Le contexte actuel de crise sanitaire met à rude épreuve la capacité de résilience des entreprises. La pandémie du COVID-19 a contraint les entreprises à s’adapter très rapidement afin de protéger leurs collaborateurs et d’assurer la continuité des activités. Toutefois, parmi la multitude de mesures de sécurité mises en place, peu d’organisations ont intégré à leur gestion de crise la composante cybersécurité afin de préserver leurs actifs informationnels, et surtout leurs capacités opérationnelles vitales. Pourtant, le nombre bondissant de cyber-attaques depuis le début de la crise et la mise en place des mesures de distanciation sociale comme le télétravail, en passe de devenir le nouveau mode « standard » d’organisation du travail, tant qu’un vaccin ou un traitement efficace n’est pas mis au point voire même au-delà, sont autant de facteurs qui rendent essentielle la revue approfondie des dispositifs de cybersécurité des entreprises.
- En effet, les cyber-attaques s’enchaînent à travers le globe en exploitant des failles de sécurité liées principalement à la désorganisation causée par la pandémie. Dès le début du confinement en France, les attaques de type phishing se sont multipliées, à travers des liens vérolés proposant à la vente des masques FFP2 ou du gel hydroalcoolique, en pénurie à ce moment-là, ou mettant à disposition une version téléchargeable *.pdf de « l’attestation de déplacement dérogatoire ». Aussi, à cause du confinement, les applications de visioconférence se sont retrouvées prises d’assaut, que ce soit pour le télétravail, l’école à distance, les réunions familiales ou les apéritifs virtuels entre amis. Certaines plateformes, telles que Zoom, sont victimes de leurs succès. En effet, la plateforme américaine avait atteint les 300 millions d’utilisateurs mais enchainait les problèmes de sécurité telles que le Zoombombing qui permet une intrusion inopinée pour perturber la conférence (injures, harcèlement, diffusion de contenus inappropriés, etc.).
La Secrétaire Générale Adjointe aux affaires de désarmement des Nations Unies a déclaré récemment qu’une cyber-attaque a lieu toutes les 39 secondes dans le monde, selon les observations de son Organisation. Des attaques plus sophistiquées, de type ransomware ou DDoS par exemple, sont de plus en plus fréquentes et ciblent massivement les secteurs sous tension en cette période. La violation de données sensibles survenue tout récemment chez la plus grande entreprise nippone de télécommunications, ainsi que le détournement des supercalculateurs d’universités européennes pour du crypto mining en sont la parfaite illustration.
Face à l’accroissement de la Cybermenace et à l’augmentation de la surface d’attaque, il est primordial que les entreprises renforcent leur cybersécurité à l’aide de mesures adaptées, telles que :
La conduite de campagnes de sensibilisation ciblées, notamment autour des attaques de phishing, social engineering, fraude au président et risques induits par l’utilisation d’outils non-recommandés par l’entreprise ;
La définition d’une procédure utilisateur pour la gestion des incidents de sécurité claire et adaptée au contexte exceptionnel ;
La réduction du délai de renouvellement des mots de passe, évidemment robustes et uniques. Cette mesure est d’autant plus essentielle si l’entreprise ne dispose pas de Single Sign-on (SSO), cas de figure dans lequel les utilisateurs auront tendance à réutiliser le même mot de passe pour plusieurs applications et plateformes ;
La mise-en-place d’un Helpdesk compétent sur les sujets de cybersécurité avec des fiches réflexes dédiées, pour une prise en charge rapide des demandes urgentes ou complexes, notamment celles relatives à la gestion des accès et habilitations ;
L’utilisation de solutions de visioconférence sécurisées, propres à l’entreprise et de préférence recommandées par l’ANSSI ou un autre organisme certificateur ;
L’utilisation systématique d’une solution d’accès VPN propre à l’entreprise, idéalement [IKEv2/]IPsec ou TLS à défaut, pour sécuriser l’accès au réseau interne et aux applications de l’entreprise ;
La mise en place de mécanismes d’authentification multi facteur (MFA) pour limiter les risques d’usurpation d’identité ;
Le durcissement des règles de proxy, au strict nécessaire. En effet, les collaborateurs qui travaillent depuis leurs domiciles peuvent consulter les plateformes relevant de leurs usages extra-professionnels depuis leurs équipements personnels. Une extension de la liste des sites ou mots-clés en “liste noire”, permettra de centrer l’utilisation des outils d’entreprise autour d’un usage strictement professionnel, et réduira de fait les risques de compromission. De même, il est conseillé de limiter au maximum le téléchargement de fichiers externes au Système d’Information de l’entreprise ;
Le renforcement du monitoring et de la sécurité des connexions distantes, afin que tout échange de données liées à l’entreprise soit sécurisé. Pour cela, il convient, entre autres, de réduire le délai d’expiration automatique des sessions utilisateurs inactives. Pour les entreprises autorisant le BYOD, il convient, autant que possible, de mettre en place des environnements VDI, auxquels la connexion se fait exclusivement via une authentification forte ;
L’application rapide des mises à jour de sécurité et la création de procédures de patch management adaptées aux problématiques et performances d’accès distants, notamment sur les équipements et logiciels exposés sur Internet, tels que le VPN, le bureau distant, la solution de messagerie, etc. ;
Le blocage des ports USB, au moins le temps du télétravail, pour éviter que les utilisateurs ne branchent des périphériques de stockage personnels, potentiellement vérolés ou non-autorisés ;
La surveillance de l’état du parc de machines via des outils d’inventaire, et s’assurer que les utilisateurs ont notamment des EDR à jour sur leurs postes de travail ;
L’application stricte du marquage de l’information et le durcissement des dispositifs de DLP afin d’éviter toute fuite d’information, qu’elle soit volontaire ou non. Également, le renforcement des barrières de type CASB sont nécessaires pour limiter le transfert d’information aux seules plateformes Cloud réputées fiables par l’entreprise ;
La revue régulière des journaux d’accès des services exposées sur Internet pour détecter les comportements suspects ;
La sauvegarde des données critiques, y compris celles dispersées au niveau des terminaux BYOD. Il convient également de disposer d’une copie récente de ces sauvegardes, isolée du réseau de l’entreprise ;
Le renforcement de la sécurité physique des sites de l’entreprise, qui se trouvent très peu ou pas du tout occupés, en veillant à l’application de la politique clean desk ;
La mise en pré-alerte de la Cellule de Crise Cybersécurité, afin d’assurer une veille continue et proactive, garantissant qu’elle soit en capacité opérationnelle complète dès son activation.A l’heure du déconfinement, d’autres mesures de remise à niveau s’imposent aux entreprises qui, afin de ne pas altérer leurs capacités de continuité d’activité, ont dû faire des concessions sur leurs règles et opérations internes de cybersécurité :
La conduite de root cause analysis détaillées pour chacun des incidents de sécurité survenus ;
La réalisation de revues de conformité et de bon fonctionnement de tous les dispositifs cybersécurité de protection, de détection, d’alerte et de réaction. Ceci permettra d’apporter les corrections nécessaires, et de déceler toute anomalie résultant de l’action d’un attaquant souhaitant cacher ses actions malveillantes ou faciliter son attaque ;
Le lancement d’audits sécurité du réseau, ainsi que des équipements et services IT pour identifier toute compromission qui n’aurait pas été détectée ;
La mise en place d’un dispositif de ‘station blanche’, auquel chaque ordinateur portable de l’entreprise devra être connecté avant de se reconnecter au réseau interne de l’entreprise. Ceci afin réaliser une série d’actions au niveau de l’équipement :
Analyse antivirus/malware, avec un ou plusieurs antivirus/EDR ;
Appliquer toutes les mises à jour qui n’ont pu être réalisées à distance : systèmes d’exploitation, navigateurs, middleware, applications métiers, etc. ;
Reconfigurer le Proxy ;
Réaliser une sauvegarde des données, avec le système de sauvegarde habituel, et les recentraliser selon les schémas nominaux ;
Forcer le renouvellement du mot de passe Windows et/ou du SSO.
La récupération des données dispersées et la conduite de tests de restauration de données pour valider le bon fonctionnement des sauvegardes ;
L’effacement sécurisé des données stockées sur des supports personnels, physiques ou Cloud ;
L’élaboration et la mise-en-œuvre d’un plan de patch management et de mise à jour cohérent, priorisé, progressif, orchestré, partagé avec l’IT et les métiers pour pallier les éventuels retards ;
L’arrêt des dérogations de sécurité, accès externes et habilitations accordés à titre exceptionnel ;
La réalisation d’audits techniques de sécurité sur les services contractés et les solutions acquises (ou utilisées) en période de confinement ;
L’activation de la clause d’auditabilité, ou toute autre clause, incluses dans les contrats de services et Plans d’Assurance Sécurité, afin de s’assurer du niveau de sécurité de ses fournisseurs et sous-traitants et identifier d’éventuels dommages directs ou collatéraux, relatifs à des incidents survenus de leurs côtés en période de confinement ;
La reprise active des opérations de Threat Hunting pour détecter et isoler les menaces avancées échappant aux dispositifs de sécurité en place ;
L’actualisation de la cartographie des risques Cyber et du Business Impact Analysis ;
La mise à jour des politiques, process et procédures de sécurité, ainsi que des plans de continuité d’activité métier (PCA, PUPA) et IT (PC-IT, PSI, PRA). Ceci en apportant une attention toute particulière aux scénarios de ransomware, DDoS et data breach ;
La sensibilisation des utilisateurs aux nouvelles pratiques et procédures à adopter face aux [nouveaux] risques, toujours avec un focus particulier sur les _ La formalisation d’une analyse post-mortem détaillée, post-confinement, de l’efficience et du niveau de résilience des dispositifs cybersécurité de l’entreprise, afin de contribuer au plan de Cyber Transformation de l’entreprise ;
La sanctuarisation des budgets alloués à la Cybersécurité, surtout dans ce contexte de forte dépendance à l’IT et où les conséquences, notamment financières, d’une cyber-attaque réussie seront très lourdes, voire fatales.Ces deux listes de mesures ne sont pas exhaustives, elles devront être complétées et priorisées au regard de l’analyse de risques actualisée et du niveau de maturité en cybersécurité propre à chaque entreprise. Il convient aussi d’y intégrer pleinement la problématique du télétravail qui persistera selon toute vraisemblance.
Au-delà de la durée de la crise, il est impératif que la couverture des Cyber-risques perdure dans le temps et qu’elle s’inscrive définitivement dans la vie de l’entreprise. Pour cela, il est nécessaire d’élaborer et de mettre en œuvre une Cyber-stratégie, sur mesure et pragmatique, dont l’objectif sera d’accompagner, voire de stimuler le business, en accélérant notamment sa transformation numérique et le développement de nouveaux services ou produits, permettant ainsi l’émergence de nouveaux business models plus prospères.
Cette Cyber-stratégie, inévitablement end-to-end, aura pour objectif l’atteinte d’un niveau de Cyber Resilience optimal, renforçant considérablement la pérennité des activités de l’entreprise face aux crises protéiformes annoncées, et positionnant la cybersécurité dans un rôle effectif de business enabler.
D’un point de vue opérationnel, ladite stratégie se matérialisera notamment par la mise en œuvre d’un plan de Cyber Transformation, structuré autour cinq axes : people, process, technology, data et innovation.
Source: Global Security Mag par Akram Azzam