Les équipes de cybersécurité ont été fortement sollicitées pendant le confinement, mais quels enseignements peut-on tirer de la crise sanitaire ? Y a-t-il de nouvelles problématiques ou simplement une évolution de tendances qui étaient déjà à l’œuvre avant la crise ?
Les services informatiques ont été fortement sollicités pendant le confinement, et la cybersécurité a naturellement fait partie des préoccupations des entreprises, même si les réponses n’ont pas toujours été à la hauteur. Dans une communication post-confinement, les experts du CESIN ont passé en revue les principaux changements induits par la crise. Certains sont des évolutions accélérées par le confinement, mais d’autres sont quelque peu plus surprenants, comme la disparition du VPN dit traditionnel. Voici les premières conclusions post-confinement du CESIN.
Le poste fixe est mort
Les entreprises équipées massivement de matériels mobiles ont été particulièrement agiles, en s’adaptant au confinement quasiment du jour au lendemain. La différence de prix entre un PC fixe et un portable ne devrait plus être un obstacle à l’équipement des salariés devenus tous potentiellement mobiles.
Le VPN traditionnel va disparaitre
De nombreux services étant disponibles dans le cloud, les salariés se sont naturellement connectés directement à ces services, depuis l’accès Internet de la maison. Les salariés ont utilisé cette connexion plutôt que passer par le VPN pour se connecter au réseau de l’entreprise, pour ensuite aller sur Internet afin d’utiliser ces services. Tant qu’il y aura du legacy, le VPN traditionnel va subsister, mais le sens de l’histoire est bien une connexion directe vers le cloud, ce qui ne dispense pas de passer par des proxies et diverses couches de sécurité, elles-mêmes dans le cloud.
Le MFA n’est plus une option
Bien entendu, si l’on autorise les utilisateurs en mobilité à se connecter directement à des services cloud sans passer par le réseau de l’entreprise, il va falloir généraliser l’utilisation de l’authentification forte pour tous ces services et non simplement pour se connecter au VPN. Le concept de MFA va sans doute enfin se généraliser pour réduire les risques d’usurpation d’identité, inévitables lorsqu’on laisse les utilisateurs se connecter à des services cloud avec de simples mots de passe. Le principe du zéro trust est plus que jamais d’actualité.
La mise à jour des postes devra être repensée
Pendant la crise, un des principaux challenges a été de garder les PC d’entreprise à un niveau de sécurisation optimum. Les mises à jour de sécurité étaient souvent une gageure pour beaucoup avant la crise, que ce soit au niveau du patching des OS, ou des mises à jour de sécurité. Comment alors garantir une mise à jour des postes lorsqu’ils sont tous à l’extérieur de l’entreprise et non connectés de manière permanente au réseau de l’entreprise ? Outre cette question de « joignabilité » des postes, les VPN ne vont pas transporter de gros volumes de mises à jour et l’évolution devrait là encore passer par davantage de mises à jour en direct.
Adieu les répertoires bureautiques
La crise a sans doute sonné le glas des serveurs de fichiers centraux traditionnels. Les outils collaboratifs, et en particulier les outils de partage de fichiers en ligne, ont été considérablement déployés pendant la crise. Cela a eu pour conséquence de donner beaucoup plus d’autonomie aux utilisateurs, mais sans pour autant les responsabiliser. En effet, dans le modèle précédent, c’était l’équipe informatique qui paramétrait les accès alors que dans le modèle cloud, on délègue aux utilisateurs le soin d’organiser les espaces partagés et d’en sécuriser les accès. Mais si le partage est simplifié, il est difficile de maîtriser les subtilités des accès à ces partages. Et surtout, il est difficile d’en avoir une vision globale consolidée et très facile de commettre des erreurs. Confier ces outils de partage sans donner aux utilisateurs une quelconque visibilité sur ce qu’ils partagent est une très grosse prise de risques en matière de protection des données. Les entreprises vont devoir se doter d’outils de supervision ainsi que des outils complémentaires de recherche de fuites d’information sur le Web pour les cas où la prévention n’aurait pas suffi.
Le SOC est désormais incontournable
Nous avons pu l’observer avant la crise, beaucoup d’entreprises très impactées par des cyberattaques n’avaient pas de SOC ou ceux-ci étaient à l’état embryonnaire. Dorénavant avec des données éparpillées dans de multiples Clouds, et des utilisateurs également dispersés, la surface d’exposition aux risques d’attaque devient énorme. Et il ne faudra pas compter uniquement sur la vigilance de l’utilisateur. Si le clic de trop déclenche une crise, c’est que l’environnement était vulnérable.
Qu’il soit interne, externalisé ou mixte, peu importe, le SOC est désormais une pièce maîtresse d’un dispositif de cybersécurité. Cette tendance était déjà là, avant la crise, et elle devrait progresser rapidement. La capacité de surveillance, de détection et de réponse aux incidents était devenue essentielle en complément des mesures préventives. La crise a accéléré les usages du cloud. Il faut s’appuyer sur un SOC pour surveiller avec vigilance et réactivité ce que les nouveaux accès et les nouvelles délégations dans le cloud permettent, pour toutes les populations, les administrateurs, les architectes, les développeurs et de façon générale, tous les utilisateurs.
Reconsidérer sa roadmap cyber
Ces exemples sont des conséquences techniques ou organisationnelles immédiates de la crise sanitaire sur la cybersécurité, écrit le CESIN. « Il est important de reconsidérer sa roadmap cyber pour s’assurer de bien prendre en compte les transformations résultant de la crise, mais aussi pour veiller à aligner cette roadmap avec les changements stratégiques que l’entreprise va entreprendre dans les mois à venir », prévient Alain Bouillé, Délégué général du CESIN.
Mais, même si les préoccupations cybersécuritaires ne changent pas de nature, le CESIN craint qu’elles ne se compliquent un peu plus, suite aux effets de la crise économique sur les budgets de cybersécurité. La mise en garde est manifeste : une baisse des budgets risque d’augmenter l’exposition des entreprises.
« Nos entreprises, qui sont fortement impactées au plan économique, doivent
veiller à ne pas subir de crises cyber dans la foulée, prévient l’article du CESIN. En considérant le niveau très élevé de la menace et les fragilités qui apparaissent dans les périodes de transition, il serait dangereux d’entamer les budgets en matière de cybersécurité, qui sont plus que jamais nécessaires pour protéger l’activité métier ».