L’horizon s’éclaircit, une date se précise, et même si rien n’est définitif, il est aujourd’hui nécessaire de préparer la sortie du confinement.
En matière de cybersécurité, l’impact a été rude et ressenti par toutes les organisations quelles que soient leurs tailles. Même si des paramètres comme le degré d’utilisation du Cloud ou encore l’habitude à télétravailler permettent à certains de mieux gérer la crise en cours, les entreprises ont dû prendre des mesures immédiates pour maintenir un niveau de sécurité minimal.
Aujourd’hui, elles doivent axer leurs efforts sur la reprise du contrôle sur leur sécurité et le lancement des chantiers prioritaires pour faire face aux enjeux des mois à venir.
Une augmentation du risque cyber pendant le confinement
Face à une menace qui n’a pas réduit et qui évolue constamment, les effectifs cybersécurité sont sous forte tension. Ils ont dû composer avec la réduction nécessaire de la sécurité pour faciliter les nouveaux usages et des actions rendues plus complexes par le contexte que traverse leur organisation (absence des équipes et des prestataires, difficultés à travailler à distance…).
Dans une première phase de préparation très courte avant le déclenchement des mesures gouvernementales, les équipes cybersécurité ont travaillé sur des mesures immédiates pour assurer leurs activités, tout en s’adaptant aux circonstances et en réduisant parfois le niveau de sécurité.
- Sensibiliser les collaborateurs aux bonnes pratiques de sécurité (phishing, fraude au président, robustesse des mots de passe, fuite de données…) et les tenir informés des évolutions de la crise
- Tracer les dérogations de sécurité, quantifier l’impact et présenter le risque résiduel aux métiers (droits d’administration sur les postes, utilisation d’outils ou périphériques USB non sécurisés par l’entreprise, réduction des exigences sur l’authentification, installation décalée des patchs, autorisation du split tunneling…)
- Capitaliser sur les retours d’expérience en se connectant à son écosystème Cyber
- Déceler et comprendre les cas d’usages nouveaux (utilisation des applications tierces non maîtrisées pour s’assurer de pouvoir proposer des solutions adaptées aujourd’hui et demain…)
- Déployer des solutions de sécurité additionnelles si nécessaire (authentification forte via mobile, sécurisation des flux RDP, solutions coffre-fort de mots de passe, de messagerie sécurisée pour les VIPs, fermes VDI pour l’usage de matériel en BYOD…)
- Adapter ses capacités de surveillance aux circonstances (concentrer les efforts du SOC sur les applications critiques, créer des scénarios de détection spécifique en situation confinement, auditer en continu les systèmes d’accès distants…)
- Réfléchir en urgence à la continuité sécurité (gestion de crise en télétravail, séparation des équipes, outillage, fiches réflexes, partage d’informations, disponibilité et accès distants des tiers, collecte de preuves à distance…)
- Collecter les informations et décisions clefs pour nourrir un retour d’expérience sur la crise (accès aux connaissances, outils, méthodes de management, impact de la fermeture des frontières, partage d’information entre les géographies…)
Cette première phase de réaction achevée, les équipes cybersécurité doivent désormais concentrer leurs efforts sur deux périodes clés à venir : la reprise du contrôle et la prise en compte des enjeux majeurs des mois à venir.
Reprendre le contrôle dès aujourd’hui
De nombreuses actions sont à prévoir afin de resserrer les mailles du filet. La reprise du contrôle touche tous les pans du système d’information :
Les données
Éparpillées sur de multiples ordinateurs, parfois personnels, il va falloir s’assurer que les données créées ou modifiées pendant le confinement sont bien centralisées, sauvegardées et effacées dans les règles de l’art. Ce travail de fourmi va aussi beaucoup reposer sur les utilisateurs, à qui il faut donner des consignes claires et simples.
Les systèmes et infrastructures
Les systèmes d‘accès ont été mis à rude épreuve. Il s’agit aujourd’hui de les solidifier et de s’assurer de leur capacité à tenir la charge du nombre d’utilisateurs ainsi qu’à résister à d’éventuelles cyberattaques de type déni de service. Ils deviennent un élément clé du fonctionnement de l’organisation. La remise en place de dispositif d’authentification forte ou l’encadrement correct des extensions d’accès aux prestataires et au tiers sera aussi une priorité.
La surveillance cybersécurité
La plupart des systèmes de surveillance n’ont pas été conçus pour être utilisés à distance, surveiller des systèmes dans le cloud ou un nombre important d’ordinateurs en télétravail. Afin de s’assurer que cette période difficile n’a pas permis à des cybercriminels de s’introduire dans le réseau et de s’y cacher, il va être nécessaire d’analyser en particulier la période de confinement pour y chercher des traces d’attaques et ne pas permettre à des cybercriminels de s’installer dans la durée.
De manière générale, beaucoup de dérogations ont été accordées pour permettre le travail à distance : accès à des applications peu sécurisées, désactivation de certains mécanismes comme l’authentification forte, droits d’administration pour utiliser les imprimantes des domiciles, utilisation d’outils non certifiés par l’organisation (en particulier pour la vidéoconférence) etc…
Les organisations qui n’ont pas maintenu une liste de ces dérogations vont d’abord devoir identifier les écarts, puis les corriger progressivement avant la levée du confinement tout en permettant la continuité de l’activité à distance.
Programme « Take Back Control »
Pour que cette reprise de contrôle se fasse de manière efficace, coordonnée et également dans le respect des exigences réglementaires, il apparaît nécessaire pour les organisations de structurer leurs actions à l’aide d’un programme dédié s’appuyant sur 3 chantiers :
1. Assainir
Analyser l’ensemble des dérogations accordées et identifier les situations à risque, construire et piloter un plan d’action de remédiation ou de maintien de ces dérogations, préparer la réponse réglementaire (GDPR, réglementations sectorielles…)
2. Redémarrer
Recenser et relancer les processus sécurité suspendus comme les tests d’intrusion, les campagnes de sensibilisation au phishing, le déploiement de correctifs…
3. Investiguer
Identifier et remédier aux potentielles intrusions en investiguant a posteriori, élargir le champ de la surveillance au télétravail de masse…
Une équipe et gouvernance dédiée
Afin d’assurer le succès de ce programme, les organisations vont devoir mobiliser des ressources dédiées.
Notre retour d’expérience l’évalue à +/- 4 personnes à temps plein pendant 1 mois dans les grandes organisations internationales. Le programme devra également être animé par un reporting opérationnel quotidien avec le CISO pour les arbitrages, et bi-hebdomadaire avec le DSI et le métier (COO) pour partager le niveau de risque et concilier avec les exigences de production / métier.
Penser demain : télétravail, continuité cybersécurité et optimisation budgétaire
Dans les mois à venir, les enjeux pour la cybersécurité vont être multiples, mais 3 priorités émergent :
La pérennisation du télétravail
Sans même parler de 2ème vague de confinement, il est évident que le télétravail massif va se poursuivre. C’est l’occasion de repenser la manière de le sécuriser en prenant en compte les nouveaux usages (accès des tiers, prestataires, vidéoconférence massive…) et de déployer des nouvelles solutions telles que la signature électronique. Une bascule totale ou partielle vers le cloud peut aussi apporter des solutions efficaces dans ce contexte.
D’autre part, un grand nombre d’activités de mise à jour ou de contrôle (audit de sécurité, surveillance…) ont été interrompues, mais doivent pouvoir fonctionner même en situation de confinement. A ce titre, les organisations doivent entamer dès aujourd’hui leur évolution et intégrer la continuité des équipes et des systèmes de cybersécurité en cas de crise majeure.
Le besoin de continuité des activités cybersécurité
Malgré la crise sanitaire, des cyberattaques ont eu lieu, et contraignent les organisations à se poser de nouvelles questions. Comment mon organisation peut-elle gérer une cyberattaque, en particulier destructive, si je n’ai pas accès aux locaux ? Comment faire si mes experts ou mes fournisseurs et leurs matériels sont présents dans d’autres pays alors que les frontières sont fermées ?
L’optimisation budgétaire
Dans la crise économique à venir, de nombreux budgets vont être réduits et il sera impératif de démontrer l’efficacité des investissements. Entamer dès aujourd’hui une revue de son budget pour identifier les éléments clés est essentiel. Il sera également encore plus crucial de renforcer ses capacités de suivi et de reporting pour démontrer l’efficacité des actions réalisées.
Toutes ces questions, et bien d’autres, vont devoir faire l’objet de réflexion dans les mois à venir, mais un certain nombre de chantiers prioritaires peuvent être entamés dès maintenant. C’est souvent dans les phases de crise qu’il est nécessaire de se réinventer, profitons-en !