Pour un déconfinement en toute sécurité

Sécurité de l'information
Pour un déconfinement en toute sécurité
La période est encore incertaine pour beaucoup d'entre vous. Il est cependant temps de préparer le déconfinement … ou tout au moins la fin du premier chapitre. Ces dernières semaines, les systèmes d’information et leur sécurité ont été sous le feu des projecteurs. Les RSSI ont été très sollicité.e.s, et pour certains très secoué.e.s par les attaques. Il est temps de se remettre en ordre de marche et de préparer la suite. Comment maîtriser le retour sur le SI des postes de travail disséminés chez vos collaborateurs ? Comment renforcer vos capacités de détection et de réaction ? Comment garder sous contrôle la dette Sécurité si les exceptions à la PSSI ont été nombreuses pour fluidifier le télétravail ?... Les chantiers seront nombreux. Nous en avons identifié trois, pour votre organisation comme pour vous en tant que RSSI et responsable de la filière Cyber :
1. Redémarrer l’activité sans heurt, en s’évitant une crise Cyber lors de la reprise
2. Tirer toutes les leçons de cette crise et se préparer pour le futur
3. Sortir renforcé de la crise et réduire les impacts sur les moyens de la filière Cyber
Au travers de quelques histoires vécues – ou presque – voici nos conseils pour un déconfinement en toute sécurité.
 
Histoire N°1 : Les utilisateurs trouvent toujours une solution
Lucien travaille à la compta. Lors de l’annonce du confinement, il s’est organisé comme il a pu pour poursuivre son boulot en télétravail. Avec le laptop de son entreprise, il avait accès à son environnement de travail, comme d’habitude… ou presque. Une fois, il s’est laissé tenter par Zoom pour cet apéro virtuel que lui proposait son collègue des RH. En quelque clics c’était installé ! Et il a passé un bon moment. Il a même repris l’idée pour prolonger l'expérience avec ses potes du basket. Deux jours plus tard, alors qu'il ne trouvait plus le mot de passe du fichiers XLS partagé dans le service, et pour ne pas perdre de temps face à un helpdesk surchargé, il a téléchargé Excel Password Recovery Freemium pour faire ses mises à jour sur son poste en local. Ça tombe bien qu’il soit admin de son poste à cause de ce bug dans Sage !
 
Lucien, est-ce bien raisonnable ?
Cet utilisateur s’est exposé à de nombreux risques, bien souvent sans le vouloir ni sans même en avoir conscience. Et la liste est longue. Installation de logiciels tiers dont la fiabilité n’est pas garantie, non-conformité par rapport aux licences, perte de cohérence entre des données partagées et des données travaillées localement, usage « perso » sur l’environnement de travail « pro ». Et malheureusement les usages ne sont pas si innoncents que cela... d'autant que les menaces sont excacerbées en cette période de confinement et que le suivi des alertes peut être affaibli.
 
Les chantiers à envisager
Les travaux vont concerner la désinfection des postes utilisés pendant le télétravail et la remise au « propre » de l’environnement de travail des utilisateurs. Au-delà de la lutte contre les malwares, il faut également lutter contre les non-conformités et les exceptions à la PSSI. Il faut recenser les écarts et traitements particuliers qui ont pu être accordés durant les dernières semaines. Et pour chacun il faudra juger de la pérennisation ou non des mesures – en intégrant le fait que le télétravail pourrait devenir la norme pour certaines équipes ou certains services désormais.

Eviter l'introduction de malware
- Revue de sécurité des laptops, mobiles et tablettes (via la solution en place ou via un service managé de type EDR-as-a-Service)
- Revue avec le service support des incidents et comportements à risques
Garantir un environnement sain
- Définition avec les métiers d’une démarche simple de cartographie et de resynchronisation des données
- Recensement des outils tiers installés, validation ou remplacement par des outils officiels (via la solution de gestion de parc ou une solution de télémétrie)
Maitriser la dette Sécurité
- Revue des exceptions à la PSSI via synchronisation des correspondants Sécurité ou des RSSI de zone
 - Traitement des non-conformités 
- Analyse et compréhension des raisons ayant pu mener les utilisateurs à contourner les règles. Mise en place d'un plan d'action associé (sensibilisation et/ou revue des règles)
Sécuriser le télétravail dans la durée
- Audit et renforcement de l’infrastructure technique d’accès distant
- Gestion de la capacité de cette infrastructure et des outils collaboratifs
- Durcissement des services exposés et des services Cloud
- Mise à niveau du plan de surveillance du SOC pour intégrer ces usages et les risques associés (indisponibilité du VPN, fuite de données massive via un outil de collaboration, etc.)
Histoire N°2 : J’arrête, je redémarre, j’arrête, je redémarre…
Rose est responsable de la branche « Distillation & Rectification » au sein de son entreprise d’agroalimentaire et de biochimie. Au démarrage de la crise sanitaire, le top management a demandé une optimisation des dépenses en vue de faire face aux difficultés à venir. Rose décide donc mis à l’arrêt l’usine du Loiret, qui produit moins que les autres. Quelques temps après, le CEO annonce aux media la fabrication de solution hydroalcoolique. Il faut redémarrer ! Les équipes doivent revenir et on fera une prise de température le matin pour s’assurer que personne n’est malade.
 
Rose, est-ce bien raisonnable ?
Une crise est toujours accompagnée de nombreuses incertitudes et celle que nous traversons n’échappe pas à la règle, loin s’en faut... Les dirigeants et les managers ont traité les informations au fur et à mesure, en fonction d’éléments contextuels pas toujours fiables. Ils ont dû s’adapter, prendre des décisions sur l’instant, face à des problématiques que certains n’avaient jamais vécues, ni même envisagées et tout cela avec des informations incomplètes ou changeantes. 
La difficulté que peut représenter la décision d’arrêter ou de reprendre une activité prend tout son sens dans ce type de situation. Si les critères ne sont pas clairement définis (par les exigences réglementaires ou par le PCA de l’entreprise), il n’est pas toujours simple de recenser les activités essentielles d’une organisation. On peut prendre des décisions qui sont adaptées sur un périmètre donné mais qui peuvent avoir des impacts et des répercussions sur un autre périmètre au regard des dépendances qu’il existe dans les chaines d’activités, sans compter les dommages collatéraux qui ne manqueront malheureusement pas d’arriver.
Et lorsque l’on travaille en mode dégradé, le système D probablement trop souvent appelé à la rescousse. Les organisations doivent par exemple recenser les collaborateurs malades et lister les symptômes associés au coronavirus. On entre alors dans le champ du traitement et de l’hébergement des données de santé, cadré en France par une socle législatif exigeant (incluant bien sûr le RGPD). L’entreprise reste responsable de la santé de ses collaborateurs et doit tout mettre en œuvre pour préserver leur sécurité sur leur lieu de travail.
 
 
Les chantiers à envisager
Les travaux concernent la stratégie et les dispositifs de résilience de l’entreprise. Dans certains secteurs, ces travaux concernent le RPCA. Pour certaines sociétés, plus petites ou moins matures, RPCA et RSSI peuvent être deux casquettes d’une même personne. Quoiqu’il en soit, le plan de continuité, et les stratégies de mode dégradé et de reprise d’activité, ont été fortement éprouvés pendant la crise pandémique. Il y a beaucoup de leçons à retenir : le temps du retour d’expérience ne doit pas être négligé et mis de côté.

Garantir un environnement sain
- Recherche de compromissions (via threat hunting) sur les équipements restés actifs sur sites (imprimantes et copieurs connectés, dispositifs relatifs aux bâtiments intelligents, serveurs legacy à migrer dans le cloud, etc.)
- Vérification de la bonne application des patchs de sécurité au redémarrage des postes fixes
- Revue GDPR & conformité des traitements de données mis en place pour gérer le confinement (suivi des collaborateurs devant aménager leurs emplois du temps pour convenance personnelle par exemple) et la reprise (liste des salariés malades ou présentant des symptômes par exemple)
Accompagner le retour à l'état nominal
- Validation des critères permettant de « siffler » la fin de la crise pour ne pas épuiser les cellules de crise ou réduire l’efficacité des dispositifs
- Préparation au déconfinement par zone (Contrôler la disponibilité des sous-traitants essentiels et harmoniser les pratiques entre les filiales)
Se préparer en cas de retour du confinement
- Formalisation du retour d’expérience 
- Revue et optimisation du PCA et de sa capacité à être activé pendant des semaines ou des mois
- Revue du plan de tests du PCA / PRA et des déclinaisons informatiques
- Ajout du scénario pandémique au PCA et aux analyses de risques
Respecter les exigences en tant qu'OIV - Vérification du respect des obligations liées à l’Art. L1332-6-4 du Code de la Défense
Histoire N°3 : La Cyber c’est bien, mais tout seul et à distance, c’est pas si simple…
Antoine a rejoint l’équipe du RSSI il y a 6 mois. Nouveau défi et nouvelle aventure après avoir bossé dans l’équipe Réseau ! Il est désormais en charge du pilotage des solutions antivirus sur tout le périmètre de l’entreprise. Pendant le déconfinement, les alertes ont été nombreuses. Lors du démarrage du télétravail, ça clignotait de partout : toutes les consoles antivirus étaient en alerte ! Et puis la migration SEP de la filiale dans l’Ouest n’est pas terminée. Il n’a pas encore eu la formation pour le MacAfee des serveurs Windows. Et en plus à distance on ne peut pas toujours intervenir facilement pour traiter les incidents… Dur dur ! La motivation en a pris un sacré coup. Et certaines alertes sont peut-être passés sous les radars.
 
Antoine, est-ce bien raisonnable ?
Entre les polémiques sur les outils de visio, l’explosion du spam et de phishing, l’activation en urgence du télétravail et le suivi des nombreuses alertes de sécurité, les équipes Sécurité ne se sont pas ennuyées. Pour certains la période a été difficile à vivre et la motivation a été mise à rude épreuve. Et pour d’autres, il a fallu mettre en pause tout ou partie des activités courantes, en particulier pour les programmes d’audit ou les nouveaux projets de Build.
 
Les chantiers à envisager
Le chantier du RSSI, ou du Directeur Cyber, va être maintenant de rebooster la filière Cyber ! Il ne faut pas se mentir : les temps vont être durs, les équipes sont fatiguées. Il faudra rendre des comptes si les protections en place ont laissé passer des attaques. Il faudra composer avec un budget réduit. Et, si moyens le permettent, il faudra poursuivre les projets qui ont été mise en pause. Il faudra se réinventer pour faire encore plus avec moins !
Recherche d’efficacité, démonstration du ROI, optimisation du parc technologique, changement d’organisation des équipes et mise en place de centre de services : les ingrédients sont là. Inventons la recette ensemble.

Optimiser le budget Cyber
- Identification du ROI de chaque initiative nécessitant un budget
- Rationalisation des dépenses en matière de technologies via une revue des solutions, une recherche des doublons et le recours aux services managés
Démontrer la valeur de la filière Cyber
- Contribuer à l’accélération ou l’optimisation du plan de transformation numérique de votre organisation
Relancer les projets en pause
- Reprise du plan de contrôle et du plan d’audit
- Reprise des projets d’intégration ou de déploiement après prise en compte des optimisation budgétaires
Remobiliser les équipes et la filière
- Poursuite des nouveaux rituels (café ou apéro en visio) ou mise en place de nouvelles actions de team building
- Plan de communication interne Filière Cyber et externe pour éviter les débats inutiles ou déplacés (Zoom, StopCovid, Fake news, etc.)
Se préparer en cas de retour du confinement
- Analyse de la filière Cyber pour sa capacité à opérer intégralement à distance
- Mise en place des centres de services nécessaires pour tenir la charge en cas de confinement Stop & Go (assistance RSSI à distance, test d’intrusion ou threat hunting internes à distance, etc.)
Vue d’ensemble
Ces quelques cas d’usage illustrent la variété des problématiques et des chantiers à adresser pour maitriser le déconfinement et pour poursuivre les activités de la filière Cyber dans une période qui s’annonce encore incertaine et troublée.
Advens vous propose ce framework pour vous guider dans cette reprise et préparer les changements et les améliorations à apporter à votre organisation pour vous renforcer et apporter encore plus de valeur à votre organisation. Ensemble nous sortirons plus grands et plus forts de cette crise.
 

 

Benjamin Leroux, Innovation & Marketing, Advens