Transformation numérique et cybersécurité face à face
La transformation numérique comporte bien des promesses en termes de flexibilité, de productivité et de compétitivité, mais elle induit aussi souvent un éclatement des systèmes d’information. Les cyber-risques qui y sont associés sont une source de préoccupation pour les entreprises, analysée dans une récente étude réalisée par Stormshield en collaboration avec L'Usine Digitale, acteurs du secteur digital. En voici les principaux enseignements (« Transformation numérique des entreprises : et la sécurité dans tout ça ? », Baromètre Stormshield, réalisé en collaboration avec l’Usine Digitale, décembre 2018).
Nouvelles technologies et systèmes d’information
La transformation numérique des entreprises est forte de promesses en matière d’agilité, d’innovation, de productivité et de performance. Elle métamorphose les modes d’organisation, tous métiers et secteurs d’activité confondus, avec à la clef des perspectives de flexibilité, d’autonomie et de coopération accrues.
C’est aujourd’hui une des priorités majeures des entreprises pour assurer leur compétitivité et leur croissance et … bien souvent tout simplement leur pérennité sur des marchés ultra concurrentiels.
Les nouvelles technologies associées à la transformation numérique vont des solutions dites « nomades », visant à garantir la réactivité des collaborateurs en situation de mobilité, au cloud, en passant par l’intelligence artificielle (IA), le big data ou encore les applications SaaS. Ces technologies visent à rendre les entreprises plus connectées, souples et évolutives.
Mais, elles ont également pour conséquence un éclatement des systèmes d’information et une myriade de nouvelles opportunités d’intrusion, qu’elles soient malveillantes ou non.
Étude menée auprès de 200 professionnels en entreprise
L’étude, à savoir un baromètre publié en décembre dernier, a été menée auprès de 200 professionnels d’entreprises de plus de 50 salariés en France afin de recueillir à la fois la vision des DSI (44 %), des directions métier (39 %) et des DG (17 %) quant à la transformation numérique de leur entreprise et à l’impact sur leur sécurité.
Elle avait pour objectif de répondre en particulier aux questions suivantes :
-comment les directions informatiques (DSI), les directions générales (DG) et les directions métier appréhendent-elles cette transformation et les risques qu’elle engendre ?
-comment peut-on protéger les actifs et données sensibles dans un environnement de plus en plus distribué et externalisé, face à des menaces de plus en plus sophistiquées ?
Le détail des résultats de l’étude sont les suivants.
Trois domaines prioritaires
Parmi les projets prioritaires de transformation numérique relevés par le baromètre, ressortent trois domaines pour lesquels les entreprises interrogées ont montré une attention particulière en matière de vulnérabilité :
-1) le nomadisme des salariés qui implique d’accéder aux données et ressources de l’entreprise en tout lieu (à domicile, en coworking ou sur le terrain) et qui représente par conséquent l’un des risques majeurs de vol d’informations, par négligence ou manque de protection ;
-2) les services de partage de documents en mode cloud, comme OneDrive ou Dropbox, qui permettent de stocker et d’échanger facilement des fichiers en dehors des zones maîtrisées par l’entreprise ;
-3) le déploiement de nouvelles technologies en interne, notamment les objets connectés, qui présentent de nouvelles vulnérabilités et sont particulièrement difficiles à gérer en termes de cloisonnement et de contrôle des flux.
Les résultats du baromètre montrent que les entreprises sont lucides et identifient clairement l’impact majeur de la transformation numérique sur leur sécurité. Néanmoins, elles ont tendance à surévaluer les protections mises en place, principalement basées sur des technologies traditionnelles qui ne sont plus suffisantes pour protéger l’ensemble des périmètres, des infrastructures et des données dans un environnement toujours plus ouvert et exposé.
Une transformation bien engagée, mais à des degrés divers
Le baromètre relève que la transformation numérique des métiers est bel est bien engagée, avec des perceptions néanmoins différentes selon la taille des entreprises et leur secteur d’activité. En effet, les entreprises de plus de 5 000 salariés s’estiment davantage « plutôt en avance » (39 %) et celles du secteur public se jugent « plutôt en retard » (51 %).
Cet écart de perception est également visible entre les directions métier plus optimistes que les DSI (les premières se considérant à 67 % comme « en avance ou à niveau » contre 59 % pour les DSI).
Au final, sur l’ensemble du panel de répondants, 27 % des entreprises se jugent en avance et 31 % à niveau en matière de transformation numérique.
L’étude constate que l’utilisation d’outils de communication unifiée et de travail collaboratif est déjà une pratique courante dans la plupart des entreprises. Ces outils seraient ainsi déjà déployés dans près de 7 entreprises sur 10.
Dès lors, les nouvelles étapes de digitalisation concernent à présent l’utilisation de services SaaS (87 %) et de nouveaux services numériques (83 %), ou encore la numérisation de la relation client (81 %) et la dématérialisation des process et nouvelles plateformes métiers (80 %).
En revanche, les entreprises sont plus frileuses sur les projets d’exploitation de la donnée, puisque 30 % des DSI n’envisagent pas du tout de tels projets pour le moment.
Impacts sur les process mais aussi sur la sécurité des SI et des données
Des process et modèles transformés
La révolution numérique transforme fondamentalement les process et les modèles économiques des entreprises. Ces impacts sont positifs lorsqu'ils améliorent l'efficacité opérationnelle des entreprises.
Par exemple, avec les applications cloud, la DSI n’a plus à budgétiser l’achat de serveurs, ni à mobiliser et former du personnel pour leur maintenance. De même, les fournisseurs de plateformes ou d’applications cloud prennent en charge tous les aspects techniques et équiper de nouveaux salariés ou lancer des projets ne prend plus que quelques heures, au lieu de semaines (ou de mois) auparavant.
Les outils collaboratifs hébergés dans le cloud sont globalisés, ce qui favorise également un travail efficace avec des partenaires situés dans d’autres pays. Mais il existe d'autres exemples d’efficacité améliorée :
-les équipements mobiles et les accès distants sécurisés permettent de travailler n’importe où et d’intervenir à distance en disposant de toutes les informations ou applications nécessaires, en temps réel ;
-ou encore, les capteurs connectés qui permettent de détecter les anomalies d’un produit, d’une chaîne de production ou dans des locaux afin d’intervenir au plus vite avant que l’activité ne soit bloquée par un incident.
Toutes ces nouvelles opportunités offertes par la numérisation s’accompagnent d’un ensemble de nouveaux défis de sécurité qui nécessitent un meilleur encadrement.
Mesurer les impacts sur la sécurité des SI
La transformation numérique ne peut, en effet, aller de pair sans une sécurité accrue et une confiance sur le long terme.
Parce que les équipements et les données sortent du périmètre interne de l’entreprise et parce que les nouveaux dispositifs connectés échappent aux procédés de protection traditionnels, les organisations se doivent de changer profondément leur approche de la sécurité numérique.
Des automates interrogeables par le système d’information de l’entreprise peuvent poser des soucis du point de vue de la DSI.
En pratique, l’impact de ces nouveaux usages pour la sécurité des systèmes d’information et des données reste difficile à mesurer et les perceptions varient, comme le traduisent les résultats de l'équipe :
-44 % des professionnels interrogés imaginent un impact positif ;
-37 % ne parviennent pas à se prononcer ;
-14 % redoutent un impact négatif ;
-et 5 % n’envisagent aucun impact.
En tout état de cause, 84 % des répondants affirment que la transformation numérique a ou aura un impact fort sur la sécurité des systèmes d’information et des données.
Le degré de préparation aux cyber-risques
Néanmoins, les répondants interrogés lors de l'étude sont confiants quant au niveau de préparation de leur entreprise, alors que les protections mises en place pour accompagner les projets de transformation numérique restent somme toute traditionnelles (antivirus à 78 %, VPN à 76 %, appliances physiques et antispam à 70 %) et… que les budgets alloués à la sécurité dans ces projets restent méconnus pour 48 % des personnes interrogées.
Au global, la note moyenne que les entreprises accordent à leur niveau de préparation face aux cyber-risques que pose la transformation numérique est de 6,6/10.
De nouvelles sources de failles de sécurité identifiées
Cependant, il est intéressant de noter que pour les professionnels interrogés :
-ces technologies numériques certes indispensables à la modernisation de leurs entreprises ouvrent la porte à de nouvelles failles de sécurité ;
-leur préoccupation essentielle est devenue la sécurité des échanges d’informations avec l’extérieur (avec une alerte de risque d’attaque environ tous les trimestres d’après les témoignages recueillis) ;
-pour 62 % d’entre eux, l’accroissement du travail des salariés en dehors des murs de l’entreprise est la principale problématique à surmonter en matière de sécurité ;
-48 % des DSI considèrent que les applications de types services de partage de documents (applications SaaS) présentent un risque élevé en termes de confidentialité des informations et maîtrise de ces informations par l’entreprise.
Solutions à mettre en place
Protéger les données des terminaux
Les terminaux n'étant plus abrités par l’enceinte de l’entreprise, et avec des équipements mobiles et des données de l’entreprise circulant au-delà du traditionnel pare-feu, les solutions de chiffrement s’imposent pour éviter les vols ou pertes de données.
Le chiffrement (ou cryptage) est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement.
Environ 42 % des DSI estiment qu’il faudrait mieux sécuriser les terminaux (PC, tablettes ou smartphones) dont les utilisateurs se servent lorsqu’ils sont en situation de mobilité ou en télétravail. Selon Matthieu Bonenfant, directeur marketing chez Stormshield, « le problème posé par le nomadisme des salariés est lié au fait qu’en dehors du périmètre de ses sites géographiques, l’entreprise n’encadre plus les procédures de contrôle. L’équipement est exposé au vol, à la perte, à l’espionnage et les données sensibles qu’il héberge peuvent se retrouver dans les mains d’un inconnu ou d’une personne malveillante ».
En complément de la mise en place de VPN (Virtual Private Network) (voir ci-après), le contenu du disque dur de l’appareil client doit être chiffré, de sorte qu’un malfaiteur qui se retrouverait en sa possession ne puisse pas l’examiner.
Ce mécanisme de protection est nécessaire mais, néanmoins, pas suffisant, car même si les constructeurs de terminaux et PC professionnels proposent souvent cette option, ce chiffrement ne résiste pas à un espion qui dispose des logiciels adéquats pour le pirater. En plus du chiffrement matériel par défaut, il est donc généralement recommandé d’utiliser un logiciel permettant, par exemple, de déplacer les fichiers sensibles dans un container disposant d'un chiffrement supplémentaire.
Sécuriser les accès distants
Le télétravail est devenu un droit inscrit dans le code de travail depuis septembre 2017, en France (ord. 2017-1387 du 22 septembre 2017, art. 21, JO du 23 ; ord. 2017-1718 du 20 décembre 2017, JO du 21) et cette nouvelle condition réglementaire nécessite la mise en place d’un système d’accès distant au système d’information (SI) pour les entreprises qui n’en disposaient pas encore. En effet, l’ouverture du SI depuis l’extérieur peut vite devenir un trou béant en termes de sécurité si des mécanismes de protection adaptés ne sont pas déployés.
Les solutions pour sécuriser ces accès distants consistent à :
-authentifier les employés en situation de mobilité ;
-appliquer de règles d’accès (spécifiques si besoin) sur les ressources mises à disposition ;
-et protéger les communications pour assurer leur confidentialité.
Cela peut passer en particulier par l'utilisation d'un réseau privé virtuel communément appelé VPN désigne, en informatique, un système permettant de créer un lien direct entre des ordinateurs distants, en isolant ce trafic. On utilise notamment ce terme dans le travail à distance, ainsi que pour l'accès à des structures de type cloud computing, mais également en matière de services.
Ces règles constituent les « briques de base » d’un accès distant sécurisé. Pour répondre à cet enjeu, 76 % des entreprises interrogées dans l'étude ont mis en place un système d’accès distant via un VPN dans le cadre de leur transformation numérique.
La sécurisation des nouvelles fonctions collaboratives
Parmi les nouvelles fonctions collaboratives, les services de partage de documents en ligne (tels que OneDrive, Google Drive ou encore Dropbox) constituent un point de vigilance particulier, puisque les entreprises estiment qu’ils font partie des éléments de transformation dont le niveau de protection devrait être amélioré en priorité. La problématique qui se pose en pratique est la suivante : les directions métiers des entreprises, et notamment celles des industriels, obtiennent pour ce type de services des tarifs groupe très attractifs comparativement au coût actuel de leurs serveurs de fichiers, mais elles ne peuvent pas accepter que leurs données se retrouvent en clair sur une plateforme exploitée par un tiers et accessible à tous.
Parmi les solutions envisageables, les fournisseurs de services de partage en mode cloud proposent généralement de chiffrer les données pour que seuls les utilisateurs disposant des bons droits d’accès puissent les lire. Toutefois, ces droits d’accès ne sont en principe administrables que par les responsables de la sécurité.
D'un point de vue pratique, cela induit une surcharge de travail pour ces derniers et un délai parfois non négligeable dans le traitement des demandes. Or, pour que la collaboration reste agile, il faut que ce soit l’utilisateur lui-même, en tant que propriétaire de la donnée, qui puisse attribuer des accès aux collaborateurs de son choix. Inversement, il n’est pas non plus envisageable de laisser les salariés partager leurs documents sur des plateformes sur lesquelles l’entreprise n’a pas contrôle, sans garde-fous.
L’utilisateur doit donc pouvoir accéder aux fonctions d’autorisation depuis son ordinateur (ou autre), mais tous les relevés d’activité doivent remonter sur le tableau de bord de surveillance des équipes de sécurité. Pour les messageries et services de partage cloud, la solution peut être d'implémenter un logiciel de gestion des accès à la donnée (niveau de criticité des données, sélection des collaborateurs autorisés…) depuis l’interface de l’utilisateur, doté d'un mécanisme de chiffrement de fichiers de bout en bout, depuis le terminal de l’expéditeur jusqu’à celui du destinataire. Les administrateurs définissent alors les identités et les règles d’usage sans pouvoir accéder aux données.
Focus sur les objets connectés (le « zero trust »)
Les caméras de surveillance, les outillages ou véhicules connectés sécurisent les bâtiments des entreprises. Ces objets connectés créent le lien entre le monde physique et le monde numérique et sont ainsi un des piliers de la transformation numérique. Leur développement exponentiel est un véritable challenge pour la sécurité numérique, car on ne sait généralement pas aussi bien sécuriser ces environnements IoT (Internet of Things, ou en français l'Internet des objets) que des serveurs ou des PC. Pourtant ce sont des cibles de choix pour les cyberattaques.
Pour éviter que les objets connectés ne se retournent contre leur propriétaire ou ne soient détournés de leur usage, une solution souvent préconisée par les professionnels est le principe de « Zero Trust ». Il s'agit d'isoler, par filtrage, ces composants du reste du système d’information. La segmentation du réseau en zones de confiance permet de contrôler toutes les connexions entre zones ou avec Internet.
Dans le cadre des objets connectés, il est possible de savoir quels types de connexions sont réalisés de manière légitime. Le fait de fonctionner par listes blanches et de n’autoriser que certaines actions comme la connexion d’un objet vers sa plateforme cloud de management permet de maîtriser, rapidement en principe, le détournement éventuel d’un tel objet connecté. Les pare-feu ou firewalls de l'entreprise sont adaptés et calibrés en conséquence. Il est souvent intéressant de prévoir des boîtiers évolutifs dont le châssis permet d’acquérir des modules de connectique additionnels au fur et à mesure que des zones sont ajoutées sur le réseau.
Les nouvelles technologies liées à la transformation numérique modifient les process et les modèles qui améliorent l'efficacité opérationnelle, mais ouvrent aussi de nouvelles brèches dans la sécurité.
Les entreprises y sont préparées à des degrés divers mais, dès lors que des failles sont identifiées, il existe diverses solutions techniques pour sécuriser les nouveaux usages.
Pour sécuriser les accès distants, deux des solutions préconisées sont la mise en place d'un réseau privé virtuel (VPN) et l'application du principe du « zero trust » pour l'utilisation des objets connectés.