A l’heure de la mise en place des mesures de confinement liées à la crise sanitaire du COVID-19, bon nombre de DSI ont eu des sueurs froides pour satisfaire aux exigences de la continuité d’activité dans plusieurs secteurs.
En effet, partout où cela a été possible, il a fallu, dans un laps de temps très court, mettre en place un recours massif au télétravail pour les collaborateurs tout en n’ayant pas systématiquement l’intégralité des ressources pour le faire dans les meilleures conditions. Car mettre en place le télétravail de manière pertinente signifie bien souvent, donner accès à un plus grand nombre de collaborateurs qu’à l’accoutumé au cœur du Système d’Information de l’entreprise avec les risques et des brèches potentielles de sécurité que cela suppose. Cela est d’autant plus vrai quand les cyber-pirates saisissent l’opportunité pour multiplier les tentatives de hacking et que dans le même temps, les collaborateurs chargés de prémunir l’entreprise de ces attaques, sont eux-mêmes partiellement indisponibles.
Heureusement, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a émis en des temps plus calmes un « Guide d’Hygiène Informatique » pour redonner de la perspective aux bonnes pratiques en la matière. Certaines de ces recommandations résonnent avec d’autant plus de force en ce moment. Rappelons-en quelques-unes qui semblent clé.
Au premier chef, l’expansion de l’accès à distance au SI de l’entreprise, via la mise en place du télétravail, implique d’avoir un nombre croissant d’utilisateurs des services de mobilité informatique, qui ne sont pas nécessairement au fait des bonnes pratiques en matière de sécurité. Il est bon de rappeler qu’une part notable des attaques informatiques « réussies » impliquent d’une manière ou d’une autre l’humain et donc principalement les collaborateurs de l’entreprise victime, bien souvent « sans penser à mal » ou par « inadvertance » mais au mépris de certaines règles de base. Il est donc primordial de former et d’informer notamment les nouveaux utilisateurs nomades pour limiter la vulnérabilité du SI.
Ensuite, aussi bien du côté des administrateurs du réseau informatique de l’entreprise que des responsables des lignes Métier, il convient d’avoir une vision claire des accès autorisés au(x) système(s) de l’entreprise : tout le monde n’a probablement pas besoin d’avoir accès à l’intégralité des applications ou des données de l’entreprise. La revue des comptes à privilèges et la revue des droits d’accès doit être régulière afin de s’assurer que les accès aux éléments sensibles soient maitrisés. Disposer de procédures d’autorisation et d’authentification doit permettre de circonscrire les problèmes, de faciliter la surveillance et de détecter plus facilement les éventuelles brèches ou attaques.
Enfin, mettre en place quelques garde-fous parait indispensable pour sécuriser l’information propriété de l’entreprise, l’un des risques majeurs étant la fuite de celle-ci. Cette lutte se joue sur plusieurs tableaux : il s’agit dans le même temps de limiter les possibilités de « sortir » des informations (bannir les supports amovibles, limiter l’envoi d’e-mails vers des comptes externes…) mais aussi de sécuriser les connexions avec le réseau de l’entreprise via la mise en place de VPN respectant les dernières normes de sécurité.
Cette crise ayant eu un effet dynamisant sur la mise en place du télétravail, celui-ci est probablement amené à s’inscrire dans la durée au sein des organisations où cela est possible. Il n’est donc jamais trop tard pour se préparer à mettre en place des fondations saines pour que le risque ne l’emporte pas sur l’opportunité.
Tribune rédigée par Arnaud Fléchard, CTO de Kleverware