Le support informatique doit être la première ligne de défense face aux cyberattaques

Les équipes du support informatique sont les mieux habilitées pour détecter et apporter des réponses rapides face aux potentielles cyberattaques.

Lorsqu’un appareil fonctionne mal, ou qu’une application métier démontre des dysfonctionnements réguliers, le premier réflexe de l’utilisateur est d’alerter non pas le responsable de la sécurité, mais le support informatique. Ces pannes représentent souvent le premier symptôme d’une attaque par un malware qui, si elle n’est pas rapidement détectée, peut mener à une infection massive et généralisée du système d’information de l’entreprise.

C’est la raison pour laquelle les équipes du support informatique sont les mieux habilitées pour détecter et  apporter des réponses rapide face aux potentielles cyberattaques. 

Selon notre étude, dévoilée cette semaine, 22% des DSIs déclarent avoir subi des attaques de sécurité de leur infrastructure IT à partir de terminaux fixes et mobiles au cours des six derniers mois. On estime généralement qu’il se passe en moyenne entre 80 à plus de 200 jours entre le moment où survient l’attaque et sa détection. Dans la majorité de ces cas, il est très probable que les équipes du support IT aient pu détecter des éléments révélateurs liés à ces attaques. Le problème est simple : si ces incidents sont efficacement répertoriés, les programmes malicieux  sont stoppés. En revanche,  le fait que ces données mettent autant de temps à circuler montre parfaitement le fossé existant entre le support informatique et les équipes de sécurité, ainsi que tout le bénéfice qu’il y aurait à éliminer les silos.

L’idée selon laquelle l’IT et la sécurité sont des disciplines différentes n’a plus lieu d’être et doit être repensée afin d’assurer une coopération cruciale pour l’efficacité et la sécurité de l’entreprise.  

Néanmoins, des recherches de l’institut SANS ont révélé que les entreprises ne prennent pas assez en compte l’aspect sécurité dans le budget de leur centre de support. Ainsi, presque 40% de ces organisations sont très vulnérables en termes de sécurité ou pire n’ont mis en place aucune politique sécuritaire au niveau du centre de support. 

Notre récente étude révèle que les attitudes changent. En effet, la gestion unifiée des terminaux mobiles était considérée comme étant prioritaire pour les solutions ITSM par 17,2% des interviewés en 2016,  contrairement à 5,7% en 2015. Ce n’était pas un des atouts de l’ITSM le plus cité mais cela prend de l’importance. De plus, lorsque la question s’est posée sur les  enjeux qui vont le plus impacter la DSI et la gestion des services, la sécurité des accès est citée par 14,1% des répondants. Parmi les autres fonctionnalités de l’ITSM considérées comme "importantes", la sécurité figure en 5ème place (42,2%) derrière le catalogue de services (60,9%), la gestion des incidents et problèmes de support (60,9%), les niveaux de services (46,9%) et le reporting (43,8%). 

Cependant, le support informatique est le département le mieux  positionné en ce qui concerne l’atténuation des risques. Il est capable d’évaluer  précisément ce que contient le réseau. De plus, il peut identifier les comportements suspects et évaluer certaines tendances. Les requêtes dites de "routine" qui n’ont en apparence aucun lien avec la sécurité peuvent se révéler précieuses dans le cas où elles apparaissent simultanément chez plusieurs utilisateurs ou sur plusieurs appareils. Ainsi, cela peut constituer le premier signal d’alerte pour parer certains problèmes et/ou cyberattaques. C’est aussi la raison pour laquelle le support informatique a besoin de ses propres mécanismes de défense. On comprend mieux pourquoi les équipes en charge de la sécurité devraient mieux communiquer avec celles du support IT, que ce soit à travers des rapports ou des communications ad-hoc.  

Parallèlement, ce constat trouve aussi un écho dans la généralisation du phénomène BYOD (Bring Your Own Device), qui est représente une nouvelle menace potentielle pour la sécurité des entreprises. 95,3%, des entreprises interrogées dans le cadre de notre étude ont déclaré que les terminaux mobiles de leurs collaborateurs pouvaient accéder aux systèmes d’information de leur entreprise. Une partie des connections est faite à partir d’outils informatiques personnels (smartphones, tablettes, ordinateurs).

Dans ce cas de figure, les équipes de sécurité peinent à protéger le système d’information car elles ne peuvent pas surveiller le réseau, contrairement aux équipes de support. Il est impossible d’empêcher les utilisateurs d’installer des applications sur leurs appareils. Il devient donc primordial que le support informatique puisse surveiller ce qu’il se passe lorsqu’un périphérique compromis se connecte au réseau, afin de tracker quels médias sociaux et applications web sont activés en interne. Les équipes du support doivent désormais être dotées de mécanismes de sécurité afin de protéger le système en cas de fonctionnement anormal.  

Le support informatique doit donc devenir le premier rempart pour la raison susmentionnée, et être équipé d’outils adéquats. Concrètement, les systèmes d’exploitation et les  vulnérabilités applicatives doivent être patchées de manière proactive alors que les systèmes de protection des terminaux doivent quant à eux s’assurer que seules les applications autorisées fonctionnent. Le contrôle des données à l’intérieur et en dehors de l’entreprise doit quant à lui être défini dans la politique de sécurité. Par ailleurs, le contrôle des applications et la création white listing applicatives doivent assurer la sécurité des terminaux. Si vous prenez le temps d’équiper votre service support avec ce type de mesures, vous constaterez rapidement les résultats en termes d’efficacité et, par conséquent, vous disposerez  d’un système d’information capable de bloquer la majorité des menaces.  

Un support informatique capable d’une part de visualiser le réseau, ses points d’entrée et les terminaux, et d’autre part de réagir et contrôler ce qu’il s’y passe en identifiant et en réagissant de manière proactive, est assurément la manière la plus économique de renforcer l’intégralité de la sécurité d’une entreprise.  

Attention : je ne prétends pas que le fait de  confier l’ensemble de  la sécurité de l’entreprise au service support permettra de se protéger face aux attaques informatiques. Cela nécessite bien entendu plusieurs niveaux de sécurité pour lutter contre la grande variété des menaces. C’est pourquoi faire du support informatique le premier rempart de défense de l’entreprise est certainement la stratégie la plus efficace. Cela permet de protéger l’entreprise contre la prolifération des malwares et des ransomwares qui ciblent les entreprises de toutes tailles et de toutes  industries.