Article

COVID-19 : le risque cyber décuplé

Pourquoi les entreprises doivent améliorer leur gestion des risques cyber ?

La pandémie de covid-19 impacte fortement l’activité des entreprises et la vie de tous nos concitoyens. La période exceptionnelle de confinement quasi-total, de fragilité des entreprises, est une aubaine pour les pirates informatiques et nous notons une recrudescence des attaques. Comment assurer et sécuriser la continuité de services dans un contexte de confinement ? Comment maintenir un niveau de sécurité élevé avec le télétravail ?

Ce sont autant de problématiques essentielles qu’il conviendra de régler dans les prochains mois. La crise exceptionnelle devrait permettre de rééquilibrer les investissements en termes de continuité de services et de sécurisation du SI dans des situations non nominales. C’est la survie des entreprises qui est en jeu.

« Celui qui excelle à résoudre les difficultés le fait avant qu'elles ne surviennent », rappelle Sun Tzu dans L'Art de la guerre. Cette citation peut, et doit, s’appliquer en période de crise. Surtout lorsqu’une crise est aussi extraordinaire que celle que nous connaissons actuellement avec la pandémie de covid-19.

Dans la majorité des cas, nous « subissons » cette crise. Aucun professionnel n’est à blâmer. Mais combien d’organisations ont-elles envisagé tous les scenarii possibles ? Pourtant, anticiper les risques doit faire partie de leur ADN. Quand on envisage un risque, on prend en compte son impact, mais aussi sa probabilité.

Anticiper pour mieux résister

Les entreprises doivent donc intégrer les pandémies et les cybermenaces dans leur gestion des risques, au même niveau que le terrorisme, les enlèvements de collaborateurs, les catastrophes naturelles…

Le RGPD impose « la security by design », mais ce principe doit aussi s’appliquer au « Risk Management » afin de limiter les effets dominos d’une crise ou d’une cyberattaque. La crise actuelle doit nous inciter à plus d’humilité. Nous devons reconnaitre qu’il y a des actions et des événements qui ne dépendent pas de nous ni de notre entreprise, et devons donc les accepter avec un peu plus de philosophie. Mais nous devons aussi être mieux préparés.

La pandémie du nouveau coronavirus oblige à envisager les pires scenarii. Le fait d’avoir anticipé et accepté une situation, à un moment où elle ne paraissait pas tangible, est une attitude qui permet de mieux résister.

En amont d’une crise, les entreprises doivent commencer par identifier les activités indispensables à leur survie ou qui constituent l’essence même de leur activité. Il convient ensuite d’étudier leur duplication dans un cadre privé. Mais, certaines activités ne sont pas forcément transférables pour des raisons de sécurité. Et c’est plus gênant.

En situation de crise et dans un mode dégradé, il sera peut-être nécessaire de mettre certaines activités au ralenti afin de ne pas surexposer le SI. D’où la nécessité de prioriser les processus en commençant par ceux qui sont vitaux (activités pouvant mettre à mal l’existence même d’une entreprise si elles sont interrompues) puis ceux qui sont essentiels.

Ne pas augmenter la surface d’attaque

Une fois cette catégorisation établie, il est possible de s’attaquer aux problématiques techniques et cyber. Différentes questions doivent être abordées. Si l’on se réfère à la situation actuelle, comment peut-on assurer et sécuriser la continuité de services dans un contexte de confinement ? Comment maintenir un niveau de sécurité élevé avec le télétravail, c’est-à-dire un cadre qui n’est pas usuel, hors des murs de l’entreprise ?

L’objectif prioritaire est de ne pas augmenter la surface d’attaque. Il convient de gérer les flux de point à point. Différentes mesures techniques doivent être déployées et généralisées : VPN, outils sécurisant les terminaux des collaborateurs en télétravail, double authentification, logiciels surveillant les activités en périphéries du SI…

Mais il ne faut pas négliger le facteur humain. En période de crise et en mode dégradé, il est indispensable de faire preuve de pédagogie. C’est une évidence pour les experts en cybersécurité.

Pas pour tous les collaborateurs confrontés pour la première fois au télétravail.

On ne travaille pas de la même manière à la maison que dans un milieu clos et contrôlé comme le SI de son organisation. Pourtant, la petite bulle de sécurité dont bénéficient les salariés au bureau doit être reproduite à leur domicile. Les risques sont multiples.

Rationaliser les investissements

Des scenarii, qui pourraient prêter à sourire, sont pourtant envisageables. L’écran d’ordinateur peut être visible et accessible par de nombreuses personnes vivant sous le même toit. Connecté à WhatsApp, un membre de la famille peut filmer, plus ou moins inconsciemment, cet écran et diffuser le contenu sur l’internet. Le Wi-Fi domestique peut être également piraté pour accéder au terminal de l’utilisateur et par suite au SI de l’entreprise, ou pour voler des informations critiques stockées en local. Encore une fois, tous les scenarii de compromission doivent être envisagés.

Rappelons aussi que plus de 60 % des cas d’attaque interne signalés sont le fait d'employés négligents, selon une étude de Proofpoint parue début 2020. Un constat confirmé par le Baromètre de la cybersécurité des entreprises. Publié par le CESIN en janvier dernier, il indique que le cyber-risque le plus répandu est la négligence et/ou l’erreur de manipulation ou de configuration d’un collaborateur.

Cette crise aura inévitablement un aspect vertueux. De nombreux travaux de réflexion menés par des RSSI et d’autres experts permettront de mieux anticiper les risques pouvant impacter les processus vitaux.

La cybersécurité est un puits sans fond ; il faudra donc rationaliser les investissements sur les activités critiques, anticiper et sensibiliser. La prise de conscience devra être globale pour assurer la pérennité de l’organisation.

 

Directeur
Gregory Mauguin Rencontrez Gregory