Aujourd’hui, chaque individu est beaucoup plus apte techniquement, du simple fait que nous sommes tous amenés à utiliser différents appareils, technologies et solutions cloud au quotidien. Avec la sauvegarde de photos dans iCloud ou encore la connexion aux réseaux sociaux depuis un iPad ou un smartphone, le périmètre de sécurité moyen d’un individu n’est plus limité à son adresse e-mail, son ordinateur et son site web favori. Cette tendance s’accélérant, ce périmètre devient de plus en plus étendu et fragmenté.
Quand quelqu’un utilise son mobile ou un service en ligne en dehors du travail, le contexte relationnel fait que son attitude et sa perception du risque sont généralement assez relâchés. On partage ainsi volontiers des informations basiques et son adresse e-mail en échange d’accès à des services. Toutefois, dans un environnement de travail, où la technologie est rendue disponible et intégrée en continu, la même personne peut être tentée d’adopter le même comportement et de partager des informations basiques de l’entreprise en échange d’accès à des contenus ou services. Elle peut vouloir prendre des raccourcis et parfois agir avant de réfléchir.
Changement de périmètre, la surface d’attaque s’est agrandie
Les pratiques de cybersécurité traditionnelles, reposant essentiellement sur des pares-feux et une répartition des différents centres de données sur différents sites, ont été mises en place pour réduire la surface d’attaque et la diversité des points d’accès qu’un hacker voudrait emprunter en cas de compromission du réseau d’une entreprise.
En principe, cette approche est toujours d’actualité, mais la sophistication croissante des cyberattaques oblige à adopter des approches complémentaires pour réduire le nombre des menaces et les bloquer. Du fait de la multiplication des appareils sur le réseau d’une entreprise, le pare-feu n’est plus un rempart suffisant pour cette dernière.
La migration vers les services cloud combinée à la diversité des appareils donnant accès instantanément à l’information est une prouesse technologique fantastique, mais cette multiplication des terminaux a aussi des répercussions sur la posture de sécurité et sur le degré de vulnérabilité. Une personne peut être très à l’aise avec le cloud et utiliser de nombreux terminaux et appareils chez elle. Mais au travail, son attitude et son comportement vis-à-vis de la technologie devraient être bien plus distancés et calculés qu’en dehors.
Conformité et éducation
Dans les organisations, on mésestime trop souvent l’importance de la contribution de chaque salarié et l’impact de son comportement sur la sécurité d’un service, d’une entreprise ou d’une administration du secteur public. De simples tâches quotidiennes et des attitudes en termes de communication peuvent être d’une importance cruciale dans la lutte contre la cybercriminalité et déterminer l’issue d’une tentative de piratage. Dans de nombreux cas, l’employé se trouve en première ligne de la cyber défense, non seulement vis-à-vis des e-mails ou des tentatives de phishing, mais aussi dans sa façon d’interagir avec les services numériques.
Le cloud est une zone libre, affranchie de la politique de sécurité d’une organisation traditionnelle. Les fournisseurs de services cloud comme Microsoft Azure d’Amazon Web Services observent certainement des procédures de conformité aux règles de sécurité. Mais le niveau de complexité augmente avec les bases de données connectées, qui donnent accès aux données sensibles qui y sont stockées.
L’activité sort alors du champ de conformité interne et crée la nécessité d’une évolution réglementaire, en plus d’un effort d’éducation pour sensibiliser les salariés au message de conformité. L’information des équipes est la condition fondamentale de la défense d’une organisation contre les cyber menaces, puisqu’en moyenne plus de la moitié des organisations attribuent un incident de sécurité ou une compromission de données à la malveillance ou la négligence d’un salarié.
Allons-nous vers une société zéro confiance ?
Les salariés d’aujourd’hui évoluent dans un environnement de travail interconnecté où coexistent de multiples terminaux. Ils travaillent plus efficacement car ils ont accès à tous les services et contenus dont ils ont besoin à tout moment. Cela crée une plus grande diversité d’accès potentiels pour les hackers, augmente la surface d’attaque et génère de la confusion entre les règles internes et la responsabilité individuelle.
Toutefois, le concept d’un environnement de travail zéro confiance, où les accès sont strictement restreints, si bien qu’il faut faire la demande chaque fois que l’on a besoin d’accéder à un contenu ou un service, n’est tout simplement pas envisageable. Se pose donc la question suivante : allons-nous vers un modèle de services d’entreprise calqué sur Snapchat, avec un accès accordé à certaines personnes uniquement, et limité dans le temps, après quoi il faut renouveler la demande ?
Je pense qu’une juste combinaison d’éducation et de mise en conformité, assurée grâce à un partenaire sécurité et une équipe interne, peut faciliter les opérations sans avoir recours à des mesures extrêmes pour protéger les actifs et la propriété intellectuelle d’une organisation. Au contraire, un programme d’éducation intelligent étendu à tous les salariés de l’entreprise et couplé aux services de partenaires experts de la sécurité peut permettre de créer un barrage pour protéger la sécurité d’une organisation dans un monde de plus en plus digital.