Internet devient enfin un réseau d'entreprise

La tendance se dessinait, le confinement l'a confirmé : le réseau d'entreprise a moins la cote auprès des collaborateurs. Et ce n'est que le début.

Combien de DSI se sont, ces derniers mois, rongés les ongles ou arrachés les cheveux en tentant de mettre en place des VPN flambants neufs au service des accès de collaborateurs pas ou peu formés au télétravail ? Si accéder à ses données d’entreprise semble un geste naturel à bon nombre de professionnels, ce n’est en effet pas forcément le cas de tout le monde. Car au nom de la sécurité, de la conformité ou de la cohérence, la complexité perdure dans l’entreprise à l’heure où une véritable transformation s’avère nécessaire. 

Las, parer au plus pressé ouvre-t-il nécessairement un risque sur la sécurité ? Un œil dans le rétroviseur renseigne sur les mécaniques qui ont mené à cette complexité, et qui commencent à se décalcifier : à mesure du développement des réseaux sans fils en entreprise – dans le milieu des années 2000, il a été d’usage de créer des réseaux "guests". Destinés aux visiteurs, et symboles d’une certaine qualité d’accueil à l’époque, ces réseaux ont progressivement la faveur de tous, y compris des employés eux-mêmes qui y voyaient notamment un moyen de s’affranchir de procédures d‘identification parfois fastidieuses, ainsi que la possibilité d’introduire sur leur lieu de travail et dans leurs tâches quotidiennes non seulement leurs propres équipements, souvent plus sexy, avouons-le, que ceux que proposaient la DSI, mais aussi des applications améliorant parfois la productivité, stimulant souvent des approches innovantes. Si le “shadow IT”, l’informatique de l’ombre — non géré —, a apporté son lot de risques, il a aussi démocratisé certains usages.

Tout le monde n’y a-t-il pas trouvé son compte ? Le phénomène allégeait certainement la to-do de services informatiques débordés et peu motivés par les corvées de gestion de parc et surtout, permettait de se concentrer sur le développement applicatif ou la sécurité.

Il est clair que les nouveaux usages et les 5 jours de télétravail obligatoires par semaine donnent plus "raison" à ceux qui ont anticipé et accompagné le phénomène qu’à ceux qui l’ont combattu. Internet est devenu le premier réseau d’entreprise. D’ici à dire que la transition vers le cloud se fait à marche forcée, il n’y a qu’un pas. Et alors ? D’après une enquête de Zscaler menée en 2019, 66% des applications d’entreprises s'exécutent déjà dans le cloud. Cette tendance aussi devrait se confirmer, alors que la même étude précise que seulement un tiers des décideurs (33%) estiment disposer d’une infrastructure d’accès à distance sécurisée. 

Les discussions de ces derniers mois avec les DSI montrent que dans leur grande majorité, ils réfléchissent a minima à arrêter les solutions à obsolescence dans leurs investissement de datacenter, devenus colossaux. Plus posés, peut-être, dans cette période de relative incertitude, ils semblent plus ouverts à la réflexion et à l’échange sur l’innovation, et sur ce terrain, la flexibilité l’emporte désormais. 

Si l’une des principales préoccupations est de faire en sorte que l’expérience du réseau distant soit équivalente à celle des sites d’entreprise, le sujet de la sécurité, s’impose comme le défi numéro 1. L’avalanche récente de ransomwares montre que le réseau d’entreprise est la cible de tous les assauts. Et la première étape des plans de reprise après sinistre est bien souvent de remonter un accès Internet pour rétablir la collaboration. Les enjeux nouveaux s’articulent donc autour de la conception des infrastructures, dont on peut légitimement penser qu’elles vont progressivement décorréler les données, les applications et les devices, et appliquer à chaque élément des niveaux de sécurité particuliers, parmi les plus puissants.

Le recours massif au télétravail a profondément modifié la notion même de périmètre de cybersécurité et donc l’approche et les outils que les entreprises doivent privilégier. Selon une étude ISG, les solutions de sécurité individuelles pour les postes de travail et les terminaux bénéficient ainsi d’un regain d’attention et de nouveaux efforts de développements pour augmenter leur efficacité. 

Bien sûr, les hackers s’adaptent et affinent leurs ciblent et leurs stratégies à mesure de l’évolution des architectures IT : la société de sécurité Proofpoint a ainsi détecté près de 6 millions d’emails contenant des liens malveillants Sharepoint ou OneDrive, et remarqué qu’ils génèrent bien plus de clics que ceux contenant de "simples" URL malveillantes.

Toujours selon Proofpoint et d’après une enquête datée de fin 2019, 43% des responsables informatiques estimaient que les employés représentent une porte d’entrée pour les pirates (48% pour les clients et 38% pour les travailleurs temporaires). Les données manquent encore, mais il est vraisemblable que ce chiffre évolue de manière notable en 2020, pour preuve la croissance exponentielle des attaques ransomware en 2020, de l’aveu même de l’ANSSI.

Les dirigeants d’entreprise se sensibilisent au sujet, et cherchent désormais à identifier les meilleurs moyens d’éviter les cyberattaques, au besoin d’y répondre. Le tout, dans un contexte imposé d’entreprise distribuée et d’exigence expérientielle toujours plus fortes.