Enjeux Cybersécurité liés à la crise COVID-19
Le contexte actuel de crise sanitaire met à rude épreuve la capacité de résilience des entreprises. La pandémie du COVID-19 a contraint les entreprises à s’adapter très rapidement afin de protéger leurs collaborateurs et d’assurer la continuité des activités. Toutefois, parmi la multitude de mesures de sécurité mises en place, peu d’organisations ont intégré à leur gestion de crise la composante cybersécurité afin de préserver leurs actifs informationnels, et surtout leurs capacités opérationnelles vitales. Pourtant, le nombre bondissant de cyber-attaques depuis le début de la crise et la mise en place des mesures de distanciation sociale comme le télétravail, en passe de devenir le nouveau mode « standard » d’organisation du travail, tant qu’un vaccin ou un traitement efficace n’est pas mis au point voire même au-delà, sont autant de facteurs qui rendent essentielle la revue approfondie des dispositifs de cybersécurité des entreprises. En effet, les cyber-attaques s’enchaînent à travers le globe en exploitant des failles de sécurité liées principalement à la désorganisation causée par la pandémie. Dès le début du confinement en France, les attaques de type phishing se sont multipliées, à travers des liens vérolés proposant à la vente des masques FFP2 ou du gel hydroalcoolique, en pénurie à ce moment-là, ou mettant à disposition une version téléchargeable *.pdf de « l’attestation de déplacement dérogatoire ». Aussi, à cause du confinement, les applications de visioconférence se sont retrouvées prises d’assaut, que ce soit pour le télétravail, l’école à distance, les réunions familiales ou les apéritifs virtuels entre amis. Certaines plateformes, telles que Zoom, sont victimes de leurs succès. En effet, la plateforme américaine avait atteint les 300 millions d’utilisateurs mais enchainait les problèmes de sécurité telles que le Zoombombing qui permet une intrusion inopinée pour perturber la conférence (injures, harcèlement, diffusion de contenus inappropriés, etc.). La Secrétaire Générale Adjointe aux affaires de désarmement des Nations Unies a déclaré récemment qu’une cyber-attaque a lieu toutes les 39 secondes dans le monde, selon les observations de son Organisation. Des attaques plus sophistiquées, de type ransomware ou DDoS par exemple, sont de plus en plus fréquentes et ciblent massivement les secteurs sous tension en cette période. La violation de données sensibles survenue tout récemment chez la plus grande entreprise nippone de télécommunications, ainsi que le détournement des supercalculateurs d’universités européennes pour du crypto mining en sont la parfaite illustration. Face à l’accroissement de la Cybermenace et à l’augmentation de la surface d’attaque, il est primordial que les entreprises renforcent leur cybersécurité à l’aide de mesures adaptées, telles que : La conduite de campagnes de sensibilisation ciblées, notamment autour des attaques de phishing, social engineering, fraude au président et risques induits par l’utilisation d’outils non-recommandés par l’entreprise ; La définition d’une procédure utilisateur pour la gestion des incidents de sécurité claire et adaptée au contexte exceptionnel ; La réduction du délai de renouvellement des mots de passe, évidemment robustes et uniques. Cette mesure est d’autant plus essentielle si l’entreprise ne dispose pas de Single Sign-on (SSO), cas de figure dans lequel les utilisateurs auront tendance à réutiliser le même mot de passe pour plusieurs applications et plateformes ; La mise-en-place d’un Helpdesk compétent sur les sujets de cybersécurité avec des fiches réflexes dédiées, pour une prise en charge rapide des demandes urgentes ou complexes, notamment celles relatives à la gestion des accès et habilitations ; L’utilisation de solutions de visioconférence sécurisées, propres à l’entreprise et de préférence recommandées par l’ANSSI ou un autre organisme certificateur ; L’utilisation systématique d’une solution d’accès VPN propre à l’entreprise, idéalement [IKEv2/]IPsec ou TLS à défaut, pour sécuriser l’accès au réseau interne et aux applications de l’entreprise ; La mise en place de mécanismes d’authentification multi facteur (MFA) pour limiter les risques d’usurpation d’identité ; Le durcissement des règles de proxy, au strict nécessaire. En effet, les collaborateurs qui travaillent depuis leurs domiciles peuvent consulter les plateformes relevant de leurs usages extra-professionnels depuis leurs équipements personnels. Une extension de la liste des sites ou mots-clés en “liste noire”, permettra de centrer l’utilisation des outils d’entreprise autour d’un usage strictement professionnel, et réduira de fait les risques de compromission. De même, il est conseillé de limiter au maximum le téléchargement de fichiers externes au Système d’Information de l’entreprise ; Le renforcement du monitoring et de la sécurité des connexions distantes, afin que tout échange de données liées à l’entreprise soit sécurisé. Pour cela, il convient, entre autres, de réduire le délai d’expiration automatique des sessions utilisateurs inactives. Pour les entreprises autorisant le BYOD, il convient, autant que possible, de mettre en place des environnements VDI, auxquels la connexion se fait exclusivement via une authentification forte ; L’application rapide des mises à jour de sécurité et la création de procédures de patch management adaptées aux problématiques et performances d’accès distants, notamment sur les équipements et logiciels exposés sur Internet, tels que le VPN, le bureau distant, la solution de messagerie, etc. ; Le blocage des ports USB, au moins le temps du télétravail, pour éviter que les utilisateurs ne branchent des périphériques de stockage personnels, potentiellement vérolés ou non-autorisés ; La surveillance de l’état du parc de machines via des outils d’inventaire, et s’assurer que les utilisateurs ont notamment des EDR à jour sur leurs postes de travail ; L’application stricte du marquage de l’information et le durcissement des dispositifs de DLP afin d’éviter toute fuite d’information, qu’elle soit volontaire ou non. Également, le renforcement des barrières de type CASB sont nécessaires pour limiter le transfert d’information aux seules plateformes Cloud réputées fiables par l’entreprise ; La revue régulière des journaux d’accès des services exposées sur Internet pour détecter les comportements suspects ; La sauvegarde des données critiques, y compris celles dispersées au niveau des terminaux BYOD. Il convient également de disposer d’une copie récente de ces sauvegardes, isolée du réseau de l’entreprise ; Le renforcement de la sécurité physique des sites de l’entreprise, qui se trouvent très peu ou pas du tout occupés, en veillant à l’application de la politique clean desk ; La mise en pré-alerte de la Cellule de Crise Cybersécurité, afin d’assurer une veille continue et proactive, garantissant qu’elle soit en capacité opérationnelle
