que d’être vue comme un frein (et être génératrice, à son insu, de Shadow IT).
La sécurité, le point critique
La mise en place de certaines solutions informatiques en urgence a en revanche offert des opportunités aux attaquants. Nous avons pu observer une augmentation de 85% des attaques de phishing sur le mois de mars, et plus de 130 000 domaines suspects nouvellement enregistrés (NB : les cybercriminels enregistrent par exemple de nouveaux domaines pour tirer profit des mots clés tels que masques Covid, Wuhan, et des thèmes associés à l’actualité). Le déploiement de VPN (Virtual Private Network) a explosé pendant la crise, de même pour les services RDP (Remote Desktop Protocol) permettant aux employés d’accéder à distance à leur environnement de travail habituel. Certaines entreprises ont même dû faire livrer des ordinateurs portables au domicile de leurs employés. Ce sont des solutions palliatives qui ont été mises en place sans avoir été pensées de façon pérenne. Ces éléments réseaux accroissent malheureusement la surface d’attaque de l’entreprise et ces infrastructures restent opérationnelles après la crise.
Les employés seront-ils de retour avec des bombes logiques ?
Une bombe logique est en sécurité informatique un code intentionnellement mis en place dans un logiciel ou un système, et dont la fonction malicieuse ne se déclenchera que sous certaines conditions. Ces bombes logiques sont utilisées par les virus, les vers, les chevaux de Troie et les ransomware, pour s’exécuter afin de maximiser leurs dégâts ou pour éviter de se faire détecter. Il est évident qu’une attaque lancée au cœur du réseau de l’entreprise aura plus d’impact que sur un poste à distance. La question majeure pour les entreprises est aujourd’hui de savoir comment elles vont pouvoir s’assurer que les équipements, exposés pendant plusieurs mois hors du réseau physique, peuvent être reconnectés au réseau de l’entreprise, sans aucun risque ? La première étape consiste à préparer le retour des employés. C’est l’urgence du moment, il n’est pas trop tard pour cela puisque de nombreuses entreprises n’ont prévu un retour à la normale qu’au 1er septembre. Plusieurs bonnes pratiques peuvent être privilégiées en cas de suspicion de compromission :
- Mettre à jour les logiciels, et notamment les logiciels de sécurité tels que les antivirus dont les bases de signature ont besoin d’être mises à jour, ce qui n’a pas pu être systématiquement fait à distance.
- Connecter les équipements à une zone tampon à leur retour dans le réseau physique, pour éviter qu’un malware/ransomware ne s’installe dans le réseau de l’entreprise.
- Inviter les employés à changer leurs mots de passe d’accès à leur session utilisateur, aux applications métiers, etc. Par le biais de phishing notamment, les attaquants ont souvent cherché à dérober des identifiants.
Mais, cela ne doit pas s’arrêter là. En effet, le travail à distance – depuis le domicile ou depuis n’importe où finalement – va certainement devenir une nouvelle réalité, et aucune entreprise ne peut exclure une nouvelle vague de pandémie mondiale. La reflexion, autour du plan de continuité, doit porter sur deux axes :
- Tactique : S’assurer que les solutions mises en place dans l’urgence ne vont pas avoir des impacts graves dans quelques semaines/mois, et qu’elles sont viables dans la durée et peuvent être généralisées pour permettre le télétravail en partie ou en totalité. Cela signifie le cas échéant, revoir sa copie si besoin pour ne mettre en place que des solutions pérennes, testées et éprouvées (inspection du trafic, par exemple).
- Business : Sur ce plan, de nombreuses questions doivent se poser : le télétravail a-t-il fait ses preuves en termes de productivité ? D’un point de vue RH, le management a-t-il été efficace, quid de la question du droit à la déconnexion, comment mesurer les objectifs des collaborateurs ? Les investissements locatifs immobiliers sont-ils tous nécessaires et peuvent-ils être reconsidérés, au profit par exemple d’investissements IT ? etc.
La transformation numérique et le Cloud, ont démontré tout leur intérêt pendant cette crise. C’est une réalité. Il ne reste plus qu’une marche à franchir – celle d’une meilleure intégration de la sécurité dans nos outils informatiques et nos processus de travail – pour que nous soyons mieux préparés dans le futur, tout en bénéficiant d’une meilleure agilité et flexibilité. L’un des concepts de développement inspirant pour l’entreprise est le concept venant de la Silicon Valley « Fail fast to succeed faster » (Échouer vite pour réussir plus vite). En innovant petit à petit, notamment à l’aide de solutions SaaS à la demande, nous échouons parfois mais nous tirons aussi plus rapidement les enseignements de nos erreurs. Cela peut être tout à fait bénéfique pour la transformation numérique et la migration vers le Cloud.