La crise sanitaire bouleverse l’organisation des entreprises qui ont dû mettre en place le télétravail. De nombreux collaborateurs ont également dû s’adapter aux nouvelles méthodes de travail et aux outils collaboratifs. Ce sont autant d’éléments incitant les pirates à multiplier les attaques. Dans ce contexte, les entreprises doivent établir un plan de défense afin de réagir le plus efficacement possible.
Le cloisonnement des flux et des données est l’un des principes fondamentaux en matière de cybersécurité. En temps normal, beaucoup d’entreprises adoptent cette règle. Mais le contexte actuel complique la situation. La politique de sécurité de certaines organisations devient moins rigoureuse afin de limiter les impacts négatifs de la crise sanitaire sur leurs activités.
Obligées à devenir plus flexibles, des entreprises ont instauré le télétravail. Mais en favorisant un mélange entre activités professionnelles et personnelles, il fragilise le Système d’information (SI).
Cette absence de cloisonnement complique la gestion des failles de sécurité pour deux raisons principales. Premièrement, tous les collaborateurs sont des cibles potentielles. Deuxièmement, de nombreux accès distants ont été ouverts pour faciliter les échanges entre les salariés en situation de mobilité et leur entreprise.
Un salarié peut ouvrir une pièce jointe reçue sur sa messagerie privée qui s’avère être un code malveillant. S’il s’agit d’un ransomware, ce virus peut chiffrer toutes les données en quelques minutes. L’activité de l’entreprise est alors paralysée.
Cet exemple n’est pas anecdotique. Les attaques de phishing explosent, car le télétravail permet aux pirates d’accéder plus facilement au Système d’information des entreprises, quelles que soient leur taille et leur activité. Les attaques de type ransomware ne sont pas les seules à augmenter. Les vols de données sensibles, mais aussi d’identifiants et de mots de passe de comptes professionnels sont également en forte augmentation.
Environnements de travail hybride
N’oublions pas que les pirates savent parfaitement s’adapter et tiennent compte des évolutions des méthodes de travail. De toutes les applications SaaS, Microsoft 365 (ex-Office 365) compte sans doute la plus grande base d’utilisateurs actifs, Microsoft annonçant plus de 250 millions d’utilisateurs actifs.
Logiquement, les cyberattaquants se sont focalisés sur cette solution collaborative. Depuis quelques mois, Microsoft est la marque la plus usurpée. Les attaques de phishing demandant aux salariés en situation de mobilité de réinitialiser leurs identifiants Microsoft 365 sont en forte hausse.
Manifestement, les équipes informatiques de nombreuses entreprises n'étaient pas totalement préparées à la transition soudaine vers le télétravail. La sécurisation des accès et des terminaux reste un défi majeur pour permettre la mise en place d'environnements de travail hybrides. Mais toutes les entreprises ne disposent pas nécessairement des outils et des profils adéquats permettant de renforcer la protection de ce périmètre qui ne cesse de s’agrandir.
Les bonnes pratiques recommandées par les éditeurs pour utiliser en toute sécurité leur solution sont parfois complexes. Si les paramétrages ne sont pas correctement faits, cela peut entrainer une infiltration du SI.
La cybersécurité est complexe, car les types d‘attaques ne cessent d’évoluer. Afin de renforcer leur pérennité, les entreprises doivent donc préparer un plan de défense inspiré de celui concernant l’évacuation d’un bâtiment. Des exercices sont effectués régulièrement afin que tout le monde sorte rapidement, mais dans le calme, d’un immeuble.
Zero Trust
De la même façon, les entreprises doivent organiser des exercices simulant des cyberattaques afin d’entrainer les salariés à adopter les bons réflexes. Ces tests doivent permettre également de vérifier que la direction peut gérer efficacement ce genre de crise avec une équipe dédiée et des process validés.
Plus que jamais, les entreprises doivent appliquer les règles de base et rappeler les enjeux de la cybersécurité à tous leurs collaborateurs. Combien d’équipes métier ont été sensibilisées à chiffrer des dossiers confidentiels qu’elles partagent sur SharePoint ou One Drive ?
Il est également indispensable de renforcer le contrôle et la surveillance, non pas de l’activité des salariés en mobilité, mais des activités qui sont effectuées sur les serveurs et dans le cloud. Le contrôle des accès doit être renforcé en appliquant le principe de « moindre privilège » afin de restreindre les droits d'accès de chaque utilisateur identifié.
Les entreprises doivent également instaurer une politique dite du « zero trust » qui consiste à « ne jamais faire confiance » et « toujours vérifier » avant d’autoriser ou de bloquer un accès aux applications et microservices de l’entreprise.
On a coutume d’insister sur la nécessité de réaliser des sauvegardes à intervalles réguliers et sur deux supports différents (un en interne et le second dans le cloud). Mais plus que la sauvegarde, c’est la restauration des données qui permet de reprendre une activité normale après une attaque. Il faut donc s’assurer que cette opération peut être faite rapidement et efficacement.
La cybersécurité est un combat de tous les jours. La rapidité de détection et de réaction est déterminante dans la capacité d’une entreprise à protéger les terminaux de ses collaborateurs en mobilité, mais aussi de ses nombreux accès. L’expertise est primordiale dans le domaine de la cybersécurité.
Par Daniel Gonzalez, Directeur des Alliances et des Solutions chez Insight
