Rechercher

Déconfinement : les actions à mener pour un retour en toute sécurité

Afin d’éviter d’éventuelles intrusions et/ou fuites de données, suivez les conseils de nos experts.

COVID-19 : un retour sur site progressif

Alors que le déconfinement s’amorce en France, le retour des collaborateurs sur leurs lieux de travail sera progressif. Le télétravail imposé pour un grand nombre de salariés a fait évoluer l’organisation même du travail avec notamment le recours aux logiciels collaboratifs (vidéo-conférence, gestion des tâches, partage de documents…). Voici une liste des principales actions à mener durant cette période pour se prémunir d’éventuelles intrusions.

Déconfinement et cybersécurité : quelles actions mener à court terme ?

Lors du retour des collaborateurs, il est nécessaire de réaliser un bilan de la période. Il est ainsi conseillé de :

Réaliser un retour d’expérience avec la DSI sur l’accès au SI et la performance des infrastructures

Durant le confinement, les infrastructures ont été très sollicitées notamment en termes de bande passante ou de performances. Il peut être utile d’identifier les problèmes rencontrés comme, par exemple, le nombre maximum de licences utilisées en simultanée, l’impossibilité de modifier les mots de passe en VPN, la mauvaise gestion des postes nomades…). En complément, les échanges avec les métiers permettraient d’identifier les limitations et les problématiques rencontrées.

 

Identifier les solutions de contournement utilisées par les collaborateurs

De nouvelles applications ont pu être utilisées notamment en mode SaaS pour continuer certaines activités ou répondre à de nouveaux besoins. Pour ces applications, il est nécessaire de penser à la pérennité de leur usage. Si ces applications étaient utilisées temporairement, il est nécessaire de rapatrier les données produites et de réaliser une purge de ces dernières sur la plateforme en ligne. Dans le cas où les collaborateurs souhaitent continuer à les utiliser, il est nécessaire d’évaluer la sensibilité des données et les besoins en sécurité associés, et envisager un audit de sécurité.

 

Déterminer les points de blocage rencontrés par les collaborateurs

Des collaborateurs n’ont peut-être pas pu se connecter au SI de l’entreprise en raison de l’absence de PC portable professionnel ou de verrouillage de comptes. Certains ont peut-être utilisé des PC ou tablettes personnels pour continuer à travailler. Il est ainsi important d’identifier les populations concernées, de réaliser une sauvegarde des données puis une purge de celles-ci. Pour ces collaborateurs, un remplacement du poste de travail fixe peut-être envisagé afin d’anticiper un potentiel re-confinement.

 

Recentraliser et sauvegarder les données produites

Les collaborateurs ayant travaillé à distance ont probablement stocké tous leurs documents sur leurs postes de travail. Ces données sont normalement hébergées sur des serveurs de fichiers ou des espaces de travail collaboratifs qui bénéficient de mécanismes de sauvegarde. En cas de perte ou de casse d’un PC portable, les données seraient alors perdues. Il est important de recentraliser ces données sur les espaces de stockage sécurisées ainsi que de vérifier que les mécanismes de sauvegarde sont bien opérationnels.

 

Analyser les changements réalisés et les dérogations accordées par la sécurité

Des accès à distance ont pu être ouverts pour certains collaborateurs durant le confinement ainsi que des flux supplémentaires ouverts pour l’occasion. Des échanges avec le helpdesk permettront d’identifier si des demandes d’applications, non présentes dans le catalogue de l’entreprise, ou de besoin de droits administrateur (installation de driver d’imprimante par exemple…) ont été accordées durant la période de confinement. Il est nécessaire de revoir l’ensemble de ces changements afin de valider la pertinence à les maintenir comme leurs impacts en matière de sécurité. Certains flux et accès distants peuvent être fermés et ainsi réduire la surface d’exposition du SI de l’entreprise.

 

Analyser l’état de santé du parc informatique

Durant le confinement, des processus récurrents et essentiels ont pu être oubliés en raison du manque de ressources comme, par exemple, la qualification des vulnérabilités et des patchs de sécurité. De plus, certains postes n’ont peut-être pas été mis à jour (patchs Windows, bases de signatures antivirales…) durant cette période. Un suivi journalier des postes se reconnectant au SI permettra d’identifier des problèmes de sécurité sur les postes (mise à jour critique non déployée ou antivirus ne se mettant pas à jour). Un plan d’action peut être prévu afin de revenir à une situation normale.

 

Renforcer la sécurité des nouveaux moyens mis en place

Certaines infrastructures (accès distant/VPN, applications exposées sur un extranet, migration d’applications dans le cloud) ont pu être mises en place spécifiquement dans le cadre du confinement. Si elles ont vocation à être conservées, un audit de sécurité est à mener afin d’évaluer le niveau de robustesse (si cela n’a pu être fait durant le confinement).

 

Redémarrer les projets IT

Un certain nombre de projets ont pu être mis en attente durant la crise sanitaire. Il est nécessaire de reprendre contact avec les différents chefs de projet pour identifier les nouveaux plannings prévisionnels et les évolutions de périmètre (ajout de la mobilité par exemple). Dans certains cas, cela permet d’identifier des projets qui ont pu être mis en production plus rapidement que prévus pour répondre aux besoins de certains métiers.

 

Mettre en place un processus de nettoyage des postes de travail

L’analyse des postes de travail avant la reconnexion peut permettre de déceler des postes de travail infectés qui pourraient contaminer le reste du SI. Le déploiement de la dernière base antivirale, complété par scan complet peut permettre de les nettoyer. Cela peut également se faire grâce à l’utilisation d’une clef USB pour réaliser un scan antivirus à froid des postes de travail.

En complément, la procédure de nettoyage du poste de travail peut permettre d’identifier des logiciels installés par le collaborateur, potentiellement malveillants, ayant répondu à un besoin ponctuel durant le confinement.

 

Superviser les événements de sécurité

En complément de la mesure précédente, l’analyse des traces des consoles des antivirus ou solution EDR (EndPoint Detection & Response) permettra d’identifier les postes infectés qui se sont reconnectés au système d’information. Au-delà des consoles de sécurité, le SOC (Security Operation Center) devra être attentif à la détection de postes ayant des comportements suspects pour indiquer une potentielle compromission.

 

Renforcer le helpdesk et remonter les incidents de sécurité

Il est également nécessaire de préparer ce retour avec notamment le renfort du support informatique pour gérer les problèmes des collaborateurs (le fameux mot de passe oublié ou lié à une mauvaise synchronisation des mots de passe…). Le support doit également se préparer à des incidents de sécurité plus nombreux et donc à une coordination avec les équipes sécurité.

 

Mettre en place une structure transverse pour accompagner le retour des collaborateurs

Durant le confinement, de nombreuses entreprises ont construit une cellule de crise transverse pour lancer le plan de continuité d’activité et traiter les problèmes rencontrés. Il est important de maintenir cette task-force pour traiter le retour des collaborateurs en intégrant le système d’information et les incidents de sécurité remontés.

 

Anticiper les potentielles restrictions budgétaires

Suite au confinement, certains projets liés à la cybersécurité ont dû être mis en attente. En conséquence de ce décalage, les plannings doivent être mis à jour ainsi que les budgets prévisionnels qui seront réellement consommés sur 2020. De plus, il est à prévoir que la direction impose des restrictions budgétaires. Il est donc important de s’y préparer et de mettre en place les actions qui doivent être prises suite au confinement et à la transformation du système d’information.

Crise du COVID-19 : comment se préparer pour l’avenir ?

Déconfinement : que faire à moyen terme ?

A moyen terme, il est nécessaire d’organiser plusieurs chantiers pour tirer les enseignements de cette crise et se préparer aux évolutions induites.

Analyser comment la crise a été vécue par les collaborateurs, la DSI et la direction via l’animation d’ateliers afin d’en tirer des enseignements. Il est nécessaire de mettre à jour le plan de continuité d’activité ainsi que les procédures associées aux crises sanitaires et en profiter pour revoir son outillage.

Faire évoluer sa stratégie de sensibilisation notamment en prenant en compte la dimension du télétravail tant sur le contenu (relation pro/perso, risques associés) que dans l’approche (contenu en e-learning, support et vidéos pour les personnes à distance…).

S’assurer de la reprise des activités mises en pause (campagnes d’audits, sécurité dans les projets, patch management…) et suivre l’évolution d’indicateurs au sein d’un tableau de bord sécurité.

Crise sanitaire : se préparer à un changement profond de l’organisation du travail

La crise du coronavirus aura marqué l’année 2020 et le retour à la normale des activités sera long. Nous pouvons déjà dégager des tendances de fond qui ont été accélérées par le confinement et transformeront le travail (augmentation du télétravail et du besoin d’agilité) et donc, par ricochet, le système d’information, cœur numérique de l’entreprise.

Accélération des migrations des applications vers le cloud

Cette tendance était en hausse progressive depuis de nombreuses années. La saturation des infrastructures d’accès distant et le manque d’ouverture du SI ont pu bloquer cependant certaines activités. Ces dernières se sont alors tournées vers des solutions dans le cloud offrant une grande flexibilité. Le retour en arrière sera difficile et nous ferons probablement face à une accélération de la stratégie « cloud first ». L’équipe en charge de la sécurité doit s’y préparer et encadrer cette tendance notamment avec le maintien en conditions de sécurité souvent oublié.

Augmentation de la mobilité chez les collaborateurs

La part de télétravail va continuer à augmenter dans les entreprises. Les équipes informatique et sécurité devront pouvoir administrer et mettre à jour les postes de travail mais également surveiller les incidents de sécurité.

L’augmentation du télétravail et la migration des applications dans le cloud pose la question du maintien du modèle de sécurité traditionnel et centralisé faisant transiter tous les flux en mobilité vers le SI interne de l’entreprise. De nombreuses entreprises déportent les fonctions de sécurité directement sur le poste de travail et en s’appuyant sur les services cloud (CASB, Proxy Cloud, EDR…). Ce modèle de sécurité, adopté largement par les start-ups et GAFAM, est clairement une direction pour l’évolution du système d’information.