Une nouvelle culture de la sécurité va-t-elle naître après la crise du Covid-19??
Travailler plus régulièrement depuis son domicile constitue surtout un changement culturel avant d'être technologique. Cela nécessite de tenir compte de considérations plus vastes et d'envisager des couches de sécurité supplémentaires.
De nombreuses grandes entreprises à travers le monde ont fait savoir que même lorsque la crise sanitaire liée au Covid-19 sera dernière nous, le monde du travail ne sera probablement plus tout à fait le même. Et de grands noms du monde des affaires et de la finance, dont les géants Barclays et WPP, abondent déjà dans ce sens et prédisent, par exemple, que les bureaux en open-space pourraient bien appartenir au passé. En définitive, l'avenir du travail à distance serait arrivé plus vite que prévu?!
Un tel changement durable dans les habitudes de travail soulève bien entendu un certain nombre de questions intéressantes pour la DSI. L'une d'entre elles est le rôle que la sécurité devra jouer dans une entreprise où les collaborateurs travaillent pour l'essentiel de chez eux.
Car comme une si longue période de travail à domicile a évidemment brouillé les frontières entre l'environnement informatique professionnel et celui de la vie privée. Et de fait, des contrôles de sécurité, qui reposaient sur l'installation d'outils sur des équipements administrés par l'entreprise, ont pu parfois se perdre en cours de route. Qui n'a pas, ces derniers mois, utilisé les équipements de son entreprise pour naviguer sur Internet à titre personnel?? Ou encore permis à ses enfants d'accéder à leurs applications préférées depuis un ordinateur portable professionnel??
En outre, au bureau l'entreprise sait fournir à ses collaborateurs une couche de sécurité globale qui encadre l'accès aux applications, à Internet et, désormais, à pratiquement tout ce qui se trouve dans le Cloud public. Mais comment les entreprises vont-elles maintenir le même niveau de sécurité lorsque ces contrôles ne s'appliquent plus, parce que ses collaborateurs ne bénéficient plus de cette couche de sécurité globale lorsqu'ils sont à leur domicile??
Cette situation exige non seulement de reconsidérer la nature même de ces couches de sécurité, mais aussi les plans de réponse aux incidents. Et elle soulève également une autre question : qui est responsable de la sécurité dans ce nouvel environnement de travail??
Repenser la technologie du bureau à domicile
La bonne nouvelle, c'est qu'il est finalement assez simple d'appliquer les mêmes niveaux de contrôle de sécurité au personnel de bureau qu'aux travailleurs à distance. Le modèle de Zero Trust Network Access (ZTNA), qui entre lui-même dans le cadre de l'approche SASE (Secure Access Service Edge) telle que développée par Gartner, peut garantir que les travailleurs bénéficient du même niveau de protection lorsqu'ils accèdent à Internet et aux applications professionnelles, quel que soit l'endroit où ils se trouvent ou le dispositif qu'ils utilisent pour cela.
L'idée qui sous-tend le modèle SASE est que le trafic est sécurisé tout au long de son trajet entre l'utilisateur et l'application, quel que soit le lieu où il se trouve ou l'endroit où l'application est hébergée. Ainsi, la limite du périmètre traditionnel se «?déplace?» vers chaque utilisateur, à l'image d'une bulle qui voyage avec lui.
Cependant, le fait de travailler plus régulièrement depuis son domicile constitue surtout un changement culturel avant d'être technologique. Cela nécessite de tenir compte de considérations plus vastes et d'envisager des couches de sécurité supplémentaires.
Lire aussi : Coder avec l'IA : les lignes directrices de l'ANSSI
Ainsi, même avant la crise actuelle, les études que nous avons menées avaient montré une très forte augmentation du Shadow IT «?IoT?», autrement dit des objets connectés personnels présents sur le réseau de l'entreprise. Maintenant que le nouveau lieu de travail comprend aussi le domicile des utilisateurs, un éventail encore plus large d'appareils souvent non sécurisés, allant des téléviseurs aux réfrigérateurs intelligents, ou même aux systèmes de chauffage, de ventilation et de climatisation connectés à Internet, doit désormais être considéré comme une menace potentielle.
Cela signifie qu'il va falloir sécuriser bien plus qu'un simple ordinateur portable et un smartphone lorsque les collaborateurs travaillent à domicile?!
Cependant, dans cette nouvelle normalité, se pose la question de ce qui constitue encore le réseau d'entreprise. Le domicile des employés est-il désormais une extension de ce dernier?? Et si oui, les employeurs doivent-ils (et peuvent-ils !) s'intéresser aux menaces plus larges dans l'environnement domestique, comme ils le feraient sur le réseau d'entreprise?? Doivent-ils inclure, par exemple, le domicile dans leurs programmes de gestion des vulnérabilités??
Une dimension culturelle
Un deuxième aspect moins tangible (mais important) de la sécurité qui doit être pris en compte est l'aspect culturel. L'état d'esprit du travail à domicile diffère considérablement de celui du travail au bureau. Un ordinateur portable de travail, lorsqu'il rentre à la maison, peut facilement devenir un ordinateur portable domestique utilisé pour la navigation personnelle. Même le reste de la famille peut être tenté d'utiliser ce portable pour les devoirs, les examens (et l'on pense alors aux solutions de contrôle d'examens en ligne qui sont particulièrement intrusives) ou tout simplement l'interaction sociale avec les amis.
C'est là que la frontière devient encore plus floue et introduit des risques supplémentaires difficiles à contrôler à distance avec les infrastructures de sécurité traditionnelles basées sur du matériel.
Un autre risque - non-technique celui-ci - tient à l'adoption par les collaborateurs d'une posture de sécurité plus détendue lorsqu'ils sont dans leur environnement privé. Au bureau existent en effet des processus de sécurité collaboratifs qui se trouvent affaiblis par le travail à distance. Ainsi des pratiques naturelles, telles que le verrouillage de l'écran en quittant le bureau ou encore l'assurance qu'une fois dans une salle de réunion fermée, les échanges confidentiels demeureront privés, seront souvent ignorés au domicile.
Cela peut sembler paranoïaque, mais dans le terme de «?sécurité des systèmes d'information?», il y a le mot «?information?»?! Et tous les échanges d'information ne se déroulent pas toujours exclusivement dans un espace numérique. Par exemple, parce que les enfants sont souvent présents dans un bureau à domicile, des divulgations d'information non maîtrisées peuvent alors très bien se produire. D'autant que l'ingénierie sociale est devenue un vecteur d'attaque essentiel pour les acteurs malveillants, et les contraintes psychologiques changeantes amenées par le travail à distance peuvent contribuer à faire des employés une cible plus facile pour la manipulation.
Évaluer un nouveau niveau de risque
Les nouveaux facteurs psychologiques introduits par le travail à domicile vont au-delà des critères d'évaluation traditionnels de la sécurité dans un environnement d'entreprise. Ces nouveaux facteurs de risque échappent d'ailleurs au contrôle de l'entreprise?!
Cela crée donc le besoin pour un nouveau niveau d'évaluation des risques au sein des organisations. Quels employés pourraient potentiellement partager des données confidentielles à leur domicile?? Comment atténuer ce risque?? Si cette situation de travail à distance devient effectivement la nouvelle norme, quelles mesures pérennes les entreprises doivent-elles prendre pour garantir à chacun de ses salariés un environnement de travail plus sûr??
Et si tout cela doit amener les entreprises à mettre en oeuvre des mesures de sécurité supplémentaires, qui en est responsable?? Traditionnellement, certaines de ces activités relèvent de la compétence des RH ou du responsable de la protection des données. Mais de manière réaliste, les RH sont-elles en mesure de procéder à ce type d'évaluation des risques et de mettre en place des processus d'atténuation??
En définitive, cela devrait plutôt relever de la responsabilité du RSSI, qui est déjà en charge de la protection des données de l'entreprise, et devrait l'être quelle que soit la forme que celles-ci adoptent, ou leur support. À mesure que les risques liés aux contenus de l'entreprise s'accroissent en raison de l'extension des pratiques de travail à distance et qu'il devient plus difficile de maintenir un niveau de sécurité acceptable, les responsabilités du RSSI devront s'élargir pour correspondre au nouveau niveau de risque, incluant les spécificités de la culture du bureau à domicile.
Car la fonction de RSSI oblige à apprendre rapidement et mettre en lumière les nouveaux risques introduits notamment par les évolutions des modes de travail, afin de contribuer à établir une nouvelle culture de la sécurité. Car ce n'est que si une entreprise est consciente d'un risque qu'elle peut l'évaluer et l'inclure dans une gestion des risques actualisée et efficace.
Marc Lueck, Responsable de la sécurité des systèmes d'information EMEA - Zscaler.
Sur le même thème
Voir tous les articles Cybersécurité