José Araujo (Orange Cyberdefense) "La cybersécurité du télétravail concerne maintenant les petites entreprises"
La cybersécurité à l'heure du travail à distance fait partie des grands enjeux de cette rentrée, alors que s'ouvre le salon IT&IT Security Meetings à Cannes. Le CTO d'Orange Cyberdefense nous apporte son éclairage.
JDN. En quoi la démocratisation du télétravail impacte-t-elle les stratégies d'entreprise en matière de cybersécurité ?
José Araujo. L'analyse des risques en cybersécurité se fait en fonction de l'infrastructure de l'entreprise. Il y a quelques années, cela se limitait aux ordinateurs et aux datacenters, puis on a vu les gens commencer à travailler en mobilité. Mais en commençant à accéder à des informations sensibles de l'entreprise depuis l'extérieur, les problèmes changent. Il faut faire attention à ce que la politique de sécurité de l'entreprise soit aussi stricte au bureau que chez soi. Quand des gens en charge de la sécurité en entreprise doivent mettre en place des mesures, ils ne peuvent pas se contenter de mettre un pare-feu. Il faut faire attention à ce que les salariés n'aient pas de comportements préjudiciables.
L'ouverture des entreprises au travail à distance n'implique-t-elle pas de renforcer l'Endpoint Security Management ? N'est-ce pas là l'enjeu principal ?
C'est un gros enjeu, mais ce n'est pas suffisant. Je dirais que le plus gros enjeu, c'est l'utilisateur lui-même. On le répète souvent, c'est la vulnérabilité la plus exploitable, il faut sensibiliser ses collaborateurs. Le plus important est de ne pas utiliser d'équipements personnels, mais ceux fournis par l'entreprise. Avec un matériel professionnel, on est plus sensibilisé et on reproduit l'usage du bureau.
Il faut évidemment sécuriser le logiciel et le matériel. Avec un logiciel de type Endpoint Detection and Response, on pourra renforcer et s'assurer de la sécurité de l'équipement. Le covid a forcé les gens à faire du télétravail, mais au début ce n'était pas réfléchi, cela ressemblait à du télétravail dégradé. Il faut concevoir une politique de sécurité de l'entreprise. Cela passe par la sécurisation des postes, les mises à jour ou le chiffrement des clef USB.
Dans une configuration de télétravail, le cloud n'est-il pas l'un des meilleurs moyens de sécuriser les PC en termes de gestion des accès, de VPN, de sauvegarde, de gestion des mises à jour de sécurité ?
C'est sûrement le meilleur moyen. Traditionnellement, sur le site d'une entreprise, il y avait des techniciens qui pouvaient s'assurer des mises à jour, des changements de mots de passe ou des sauvegardes par exemple. Aujourd'hui, on ne peut plus le faire à distance, on le fait avec des orchestrateurs de sécurité.
"Le cas de figure extrême, c'est un poste qui ne fait plus rien localement, à part afficher ce qui se passe sur un serveur"
L'étape d'après, c'est la migration vers le cloud, de plus en plus d'acteurs et de solutions apparaissent. On virtualise l'environnement de travail en le centralisant dans le cloud. Le cas de figure extrême, c'est un poste qui ne fait plus rien localement, à part afficher ce qui se passe sur un serveur, y compris toutes les applications. Avec le zero-trust, on ne fait confiance à rien et on vérifie tout : l'appareil depuis lequel se connecte l'utilisateur, l'authentification à multiples facteurs ou les connexions inhabituelles.
Un Security Operation Center (SOC) comme celui d'Orange Cyberdéfense est un vrai plus pour superviser de tels parcs ?
La plupart des grands clients ont des SOC. La question concerne maintenant les petites entreprises. C'est tout ce qu'on a décrit jusque-là : comment configurer, surveiller et réagir aux menaces. Les grandes entreprises étaient nos premiers clients, on ouvre également nos offres aux constructeurs automobiles par exemple, ils vont avoir une obligation européenne de superviser la sécurité de leur système. Nous avons aussi des micro-SOC, plutôt pour les petites entreprises qui n'ont pas les moyens d'avoir 15 experts. Pour quelques milliers d'euros, notre personnel maintient la sécurité. Ce sont des tarifs relativement faibles par rapport au service. Les coûts sont réduits parce que nos experts se consacrent à plusieurs clients plutôt qu'un.
Que préconisez-vous en cas d'attaque par ransomware sur le poste d'un membre du comité de direction d'un grand groupe en télétravail ?
Un ransomware, c'est un malware qui chiffre les données. Il y a toute une stratégie de sécurité à mettre en place : on va fournir un nouveau poste, le restaurer à partir d'une ancienne sauvegarde, et c'est reparti pour un tour. Il faut identifier le problème et éviter que ça se reproduise.
"Des mobiles à usage strictement professionnel, éventuellement sécurisés avec des cartes SIM de chiffrement et de calcul cryptographique"
Pour un haut cadre, on imagine qu'il y a une équipe dans l'entreprise. Elle va essayer de comprendre comment le virus s'est introduit et s'il a contaminé d'autres machines sur le réseau. Le personnel peut aussi être démuni parce que le travail a été mal fait et qu'il n'y avait pas de sauvegarde, donc pas de solution. L'intérêt de la sauvegarde hors ligne est de protéger les données de ces attaques, il faut faire de la prévention à ce niveau-là.
L'affaire Pegasus a relancé le débat sur le piratage de données sensibles sur les smartphones. Quelles mesures un opérateur d'importance vitale (OIV) doit-il mettre en place pour minimiser les risques d'intrusion exploitant des failles zero-day ?
C'est un secteur un peu à part, ils n'ont pas d'obligation particulière sur leurs mobiles, mais sur leur SIIV (système d'information d'importance vitale, ndlr), la partie très sensible de leur réseau. Tous les systèmes ne doivent pas être interconnectés : le téléphone mobile ne va pas être connecté au SIIV. Il faut des moyens de protection, des mobiles à usage strictement professionnel qui soient éventuellement sécurisés avec des cartes SIM de chiffrement et de calcul cryptographique. Lorsque le téléphone communique avec un terminal du même type, ça passe par un réseau spécifique. Les OIV peuvent en acheter, cela n'est pas à destination du grand public.
Selon vous, cette affaire va-t-elle générer une prise de conscience en contribuant à modifier profondément les stratégies de sécurité et les moyens alloués ?
Au gouvernement et à l'ANSSI, tout le monde connaissait les risques, mais les gens n'arrivaient pas à se convaincre des mesures de sécurité drastiques à mettre en œuvre. Pegasus permet de se rendre compte de la réalité. Ces attaques se démocratisent à tel point que ce sont des entreprises privées qui les développent. Auparavant, il s'agissait d'agences de renseignement. Les mesures de protection à mettre en place sont beaucoup plus importantes que pour des menaces classiques. Il faut identifier dans l'entreprise les personnes qui pourraient être ciblées et leur donner une attention toute particulière. On ne peut pas équiper tout le personnel.
José Araujo est le Chief Technology Officier d'Orange Cyberdefense depuis avril 2021. Il est membre du conseil scientifique de l'AFNIC, du comité d'Inria en charge des questions légales, éthiques et d'intégrité scientifique (Coerle) et depuis 2007, il intervient comme expert auprès de la Commission européenne. Il a précédemment dirigé durant plus de 10 ans la division scientifique et technique à l'ANSSI et le département sécurité des Bell Labs en Europe.