Cybersécurité et coronavirus

CYBERSÉCURITÉ
Temps de lecture : 9 minutes
Pour retrouver tous nos contenus liés au COVID-19, rendez-vous sur notre Hub :
https://experiences.microsoft.fr/nos-actions-covid19/

 

Bernard OURGHANLIAN
Directeur Technique et Sécurité chez Microsoft France – Paris, FRANCE

Bernard Ourghanlian a rejoint Microsoft France en 1999 au poste de Directeur Technique. A ce titre, il a la responsabilité de la conduite globale de la stratégie de Microsoft en France, en matière de technologie et de sécurité. Il est également administrateur du Syntec Numérique et de l’Université de Paris Sud.

 

Le dernier numéro de Courrier International paru le 26 mars titrait « Repenser le Monde ». La pandémie, le choc économique qu’elle engendre, le bouleversement de nos vies, nous amènent à nous interroger sur le prix et le sens de la vie mais aussi sur la fragilité de notre système socio-économique.

Le Covid-19 présente également de nouveaux défis pour les entreprises qui doivent tout à la fois sécuriser le travail à distance à des échelles qui n’avaient jamais été expérimentées auparavant mais aussi préserver la confidentialité, l’intégrité et la disponibilité d’un système d’information confronté à de nouveaux usages. En effet, bien souvent, les systèmes d’informations avaient été conçus comme autant de châteaux forts, les « bons » étant protégés par les douves et le pont-levis constitués par les pares-feux et autres Proxies, les « méchants » étant repoussés au-delà d’un périmètre parfaitement maitrisé et connu. L’irruption de la mobilité dans ce monde qui semblait figé dans le temps et dans l’espace avait commencé à entrouvrir des brèches dans ce modèle bien ordonné, mais bien souvent à travers un recours massif à la mise en place de dispositifs tels que les VPN (Virtual Private Network) pour protéger le trafic en provenance de l’extérieur, VPN qui se sont trouvés incapables de faire face à l’explosion du trafic réseau à la suite de la généralisation du travail à distance.

Il semble d’ores et déjà acquis qu’il y aura un avant et un après de cette crise, non seulement sur les plans sociétaux et géopolitiques, mais aussi sur le plan de l’architecture de la sécurité des systèmes d’information. En attendant, comme il faut que les systèmes d’informations continuent d’opérer pendant la crise afin de servir les besoins métiers des entreprises et des services publics, voyons ensemble quels sont les sujets liés à la cybersécurité auxquels il faut s’attacher en priorité afin de permettre aux collaborateurs et aux agents de travailler en sécurité depuis chez eux, tout en assurant la continuité du business. On pourrait ne s’attacher qu’aux seuls éléments de nature technologique, suivant ainsi la croyance encore par trop répandue selon laquelle il suffit de rajouter nouvel outil de sécurité « à la mode » pour résoudre ses problèmes de sécurité informatique ; dans la réalité, la cybersécurité fait appel à un triptyque intangible : technologie, processus et facteur humain.

La sécurité axée sur l’identité

Protégez vos employés en offrant une place centrale à l’identité dans votre entreprise grâce à Enterprise Mobility + Security, la solution de sécurité intelligente de Microsoft.

Télécharger

Technologie

En cette période troublée, certaines actions sont encore plus indispensables qu’avant la crise. En effet, les attaquants, quels qu’ils soient, ont beau jeu d’utiliser la faiblesse technique des systèmes d’information mise en évidence par de nouveaux scénarios d’usage, mais aussi la fragilité psychologique qui s’installe nécessairement chez les défenseurs qui s’inquiètent pour leur santé et celle de leur famille. Parmi ces actions :

- Continuer de patcher les systèmes : accélérer le cycle de mise à jour des systèmes, en particulier pour les serveurs les plus critiques mais également sur l’ensemble des postes de travail. Pour cela, il faudra nécessairement renforcer de manière substantielle les capacités des VPN ou accepter la correction en direct sur internet des postes de travail à la maison afin de les patcher.

- Apporter une attention particulière à la mise en œuvre d’une certaine forme créative de Shadow IT par les utilisateurs et les métiers dans leur volonté bien compréhensible de pallier les difficultés auxquelles les organisations et les administrations font face pour mettre en place, par exemple, de nouveaux moyens de collaboration, notamment le chat et la vidéo à distance qui n’avaient bien souvent pas été pensés avant la crise comme autant de briques essentielles de la continuité des opérations.

- Surveiller avec encore plus de vigilance le cycle de vie et la qualité des identités des utilisateurs au sein du système d’information. Trop d’attaques récentes ont été rendues possibles grâce à une multiplication inutile des comptes privilégiés au sein du système d’information ou à une faiblesse coupable dans l’utilisation de mots de passe faibles, incapables de résister plus de quelques secondes à une attaque par dictionnaire de mots de passe. Dans un monde où le périmètre de sécurité du système d’information n’existe plus – car tout le monde travaille depuis la maison – l’identité devient le dernier rempart de la sécurité du système d’information. Il convient donc de la protéger coûte que coûte.

- Déployer largement des solutions d’authentification multi-facteurs. Les collaborateurs distants devraient avoir l’obligation de recourir à un tel dispositif pour accéder à des systèmes d’information critiques car les attaques de phishing sont de mieux en mieux exécutées et de plus en plus dévastatrices (c’était déjà le cas avant l’irruption du Covid-19 avec de nombreuses attaques de rançongiciels qui ont été perpétrées grâce au phishing et à l’ingénierie sociale). De nombreuses solutions de ce type sont disponibles dans le Cloud et sont faciles à déployer à grande échelle. Celles-ci permettent de ne plus utiliser de mots de passe traditionnels pour se connecter au système d’information et donc d’éviter de très nombreux scénarios d’attaques classiques.

- Déployer largement des solutions efficaces de lutte contre le phishing permettant notamment de forcer la vérification des URL sur lesquels cliquent les utilisateurs à la maison. Ceci peut se traduire par la réécriture de ces URLs associée à un mécanisme de « détonation » qui permettra l’accès à des URLs potentiellement malveillants depuis un bac à sable, donc depuis une zone sans danger pour le système d’information.

- Accélérer la mise en place de la virtualisation des postes de travail afin de permettre l’accès à certaines applications sensibles ou impossibles à faire tourner sur des postes de travails classiques tels que ceux que l’on peut trouver à la maison (par exemple, la CAO qui nécessite des cartes graphiques puissantes). Ici aussi, il existe de nombreuses solutions de virtualisation des postes de travail dans le Cloud.

  • Gestion de la sécurité de Microsoft 365

    Découvrez les différentes fonctions et solutions qui peuvent aider les entreprises à obtenir la visibilité, le contrôle et les conseils dont elles ont besoin pour gérer leur sécurité.

    En savoir plus
  • Processus

  • Sans vouloir chercher à tirer à chaud un premier bilan de la crise, force est de constater que la plupart des entreprises, y compris les plus grandes, étaient bien peu préparées à une crise d’une telle ampleur. En particulier, la plupart des systèmes d’information étaient bien peu prêts à permettre le travail depuis la maison (on a déjà parlé plus haut des VPN et de leurs limitations). Sur le plan des processus, certains de ceux-ci ont été défaillants dans de nombreuses entreprises. D’où la nécessité de :

- Mettre en place une cellule de crise opérationnelle se réunissant au moins une fois par jour afin de traiter de tous les problèmes de sécurité, non seulement informatiques mais aussi physiques, et liés à la santé des collaborateurs. Cette cellule de crise doit aussi veiller à la disponibilité et à la performance du système d’information telles que perçues par les utilisateurs.

- Mettre en place des outils et une véritable culture de collaboration à distance. Ceci est également vrai pour la cybersécurité, où bien peu d’entreprises avaient prévu ce qui allait se passer quand leur SOC (Security Operation Center) interne ou externalisé ne pourrait plus fonctionner tel quel car leurs opérateurs seraient confinés chez eux.

- S’assurer de la mise en œuvre de procédures de sauvegardes sécurisées et testées. De nombreuses entreprises ont dû, lors d’attaques très récentes de rançongiciels, faire face à la destruction par chiffrement de toutes leurs sauvegardes qui étaient connectés en ligne au système d’information. En période de pandémie où la plupart des entreprises souffrent énormément sur le plan économique, se retrouver sans aucune sauvegarde ne pourrait qu’accélérer le dépôt de bilan de l’entreprise. Il est donc vital de disposer de sauvegardes déconnectées du système d’information, déposées en lieu sûr et accessibles, et de tester régulièrement la qualité de ces sauvegardes et la capacité de les utiliser pour redémarrer.

- S’assurer du caractère opérationnel de sa gestion d’incidents de sécurité ainsi que de ses plans de continuité et de reprise en cas de désastre. Si l’on imagine une entreprise pour laquelle l’accès à son Datacenter n’est plus possible en raison de mesures d’urgence prises par la police afin de rendre inaccessible un quartier contaminé, il est important de s’assurer que son Datacenter de backup est bien opérationnel et qu’il sera possible de basculer les opérations sur ce dernier. Ceci nécessite de tester ses plans de reprises régulièrement.

- Etendre la surveillance en matière de cybersécurité. Dans la mesure où l’on peut d’ores et déjà voir une augmentation significative des cyberattaques, il faut se rendre compte que la plupart des moyens traditionnels de sécurité qui ont été établis dans une logique périmétrique sont battus en brèche par la généralisation des connexions des collaborateurs à distance. Ainsi, les protections à la périphérie tels que les pares-feux, les IDS, IPS, les Proxies ou autres Web Gateways ou Web Application Firewalls ne permettent en rien de protéger les utilisateurs à la maison. Il est donc nécessaire de mettre au plus vite en place un dispositif d’EDR (Endpoint Detection and Response) si tel n’était pas déjà le cas afin d’améliorer la capacité de l’organisation à détecter les problèmes sur les postes de travail et à y répondre. Les entreprises et les organisations devront également mettre à jour les règles mises en œuvre sur leur SIEM (Security Information and Event Management) car la plupart de celles-ci ont généralement été pensées dans une logique où les accès à distance étaient minoritaires. Une telle mesure devrait aider les personnels en charge des opérations du SOC.

- S’assurer que la rigueur des procédures de vigilance assurées en général par les services achats restent en place afin d’éviter que, dans le stress et l’urgence de la gestion de crise, il soit malheureusement fait appel à des sous-traitants peu scrupuleux ou à l’achat de solutions peu performantes voire même dangereuses.

- S’assurer que l’ensemble des sous-traitants ou opérateurs de services ont le bon niveau en termes de réponse sur incident et qu’ils disposent eux-aussi d’un plan de continuité et de reprise en cas de catastrophe afin de ne pas risquer de dépendre d’un fournisseur qui ne pourrait pas démontrer son professionnalisme en la matière.

Inscrivez-vous à notre newsletter

Conseils d’experts, témoignages clients, études… Découvrez tous les mois tous les contenus clés pour vous tenir au courant de l’actualité numérique de Microsoft et de son écosystème !

S’inscrire
  • Facteur humain

  • Dans un tel environnement, comme on l’a déjà souligné plus haut, le personnel est soumis à stress sans précédent. Or les femmes et les hommes de l’organisation seront en première ligne lorsqu’ils seront soumis à une attaque de phishing ou à des attaques d’ingénierie sociale particulièrement imaginatives. Il est donc capital de s’appuyer sur le capital humain pour ériger la première ligne de défense en matière de cybersécurité. Et notamment :
  • - Augmenter la sensibilisation des collaborateurs ou des agents à l’ingénierie sociale (phishing classique à travers des courriels mais aussi à travers la voix, la vidéo, les appels téléphoniques, etc.). Pour cela, des simulations spécifiques autour du thème de la pandémie du Covid-19 pourront être organisés à travers des webinaires ou, mieux, encore à travers des exercices interactifs à distance mobilisant audio et vidéo. Il est important que ces exercices contextualisent le cas de la pandémie et l’utilisent afin de simuler des attaques.
  • - Faire bien attention à la qualité et la pertinence de sa communication interne. Bien entendu, les attaques de phishing ou autres utiliseront le thème de la pandémie pour essayer de tromper leurs victimes. Il peut donc être pertinent de mettre en place une procédure spécifique de communication vers l’ensemble des collaborateurs qui systématise la mise en place d’un acquittement des messages d’urgence reçus afin d’éviter que les collaborateurs ne se précipitent pour réaliser quelque chose qu’ils n’auraient pas dû faire.
  • - Focaliser son attention et sa surveillance sur des utilisateurs ou des groupes d’utilisateurs « à risque » et notamment sur ceux qui ont besoin d’utiliser des privilèges d’administration (dans un tel cadre, la mise en place d’une sécurité renforcée avec l’interdiction d’accès à Internet sur le poste de travail des administrateurs est un conseil de sagesse) mais aussi ceux qui, de par la nature de leur travail, doivent manipuler des informations sensibles, par exemple relatives à la vie privée ou aux résultats financiers de l’entreprise.

Ces quelques conseils ne sauraient prétendre à une quelconque exhaustivité et ne constituent que quelques suggestions en des temps bien difficiles. Cette crise, pour faire écho à l’introduction de ces quelques lignes, nous amènera peut-être à repenser le monde, je n’en sais rien, même si je l’espère en secret. Je suis persuadé qu’à tout le moins, elle nous aidera à repenser la sécurité de nos systèmes d’information et qu’elle les aidera à sortir enfin d’un certain moyen-âge dont j’évoquais l’image emblématique des châteaux forts plus haut. Pour entrer résolument dans la Renaissance…

Pour retrouver tous nos contenus liés au COVID-19, rendez-vous sur notre Hub :
https://experiences.microsoft.fr/nos-actions-covid19/
close popup close popup

Inscrivez-vous à notre newsletter mensuelle

Le Best-Of de nos articles tous les mois

Je m'inscris