Elles ont des milliers d’employés répartis sur plusieurs pays, voire sur plusieurs continents : les entreprises multinationales. Avec la crise de la Covid-19, elles aussi ont été forcées de se réorganiser. Habituées au travail multi-sites, ces sociétés étaient tout de même déjà bien préparées au passage massif vers le télétravail. Alors, quels outils ont été utilisés par les entreprises Orange, Atos ou Huawei pour garantir la sécurité informatique de leurs données et celles de leurs clients ? Comment organisent-elles le télétravail pour répondre aux impératifs cybersécuritaires ? Et quelles sont leurs observations et leurs recommandations autour de la cybersécurité sur le continent ? Le point avec CIO Mag.
Les grands groupes, qui ont été sollicités dans le cadre de ce dossier, se caractérisent par la taille de leur expansion, la rigueur de leurs modèles managériaux et leur maturité technologique. Globalement, ils ont négocié leur passage au télétravail avec aisance. Cette réalité vaut pour les organisations multinationales, qui adoptent des canaux de collaboration à distance sûrs et efficients. ‘’Chez Huawei, ce switch n’a pas vraiment été un gros changement car nous avions l’habitude de ce genre de scénario. Nous travaillons selon un schéma multi-sites et nos ingénieurs interviennent à distance. Depuis longtemps nous développons nos propres outils pour travailler à distance’’, atteste Adnane Ben Halima, Vice-Président en charge des relations publiques pour la région Méditerranée de Huawei Northern Africa.
L’impact de la crise sanitaire n’a pas été insurmontable pour ces organisations. Elles disposent des outils collaboratifs dédiées et de collaborateurs formés. Ils optimisent leur utilisation tant pour la performance et la qualité des prestations, que pour la sécurité des données. Baïdy Si, Chef des services de cybersécurité en Afrique francophone chez Atos, rapporte qu’en moins d’une semaine, 96% des 105 000 collaborateurs étaient en télétravail. “Le Groupe a assuré des livraisons d’ordinateurs ou de modems quand il était nécessaire. En moins de 48 heures et grâce à une mobilisation incroyable, plus de 12 500 ordinateurs fixes ont été transférés du bureau au domicile de nos collègues.’’
La cyberprotection interne assurée
Il en a été de même pour les processus de cybersécurité. Ils sont passés au premier plan avec l’adoption massive du télétravail. En matière de protection de données personnelles, les grandes structures disposaient déjà de politiques, de procédures et de processus. Et l’effet de la crise sur la gestion des données a été atténué. ‘’Notre politique de sécurité Groupe étant très mature, nos systèmes informatiques et nos process sécurité étaient déjà en place lorsque la pandémie s’est déclarée.
Le niveau de sécurité n’a ainsi pas été impacté et les salariés ont pu télétravailler sans encombre’’, souligne Emmanuel Cheriet, Directeur Maghreb et Afrique de l’Ouest chez Orange Cyberdéfense. Le groupe Atos, qui dispose d’un dispositif de protection des données personnelles, a agi pareillement. Les employés ont rigoureusement classifié, traité et stocké les données sensibles. ‘’Toutes les données sont chiffrées et protégées par une authentification à deux facteurs, ce qui permet de limiter l’accès à une liste de personnes préalablement définie’’, précise Baïdy Si. Il ajoute que la communication interne permet d’instaurer une prise de conscience collective des gestes à adopter.
‘’Tous nos employés, sans exception, suivent des formations obligatoires. Elles les sensibilisent aux risques et les éduquent sur les bonnes pratiques à adopter.’’ Ce rappel est crucial. Il consiste à prévenir les risques inhérents aux usages des collaborateurs. La vigilance est permanente, même avec des dispositifs de sécurité matures et bien rodés. ‘’Avant de procéder à des interventions sur les réseaux des clients, un ensemble de règles doit absolument être respecté pour garantir la sécurité des opérations. Chaque intervention peut en effet produire une catastrophe”, prévient Adnane Ben Halima.
Chez Orange, l’ensemble des employés du groupe est formé en continu à une charte des bonnes pratiques. Emmanuel Cheriet s’en explique. ‘’En interne, nous avons communiqué sur les règles « d’hygiène informatique » auprès de nos équipes. Nous les avons informés sur les attaques majeures afin de les sensibiliser sur les risques accrus engendrés par la situation, durant toute cette période.’’
Sécuriser le passage au télétravail
Les entreprises, dont les politiques de protection et les modes d’usage des équipements matériels et logiciels présentaient des carences, ont subi des défaillances au plan de la cybersécurité. Les grands groupes ont été sollicités pour intervenir sur les dispositifs de sécurité des entreprises clientes. Le télétravail a en effet augmenté les risques de cybersécurité, notamment l’hameçonnage (phishing, smishing), les rançongiciels ou l’exploitation des vulnérabilités des systèmes et réseaux. Il a fallu une réactivité particulière pour mettre à niveau les différentes organisations, sur le plan de la cybersécurité.
‘’Chez nos clients, en Afrique francophone, le principal défi a consisté à sécuriser le passage au télétravail’’, fait remarquer Baïdy Si. Il a également fallu présenter, à la clientèle, le protocole d’accompagnement déployé par le groupe. ‘’Dans un premier temps, nous avons déployé une offre d’audit flash, pour que nos clients aient une visibilité à 360° sur leur niveau d’exposition aux risques cybers. Par la suite, nous les avons accompagnés dans la correction des vulnérabilités détectées, pour qu’ils gagnent en assurance face à ces risques et pour leur permettre de télétravailler sereinement.’’ L’objectif principal de cet accompagnement intensif consiste à accélérer les processus de digitalisation des clients et à les installer sur une plateforme technico-organisationnelle, qui puisse à la fois fluidifier et sécuriser le travail à distance. ‘’Durant cette période, nous nous sommes avant tout investis pour aider nos clients à se sécuriser. Et pour les protéger au moment où leur transformation numérique s’accélérait, avec la mise en place de solutions pour sécuriser le travail à distance (exemple : solution VPN, Authentification Multi-facteurs, etc.)’’, précise Emmanuel Cheriet d’Orange Cyberdéfense.
Des techniques de protection de nouvelle génération voient le jour. L’intelligence artificielle est intégrée dans les protocoles de défense. Ces techniques permettent de détecter et de répondre, en temps réel, aux menaces d’intrusion. La cybercriminalité évolue en effet de manière accélérée et les hackers sont mieux formés. Ils utilisent la force de l’Intelligence artificielle pour mener des attaques plus efficaces et plus dangereuses pour les organisations.
Harmoniser les pratiques sur le continent
La crise a été un accélérateur dans l’adoption du télétravail. Les entreprises, mêmes les plus récalcitrantes, ont dû s’équiper d’outils adaptés pour assurer la continuité de leur activité. ‘’La crise a permis de lever les freins culturels qui entravaient le passage au travail à distance. Et il a été prouvé que le télétravail ne nuisait pas à la productivité’’, constate Baïdy Si. ‘’Pour autant, l’usage exclusif du travail en distanciel a ses limites. Les travailleurs souhaitent plus de flexibilité et une proportion télétravail/présentiel sur site plus équilibrée.’’
La pandémie a également influencé les cultures d’entreprises. D’importants changements ont opéré tant dans les rapports sociaux qu’au niveau des usages. A charge pour les organisations de créer un cadre propice à l’épanouissement des collaborateurs, à visibiliser la cybersécurité à chaque niveau de l’organisation et à maintenir la performance collective et individuelle.
Le travail à distance requiert une bande passante respectable et une connexion stable. Et sur ce point, les pays d’Afrique n’avancent pas à la même vitesse. La qualité des réseaux sur le continent n’est pas homogène. ‘’Au début de la crise, les réseaux étaient submergés et saturés. Avec les opérateurs, nous avons réagi très rapidement pour faire face à cette montée en puissance de l’utilisation Data’’, témoigne Adnane Ben Halima. Il constate qu’en Afrique, l’offre en connectivité mobile a pris le dessus sur les connexions fixes, en dépit du fait qu’elles soient indispensables pour les téléservices assez lourds, comme l’éducation ou la santé. La raison ? Les coûts élevés des investissements et des amortissements technologiques trop faibles. Les solutions pérennes et la stabilité des infrastructures technologiques de pointe reposent principalement sur la volonté politique. ‘’Sur le continent africain, les pays évoluent différemment. L’usage des Tics n’est pas le même d’une région à l’autre. Mais, nous savons que le changement dans cette région du monde peut se faire très rapidement et que les secteurs clés pourront rapidement être liés aux TICs’’, ajoute le Vice-Président en charge des relations publiques pour la région Méditerranée de Huawei Northern Africa.
Quant à la réglementation, elle s’organise. Elle est de plus en plus exigeante, notamment pour les acteurs économiques et institutionnels dont la stratégie intervient dans le fonctionnement des différents Etats. Il en est de même pour les filiales de grands groupes internationaux, qui pilotent l’exposition aux risques cyber de leurs filiales et de leurs partenaires sur le continent. Il leur est imposé un certain nombre de règles, de processus et de mises en conformité.
En matière de compétences, les ressources qualifiées sont largement siphonnées par les besoins européens, eux-mêmes sous tension. Le marché de la cybersécurité sur le continent est principalement porté par le secteur financier, lequel a opéré sa digitalisation depuis quelques années. C’est une opportunité pour l’Afrique et l’occasion de développer un vivier de compétences qualifiées, au service de sa cybersécurité et plus généralement pour sa souveraineté numérique.
Avec la crise sanitaire, les entreprises ont pris conscience de l’importance du renforcement de leur résilience face à l’évolution des risques. Cela nécessite de revoir l’organisation, l’infrastructure et les processus de continuité des activités pour les rendre plus solides.
Cette prise de conscience a également été perceptible au niveau des directions générales. Elles ont vu que la transformation des services, qui était engagée depuis quelques années avec le numérique, s’était accélérée pendant la crise de la Covid-19. Mais, de nouveaux risques numériques sont apparus. Ils sont de plus en plus structurés, de plus en plus dangereux pour les organisations et plus agiles face aux systèmes de cyberdéfenses, notamment avec l’entrée de l’Intelligence artificielle dans les boites à outils des cybercriminels.
Zakaria Gallouch & Camille Dubruelh
Cet article est disponible dans le numéro 69 de CIO Mag sur le télétravail et la cybersécurité : https://bit.ly/3d5nfWp