Malgré les incertitudes et le risque d’une seconde vague, les entreprises cherchent depuis le mois de mai à retrouver un rythme « plus normal » à défaut d’être « normal ». Mais le monde a changé et les entreprises doivent s’adapter à une nouvelle réalité. Le CESIN profite de ce premier semestre 2020 pandémique pour tirer des enseignements sur le futur de la cybersécurité.

En cette crise sanitaire, le numérique a fait ses preuves. L’universalité d’Internet et la connectivité plutôt bonne des foyers français ont joué un rôle clé pour amortir le choc économique du confinement et permettre de généraliser le télétravail.

Comme le rappelle le CESIN – le Club des Experts de Sécurité de l’Information et du Numérique -, à la veille du confinement, seul un quart des salariés français y avaient recours et pour la plupart de façon très occasionnelle. Seuls 6% des salariés français le pratiquaient déjà de manière régulière et contractuelle.

Pour les entreprises non préparées au télétravail, « l’épreuve a été beaucoup plus rude, rappelle le CESIN. Achats de PC portables en catastrophe, transports de PC fixes au domicile ou encore utilisation de PC privés à des fins professionnelles, toutes les possibilités ont été explorées et gérées dans l’urgence. On a vu fleurir des usages de services Cloud plus ou moins encadrés, voire en Shadow IT ».

Comme nous l’avons à plusieurs reprises signalé, la crise Coronavirus s’est accompagnée d’une très forte augmentation des cyberattaques, les cybercriminels profitant de l’angoisse latente et de la désorganisation des services pour multiplier des phishings ciblés, les BEC, et les attaques contre les infrastructures.

Pour le CESIN, en matière de sécurité, durant cette crise, « le curseur a indéniablement bougé et de façon permanente ». Pour les experts de l’association, six nouvelles réalités IT se dessinent en matière de cybersécurité :

1/ Le PC fixe est mort

Certes, cela fait plusieurs années que les ventes de PC fixes sont en chute libre. Il n’y a plus guère que les Gamers et les entreprises aux personnels très peu nomades qui en achètent encore. La crise a montré que les entreprises équipées massivement de matériels mobiles se sont révélées bien plus agiles et que même dans les entreprises où les collaborateurs sont essentiellement sédentaires, les équiper d’un appareil mobile devient un véritable avantage par temps de crises : épidémie entraînant un confinement, grèves prolongées des transports, etc.
Pour le CESIN, « la différence de prix entre un PC fixe et un portable ne devrait plus être un obstacle à l’équipement des salariés devenus tous potentiellement mobiles ».
Les entreprises qui privilégient l’accès en VDI par des terminaux passifs légers doivent parallèlement réfléchir à comment maintenir l’accès aux PC virtuels en cas de confinement, soit en proposant des PC portables, soit en vérifiant que leurs collaborateurs disposent de PC personnels permettant un accès à ces bureaux virtuels sécurisés (même si le PC hôte ne l’est pas).

2/ Le VPN traditionnel va disparaître

On a beaucoup entendu parler de VPN, de nécessiter de multiplier la bande passante, les licences d’accès VPN et les équipements au début de cette crise. Mais l’approche VPN paraît désormais désuète.
De nombreux services étant disponibles dans le cloud, les salariés se sont naturellement connectés directement à ces services depuis l’accès Internet de la maison plutôt que passer par le VPN pour se connecter au réseau de l’entreprise, pour ressortir sur Internet afin d’utiliser ces services. Pour le CESIN, « tant qu’il y aura du legacy, le VPN traditionnel va subsister mais le sens de l’histoire est bien une connexion directe vers le cloud, ce qui ne dispense pas de passer par des proxies et diverses couches de sécurité, elles-mêmes dans le cloud ».
Par ailleurs, les services clouds proposent désormais des accès sécurisés aux réseaux d’entreprise via des principes bien plus souples et dynamiques que les ancestrales infrastructures VPN classiques.

3/ Le MFA n’est plus une option

« Bien entendu, si on autorise les utilisateurs en mobilité à se connecter directement à des services cloud sans passer par le réseau de l’entreprise, il va falloir généraliser l’utilisation de l’authentification forte pour tous ces services et non simplement pour se connecter au VPN » constate le CESIN.
L’authentification multifacteur est en train de se démocratiser et a montré à quel point elle était devenue nécessaire pour réduire les risques d’usurpation d’identité. Elle s’impose bien évidemment pour tous les comptes attachés aux services clouds utilisés par l’entreprise mais également pour tous les comptes personnels (Gmail, Outlook/OneDrive, Facebook, Twitter, etc.), les utilisateurs ayant une fâcheuse tendance à mélanger accès privés et accès professionnels et à stocker dans les navigateurs (avec synchronisation cloud) les mots de passe des différents comptes.
Au-delà du MFA, c’est tout le principe du Zero Trust, la sécurité sans confiance, qui est plus que jamais d’actualité.

4/ La mise à jour des postes devra être repensée

Bien évidemment, pendant cette crise, l’un des grands challenges des équipes IT aura été de garder les PC d’entreprise à jour et avec un niveau de sécurisation optimum. Patching des OS, mises à jour des logiciels… ces tâches ont toujours été des défis. Il existe désormais des solutions éprouvées pour garantir une mise à jour des postes qu’ils soient ou non dans les murs des entreprises. Malheureusement, et bien qu’elles aient parfois accès à de tels outils via leur abonnement Microsoft 365 par exemple (qui intègre la suite Enterprise Mobility + Security avec Intune), bien des entreprises continuent d’administrer les PC à l’ancienne plutôt que de les assimiler à des terminaux mobiles. Sans compter que les VPN déjà saturés ne peuvent plus supporter les gros volumes de mises à jour. L’évolution passe par davantage de mises à jour en direct et une nouvelle approche UEM de la gestion des PC mobiles.

5/ Adieu aux répertoires bureautiques !

« La crise a sans doute sonné le glas des serveurs de fichiers centraux traditionnels » affirme le CESIN. À l’heure des hubs collaboratifs comme Teams, Slack ou TalkSpirit, et des plateformes collaboratives comme G Suite, Office 365, eXo Platform et autres, le partage de fichiers s’est totalement métamorphosé.  Mais « cela a eu pour conséquence de donner beaucoup plus d’autonomie aux utilisateurs, sans pour autant les responsabiliser, constate le CESIN. En effet, dans le modèle précédent, c’était l’équipe informatique qui paramétrait les accès en central alors que dans le modèle cloud, on délègue aux utilisateurs le soin d’organiser les espaces partagés et d’en sécuriser les accès. Mais autant il est simple de partager, autant il est difficile de maîtriser les subtilités des accès à ces partages. ». Les entreprises doivent chercher à retrouver une vision globale consolidée des partages et des échanges en se dotant de nouveaux outils de supervision et de nouveaux boucliers pour lutter contre les fuites d’information. Elles doivent surtout former et sensibiliser encore davantage leurs collaborateurs aux bonnes pratiques et aux risques.

6/ Le SOC est incontournable

Le constat était tracé bien avant la crise : beaucoup d’entreprises très impactées par des cyberattaques n’avaient pas de SOC ou ceux-ci sont à l’état embryonnaire.
Mais avec des données éparpillées dans de multiples Clouds, des utilisateurs dispersés et désormais de plus en plus en télétravail, un système d’information étendu, la surface d’exposition aux risques cyber n’en est que plus vaste. « Il ne faudra pas compter uniquement sur la vigilance de l’utilisateur, avertit le CESIN. Si le clic de trop déclenche une crise, c’est que l’environnement était vulnérable ! » Interne, externalisé ou hybride, le SOC s’impose aujourd’hui comme une pièce maîtresse d’un dispositif de cybersécurité ! Les entreprises ne peuvent plus se contenter d’être passives. Elles doivent se doter d’une vraie capacité de surveillance, de détection et de réponse aux incidents. La prévention est indispensable mais pas suffisante. « Il faut s’appuyer sur un SOC pour surveiller avec vigilance et réactivité ce que les nouveaux accès et les nouvelles délégations dans le cloud permettent, pour toutes les populations, les administrateurs, les architectes, les développeurs et de façon générale, tous les utilisateurs » précise le CESIN.

Nombreux sont ceux à appeler de leurs vœux un monde « d’après » plus social, plus inclusif, plus écologique. Le CESIN entrevoit lui un « monde d’après » avec une cybersécurité revisitée dont les chances de se concrétiser sont, sans doute, plus probables… Même si le CESIN garde les pieds sur terre et préfère de façon très pragmatique alerter les dirigeants des entreprises que « considérant le niveau très élevé de la menace et les fragilités qui apparaissent dans les périodes de transition, il serait dangereux d’entamer les budgets en matière de cybersécurité, qui sont plus que jamais nécessaires pour protéger l’activité métier… »


Crédits Photos : Shutterstock