Cyber-sécurité : les 3 nouveaux défis

Le besoin de cyber-sécurité n’est pas né avec la pandémie. En effet, c’est bien la transformation digitale des entreprises qui induit de nouvelles exigences pour la sécurité du fonctionnement des organisations. Au passage, c’est aussi ce mouvement entamé hier vers davantage de vitesse, de collaboration et de mobilité qui permet aujourd’hui la réactivité des entreprises face à la crise.

La cyber-sécurité est donc en première ligne aujourd’hui pour préserver l’essentiel alors que le télétravail devient une pratique de masse et que les organisations font évoluer dans l’urgence leur supply chain. Mais la situation actuelle invite aussi à une réflexion pour l’après : à la fois en intégrant de nouvelles pratiques de maîtrise des risques et en poursuivant la refonte du système d’information.

La cyber-sécurité est ainsi confrontée à trois défis :

• Préserver la capacité de fonctionner dans un contexte de forte incertitude
• Savoir passer de l’incertitude à la gestion du risque en révisant le plan de continuité d’activité
• Réduire le cyber-risque en agissant directement sur le système d’information

Défi n°1 de la cyber-sécurité : accompagner les besoins immédiats des entreprises

Sécuriser les accès distants

La nécessité des temps a conduit l’entreprise à s’organiser en urgence pour continuer son activité. Pratiqué marginalement et épisodiquement avant le confinement, le travail à distance est ainsi devenu la norme pour plusieurs millions de personnes.

Cette généralisation et cette massification du télétravail ont induit trois exigences pour les Directions des Systèmes d’Information :

• Rendre possible le travail à distance pour chacun en termes d’équipements et d’accès
• Rendre possible le fonctionnement collectif à distance en termes de gestion des flux de travail
• Maintenir la cyber-sécurité des données en flux et en stock dans ce contexte de fonctionnement à distance

Le challenge pour les équipes en charge de la cyber-sécurité est de prendre en compte l’ensemble des interactions :

• L’accès aux logiciels et aux bases de données
• Le travail collaboratif
• Les circuits de validation et de prise de décision
• La possibilité de tenir des réunions à distance
• Les enjeux de sauvegarde

Diffuser les bonnes pratiques

Les bonnes pratiques informatiques en vigueur au sein de l’entreprise s’appliquent naturellement quand le travail s’effectue à distance :

• Vigilance par rapport aux courriels douteux
• Utilisation de mots de passe, longs, complexes et différents sur tous les équipements utilisés
• Protection des accès et mise en place de mécanismes d’authentification forte
• Sauvegarde des données

Mais le télétravail confiné est un mode particulier du travail en mobilité. La cyber-sécurité se doit d’anticiper d’éventuels mésusages liés à la localisation domestique et à la proximité familiale :

• Obligation d’utiliser les moyens informatiques mis à disposition par l’entreprise lorsqu’ils existent : matériel et connexion VPN
• Réservation de l’usage de ces moyens à une utilisation professionnelle
• Sensibilisation de son entourage au risque en cas de transgression de cette règle
• Mises à jour de sécurité sans délai des équipements utilisés si ce sont des équipements personnels

Enfin, les équipes en charge de la cyber-sécurité ont aussi à intégrer d’autres publics dans leur démarche de mise en alerte, eux aussi en télétravail et eux aussi en interaction avec certaines données de l’entreprise :

• Les fournisseurs
• Les partenaires et prestataires : banque, assurance, maintenance
• Les clients

Se protéger des nouveaux risques

Selon l’éditeur de solutions de logiciels de protection des courriels Proofpoint¹, « le volume d’attaques liées au Coronavirus est devenu le leurre à phishing le plus utilisé depuis des années, voire depuis toujours. »

Clairement, la priorité donnée à la réactivité et à la continuité du fonctionnement de l’organisation est susceptible de créer de nouvelles failles.

La cyber-sécurité doit faire preuve d’une vigilance renforcée pour protéger les données de l’entreprise :

• Mise en échec des tentatives d’escroquerie
• Barrage aux virus susceptibles d’accéder au système d’information de l’entreprise en passant par le réseau privé des télétravailleurs
• Sécurité physique des lieux désertés pour éviter les intrusions dans les systèmes et dans les serveurs

La cyber-sécurité doit en outre adapter ses pratiques à un fonctionnement d’entreprise renouvelé, et parfois totalement transformé :

• Recomposition des équipes, de nouveaux interlocuteurs découvrant dans l’urgence les protocoles de validation et de contrôle
• Dispersion des équipes, avec une partie demeurée en poste et une partie en télétravail
• Nouvelles collaborations : fournisseurs, clients, partenaires, logisticiens
• Nouveaux modèles économiques : drive, vente en ligne, click and collect
• Nouveaux types de fabrications, de référencements, de logistique, de partage de la valeur
• Extension du système d’information à des stocks déportés

Défi n°2 de la cyber-sécurité : enrichir le plan de continuité d’activité

Les moyens de la cyber-sécurité ont vocation à se porter en priorité sur la situation actuelle. En effet, le confinement n’a débuté que depuis quelques semaines et le retour à la normale reste une perspective encore lointaine et accompagnée de nouvelles incertitudes.

Pour autant, cette focalisation sur le défi de la réponse aux besoins immédiats n’empêche pas de consigner les enseignements au fur et à mesure de leur émergence.

À ce stade de la réflexion, quatre chantiers méritent certainement d’alimenter le référentiel du plan de continuité d’activité. Le chapitre de la cyber-résilience de l’entreprise doit ainsi faire davantage de place aux impératifs suivants :

• Permettre à 100 % des collaborateurs d’accéder à distance aux serveurs de l’entreprise par un réseau virtuel sécurisé (VPN), avec une double authentification lors de la connexion au réseau
• Doter les collaborateurs susceptibles de fonctionner en télétravail d’un kit complet : ordinateur portable, écran externe, téléphone mobile, qui permette d’imposer l’étanchéité personnel/professionnel
• Disposer d’une cellule d’accompagnement capable de prendre en charge les problèmes et incidents rencontrés par les collaborateurs en télétravail
• Maintenir en toute hypothèse à un nombre restreint de personnes identifiées l’accès sécurisé aux données vitales de l’entreprise ; en particulier, conserver la main sur la gestion des mouvements financiers

Défi n°3 de la cyber-sécurité : renforcer l’architecture du système d’information

L’innovation digitale vient évidemment apporter des réponses nouvelles en matière de cyber-sécurité. Notre propos est de présenter ici deux modalités de sécurisation du système d’information par l’amont.

Le Cloud

L’informatique exploitée dans le Cloud est conçue dès l’origine pour que chacun accède aux données et aux outils de n’importe où en toute sécurité, grâce en particulier à la mutualisation entre tous les clients du coût des mesures de protection.

C’est pourquoi la cyber-sécurité se trouve nativement renforcée par le Cloud dans un contexte d’urgence tel que celui que nous connaissons. Mais ce n’est pas la seule raison :

• Le Cloud est un levier d’agilité : il donne à l’organisation la souplesse requise en termes de bande passante comme de nombre d’utilisateurs
• Les solutions SaaS proposent une expérience utilisateur intuitive ; la reconfiguration des équipes en urgence est moins problématique du point de vue de la continuité d’activité
• Les solutions SaaS sont standard et déployées sur tous les continents
• Le Cloud est de plus en plus accessible.

Pour renforcer encore la cyber-sécurité du Cloud, des référentiels de contrôle extrêmement stricts permettent d’évaluer les acteurs de manière indépendante. Le standard international ISAE 3402 garantit aux entreprises un niveau de sécurité maximal pour l’externalisation de leurs opérations dans le Cloud.

Les logiciels de nouvelle génération

Les solutions de dernière génération ajoutent à la souplesse et à la sécurité natives du Cloud des caractéristiques propres, dans une logique de plateforme collaborative et ouverte.

Pour dire les choses simplement, une plateforme de dernière génération met les données et les ressources de l’entreprise hors de portée des attaques. Exploitée dans le Cloud, une telle solution centralise, organise et distribue les données en toute étanchéité pour le périmètre auquel elle est destinée.

Une plateforme de dernière génération apporte quatre certitudes à la cyber-sécurité :

• La capacité à fonctionner avec des effectifs réduits, à la faveur de son niveau élevé d’automatisation des processus
• La capacité à partager des informations et à prendre des décisions sur la base d’indicateurs très visuels, effaçant toute ambiguïté d’interprétation
• La possibilité d’absorber avec une grande réactivité des modifications dans le fonctionnement de la supply chain, à travers l’ajout rapide de fonctionnalités, la redéfinition de processus ou l’ouverture par plug and play à d’autres applicatifs
• Le fait que la collaboration des utilisateurs s’effectue à travers l’outil

En conclusion, la cyber-sécurité devient la sécurité tout court dans un contexte de transformation digitale et de virtualisation des opérations.

La cyber-sécurité agit à deux niveaux :

• La protection des données et des actifs en général de l’entreprise
• Le maintien, y compris dans des contextes de fonctionnement profondément inhabituels, des circuits de communication et de la capacité à agir et à décider

Le professionnalisme des équipes en charge de la cyber-sécurité, à la fois dans l’anticipation de ce qui pouvait l’être et la réactivité face à l’inédit, mérite d’être salué.

Pour demain, ce professionnalisme enrichi des enseignements de la cyber-sécurité d’urgence sera utilement investi dans deux chantiers :

• La révision du plan de continuité d’activité
• La diminution des risques grâce à la poursuite de la transformation digitale

Dans cette perspective, il faut considérer la cyber-sécurité pour ce qu’elle est : non pas une contrainte mais une aide à la transformation réussie des organisations.

¹Pas de trêve pour les cyberattaques – Les Échos/25 mars 2020