winyu - stock.adobe.com

Covid-19 : après un passage brutal au télétravail, l’heure est à la reprise de contrôle

Toutes les DSI n’ont pas été affectées de la manière par les mesures de confinement. Mais nombre doit désormais reprendre la main sur des mesures d’ouverture exceptionnelles. Tout en se préparant à faire perdurer une nouvelle organisation du travail.

Les équipes de Wavestone commencent à avoir un certain recul sur la manière dont les entreprises ont abordé la mise en place du confinement mi-mars, dans la perspective de leur système d’information. Mais elles commencent déjà aussi à observer l’après qui se prépare.

Gérôme Billois, directeur de la practice Cybersécurité de Wavestone, distingue tout d’abord trois profils d’entreprises – ou d’entités au sein des plus grandes – : les modernes, les classiques, et les réfractaires.

Pour les premières, la situation peut être relativement simple : « elles sont déjà passés largement au Cloud, notamment pour la bureautique, avec Office 365. Et les populations sont majoritairement équipées d’ordinateurs portables ». Surtout, le télétravail, ne serait-ce que partiel, existait déjà. Mais pas question d’imaginer sa généralisation sans heurts, « notamment pour l’impression ». Dans certains cas, l’utilisateur des ports USB a pu être autorisée, ou des droits d’administration ont pu être temporairement accordés pour l’installation des pilotes d’une imprimante personnelle. Mais dans l’ensemble, ces organisations « ont continué à travailler presque normalement ». Et puis les DSI, « pas trop débordés », ont pu suivre les dérogations mises en place et conserver une assez bonne visibilité. De quoi aborder la suite de manière fluide.

Les organisations du type « classiques » ne sont pas dans une aussi bonne posture. « La plupart avait déjà franchi le cap du télétravail, mais pas de façon massive », décrit Gérôme Billois. « Là, l’enjeu numéro a été la disponibilité, avec des VPN qui ne tiennent pas la charge », en particulier. Très tôt, les équipementiers évoquaient d’ailleurs l’afflux exceptionnel de requêtes.

Des situations préoccupantes

Mais il a aussi pu falloir « désactiver des solutions d’authentification forte par manque de licences », ou encore autoriser des collaborateurs à utiliser leur ordinateur personnel, faute d’équipement généralisé en portables. Mais tout cela n’est pas anodin : « on parle d’entreprises qui interdisaient l’accès externe à des applications métiers, parfois sensibles. Là, nous avons vu des pans entiers de règles de pare-feu désactivées pour permettre la continuité de l’activité ». De quoi faire augmenter sensiblement le risque.

Mais là encore, il y a pire, avec les « réfractaires », des organisations avec très peu d’utilisateurs en télétravail : « nous avons vu de tout, jusqu’à des services RDP exposé en direct sur Internet, des VPN montés dans la précipitation, avec des authentifications par mot de passe statique distinct de celui du compte dans l’annuaire, etc. ». Pour Gérôme Billois, c’est bien simple : « ces organisations sont vraiment à risque. Et cela d’autant que, souvent, le système d’information est relativement ancien et donc déjà fragile ».

Pour lui, les organisations qui ne sont pas passées au collaboratif en mode Cloud sont finalement celles qui ont rencontré le plus de difficultés. Et d’évoquer des « micro-analyses de risque », dans l’urgence, pour des RSSI voulant évaluer rapidement la posture de sécurité de services que la DSI envisageait d’autoriser ».

Et des cas encourageants

Mais les équipes de Wavestone ont également observé des effets positifs, Gérôme Billois faisait état de « nombreuses campagnes de sensibilisation lancées en urgence », mais aussi de RSSI ayant réussi à saisir l’opportunité pour « durcir un peu leur environnement ». Et de citer en exemple « l’application de correctifs en urgence avant le confinement », ou encore « l’achat accéléré de licences pour des systèmes d’authentification forte qui n’étaient qu’en test et ont été généralisés à cette occasion ».

Attention, toutefois, ces cas restent « une minorité ». Et globalement, « au mieux, les dérogations aux règles de base ont été suivies »… Globalement, Gérôme Billois estime que, pour beaucoup, il va être « difficile de savoir ce qui s’est passé pendant la période… les équipes de cybersécurité peuvent avoir elles-mêmes rencontré des difficultés d’organisation, comme les autres. Sans compter les personnes malades ».

Mais il faut déjà penser à l’après. « Dans la tête de tout le monde, le télétravail va perdurer au moins jusqu’à l’automne/la fin de l’année ». Notamment poussé des volontés de réduction des coûts. Ce qui va entraîner des réflexions autour de technologies comme la signature électronique, notamment.

Reprendre la maîtrise du SI

Dans l’immédiat, la priorité est à la reprise de contrôle, avec l’assainissement de la situation. Autrement dit : revoir toutes les dérogations qui ont pu être accordées en phase de mise en place du confinement. Mais aussi reprendre le contrôle sur les données et, pour cela, « bien collaborer avec les utilisateurs ». L’assainissement, c’est aussi l’application de correctifs qui ont pu être laissés en attente de peur de casser quelque chose, ou encore évaluer les applications adoptées en urgence pour décider lesquelles à conserver et lesquelles à bannir.

Et puis il va convenir de « relancer des processus qui ont été temporairement arrêtés », comme les tests d’intrusion – de peur, encore une fois, de risquer de faire tomber des services –, ou encore l’accompagnement sécurité des projets.

Surtout, « il va falloir enquêter. Partout où la surveillance a pu être relâchée, il faut s’assurer que le ver n’est pas entré dans le fruit en passant inaperçu. Et donc à posteriori, il va falloir regarder les logs pour s’assurer qu’il n’y a pas eu d’intrusion », relève Gérôme Billois.

Anticiper des sur-crises

La crise sanitaire mériterait aussi d’être l’occasion de réfléchir aux processus de gestion de crise… cyber. Gérôme Billois fait état de deux missions soulevant la question de la continuité de l’activité des équipes de cybersécurité et de réponse à incident : « comment gérer, en confinement, une attaque destructrice de type ransomware ? » Les témoignages de DMC et de l’Afpa pourrait s’avérer là éclairants. Mais la question est loin d’avoir une réponse triviale : « comment mettre à profit une expertise et des compétences réparties un peu partout ? Et puis comment organiser la réponse si tous les PC des collaborateurs sont bloqués chez eux ? Si le matériel d’investigation est sous clé dans les bureaux à la Défense ? » Les questions de l’accès à l’infrastructure concernée, de l’assistance aux utilisateurs sont là considérables. Et les réponses ne sont pas encore là.

L’anticipation de crises dans la crise fait donc son chemin dans les esprits. Mais la priorité est donc à la reprise de contrôle sur le SI et les données. Et certains regardent donc déjà plus loin, anticipant des coupes budgétaires « pour ne pas avoir à subir un choix fait en deux jours ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)