La sécurité informatique a-t-elle une place suffisante dans la stratégie de votre entreprise ? La crise du coronavirus n’est pas que sanitaire ou économique, elle révèle les vulnérabilités informatiques voire l’importance de remettre à plat sa politique de sécurité des systèmes d’information. Les raisons ne manquent pas : travail à distance, menaces cybercriminelles, transition vers le digital…
La sécurité informatique menacée par le travail à distance
De nombreuses entreprises se sont adaptées à la période de confinement en organisant, au moins partiellement, la poursuite de leurs activités à distance.
Dans un premier temps, l’urgence a été de prendre en charge ce défi technologique complexe. L’heure est maintenant à évaluer les impacts sur le niveau de sécurité informatique.
Chaque entreprise est en effet en principe tenue de mener une analyse des risques, d’identifier les plus sensibles et prioritaires d’entre eux et d’y répondre par la mise en œuvre de mesures de sécurité techniques et organisationnelles. Or si les éléments de base d’une politique de sécurité informatique ne sont pas en place, l’activation à distance d’un poste de travail en mettra en exergue les vulnérabilités. Et elles peuvent être nombreuses dans le cas du nomadisme généralisé :
- Les attaques informatiques peuvent prendre la forme notamment d’une intrusion via les ports des postes de travail des collaborateurs ;
- Face aux menaces, les équipes de sécurité devront rester réactives alors qu’elles sont éclatées et contraintes de coopérer à distance.
La continuité d’activité fragilise la sécurité informatique
Le télétravail généralisé peut aussi inciter à des conduites à risque en matière de cybersécurité.
Au-delà de la préservation des accès à distance aux répertoires de travail courants et aux logiciels usuels (messagerie, chat…), les entreprises ont surtout dû favoriser la coopération virtuelle, par le biais de digital workplaces.
Le parc informatique interne a ainsi été enrichi, notamment par le recours à des outils de vidéoconférence dont le niveau de sécurité constitue un enjeu majeur.
Pour préserver la poursuite des projets en cours, les collaborateurs peuvent par ailleurs être tentés de jouer la facilité. Tel logiciel d’entreprise rencontre un bug ? Le VPN ne charge pas correctement ? Impossible de se connecter à la messagerie de l’entreprise ? Qu’importe. Des solutions simples d’utilisation peuvent être souscrites en ligne, quitte à fermer les yeux sur les instructions internes en matière de sécurité.
L’ingénierie sociale, moteur des attaques contre la sécurité informatique
Les entreprises doivent absolument sensibiliser les collaborateurs à l’importance de la sécurité informatique et les inciter à adopter une bonne hygiène informatique. En effet, chacun est susceptible, par sa négligence ou son ignorance, de constituer le maillon faible qui affectera l’ensemble de l’édifice.
Du reste, la peur et la volonté de bien faire pourront plus facilement pousser certains collaborateurs à réaliser des actions dangereuses, pour la sécurité des données. C’est aussi pour cela les que de nombreuses mécaniques d’attaques malveillantes tendent à exploiter les vulnérabilités humaines :
- Hameçonnage : convaincu de recevoir un e-mail d’une institution publique, voire de son employeur, un collaborateur partage ses coordonnées bancaires avec des cyberdélinquants.
- Ransomware : un collaborateur pense télécharger un bulletin de paie ou un bulletin fournisseur. En réalité, il ouvre un fichier malveillant envoyé par un pirate. Son ordinateur est rapidement infecté et entièrement crypté. L’accès aux fichiers confidentiels de l’entreprise est bloqué.
Le retard sur la conformité au RGPD aggrave la sécurité informatique
Deux ans après l’entrée en vigueur du Règlement Général relatif à la protection des données (RGPD), force est de constater que de nombreuses entreprises ne sont toujours pas conformes aux exigences européennes.
Ce retard dans la conformité laisse entrevoir des insuffisances dans la gouvernance des données. Cela augmente indubitablement la surface d’attaque par des personnes malveillantes, en lui donnant accès que l’entreprise ne devrait pas stocker :
- Parce que les données ont été collectées de façon déloyale ou sans fondement juridique valable ;
- Parce que les accès aux données ne sont pas assez restreints compte tenu des finalités poursuivies ;
- Parce que les données auraient dû être supprimées au-delà d’une certaine durée de conservation.
La notification de violations de données, une composante réelle de la sécurité informatique
Le RGPD généralise une obligation autrefois restreinte aux opérateurs : la notification des violations de données personnelles, 72h après en avoir pris connaissance.
Cette notification implique que l’entreprise se soit dotée d’une procédure décrivant notamment les étapes de gestion d’un incident :
- son identification, par les services internes, par un fournisseur ou par une source tierce ;
- sa remontée aux services compétents ;
- l’organisation d’une cellule de crise pilotant son analyse mais aussi son traitement ;
- la constitution d’un dossier de notification de la violation auprès de la CNIL ;
- l’information des personnes (collaborateurs, clients, prospects, fournisseurs…) dont les données ont fait l’objet de la violation.
Une entreprise ne disposant pas de processus efficace en la matière pourra ainsi être contrôlée par la CNIL voire sanctionnée pour défaut de notification de violation ou pour l’insuffisance de sa politique de sécurité des données.
Hôpitaux, collectivités territoriales… quand la sécurité informatique des données sensibles est menacée
Ces dernières années, les cyberattaquants se sont particulièrement intéressés à de nouvelles cibles. A côté des entreprises, le risque cyber expose désormais les hôpitaux, les collectivités territoriales à des cyberattaques.
Cet intérêt croissant s’explique non seulement par la vulnérabilité potentielle de ce type d’organisation mais encore par la sensibilité et la volumétrie des données traitées. Notamment les données à caractère personnel des patients ou administrés.
Que le poste de travail d’un ou plusieurs membres du personnel travaillant dans un hôpital ou dans une commune ait été infecté par un ransomware et l’activité de l’organisme s’en trouvera fortement perturbée.
Au-delà, ces exemples montrent la nécessité pour chaque entreprise traitant des données personnelles de cartographier les risques affectant son parc informatique. Et de prioriser la sécurisation des bases et infrastructures les plus sensibles.
La transition vers le digital et ses nouveaux risques de sécurité informatique
La digitalisation des activités fait partie des enjeux majeurs, pour les entreprises comme pour les administrations publiques. Et ce depuis plusieurs années. De ce point de vue, de nombreux auteurs anticipent déjà une accélération de cette numérisation des activités à la suite de la période de confinement.
Or la transition vers le digital génère des enjeux primordiaux en matière de sécurité informatique et de confidentialité.
- De nouveaux outils doivent remplacer d’anciens processus papiers ou les fichiers Excel d’antan. Ces outils, le CRM ou l’ERP par exemple, permettront de centraliser des processus métiers critiques et devront donc faire l’objet d’un effort soutenu de sécurisation informatique.
- La digitalisation des activités passe par une exploitation plus massive et plus efficace de la data. C’est ainsi que pour mieux personnaliser les communications publicitaires, il faut des outils de collecte de la donnée online, améliorer la collecte offline et réconcilier tout cela. CRM, DMP, CDP… les infrastructures se multiplient et chacune devra être auditée.
- La modernisation du système informatique pose tôt ou tard la question de basculer, en totalité ou partiellement, l’activité sur le cloud. Là encore, l’enjeu de sécurité est critique et portera autant sur la délimitation précise des activités qui y seront ou non déportées, le choix des fournisseurs et leur encadrement contractuel que sur la sécurité des infrastructures de stockage des données.
Télétravail généralisé, le risque sécurité informatique d’après ?
Une fois le déconfinement totalement mis en place, reviendra-t-on au monde d’avant ? Non. Certaines entreprises ont d’ores et déjà annoncé leur volonté :
- de renforcer le télétravail en interne ;
- de généraliser définitivement le télétravail;
- de l’imposer en fermant certains locaux.
Ces entreprises auront là encore d’importants défis à relever en termes de sécurité informatique.
Au-delà des cas ponctuels de travail à distance ou de nomadisme qui pouvaient déjà exister, ces entreprises devront faire face à des enjeux d’une toute autre ampleur puisqu’il faudra faire cohabiter activité dans les locaux/activité à distance voire se résoudre à des accès à distance définitifs aux bases et applications de l’entreprise par les collaborateurs.
Conclusion : la sécurité informatique a une importance primordiale
Le coronavirus aura été un révélateur des vulnérabilités des politiques de sécurité informatique de nombreuses entreprises. Mais aussi certainement un accélérateur de tendances déjà en place : la montée en puissance de la cybercriminalité et la digitalisation des activités des entreprises.
Tous ces facteurs témoignent de l’importance de remettre à plat les politiques existantes, d’instaurer les bases mais plus globalement une politique robuste qui permettra à l’entreprise de maîtriser le risque, tant lié à des attaques de pirates qu’aux exigences réglementaires, et de mieux sécuriser le patrimoine informationnel de l’entreprise. Une veille des publications de l’ANSSI est donc indispensable.
Comments (05)