Pouvoir, potentiel et risques de sécurité de la Robotic Process Automation

L’emploi du RPA signifie-t-il, par exemple, que les organisations utiliseront prochainement des armées de robots futuristes, pour effectuer le travail que les humaines faisaient par le passé (un peu comme dans le film I, Robot) ?

Définition du RPA

Il s’agit de l'utilisation de logiciels dotés d'intelligence artificielle (IA) et de capacités d'apprentissage automatique (machine learning) pour gérer un volume conséquent de tâches qui nécessitaient auparavant l’intervention d’un humain. En d’autres termes, cette technologie fait appel à des « logiciels robots » pour automatiser la majorité du travail manuel nécessaire aux tâches quotidiennes comme intégrer des données (factures, bons de commande, etc.) d’une application vers une autre. En revanche, le RPA ne se concentre pas sur la partie intellectuelle du travail, ou l’automatisation cognitive, afin d’extraire des informations à partir de sources non structurées. C’est là, le rôle – et la valeur irremplaçable – des humains d’une entreprise. Cette technologie ne remplace pas les employés, mais leur permet plutôt de tirer parti de leur expérience et de leurs capacités ; ils peuvent ainsi concentrer leurs efforts sur des tâches plus critiques. Son rôle, en somme, est de simplement combler les zones de vide en offrant un support pour les tâches chronophages et répétitives 24/7 et cross-régions.

Automatisation d’une tâche classique par un « logiciel robot »

Tout d’abord, un processus manuel unique est utilisé pour créer un flux de processus opérationnels, enregistré dans un second temps par les robots ou « bots ». Dès lors, toute règle, politique ou exception relative à ce processus est identifiée, pour être ensuite assignée et gérée par des humains. Il est ensuite mis en production et répété maintes fois. Au cours de ce continuum, des mesures correctives sont effectuées pour améliorer en permanence le processus et maximiser ainsi l’efficacité opérationnelle, la productivité et les réductions de coûts.

RPA et connexions à privilèges

Par conséquent, que doivent savoir les professionnels de la sécurité informatique au sujet des plateformes de RPA et les connexions aux accès à privilèges ? Pour faire simple, il s’agit d’un nouveau vecteur d’attaque et les organisations doivent impérativement protéger les comptes à hauts pouvoirs puissants qui se trouvent dans ces plateformes.

En effet, les logiciels de RPA interagissent directement avec les applications, pour imiter la manière dont ces dernières utilisent et incarnent les identifiants de connexions et autorisations humaines. Ils peuvent donc introduire des risques considérables, au moment où le bot automatise et exécute des processus opérationnels habituels à travers plusieurs systèmes.

Afin de réduire ces risques au maximum, la sécurisation des identifiants de ces robots est primordiale. Pour automatiser ces processus au sein d’un environnement, les bots ont besoin d’accès à “hauts-pouvoirs” (ou accès à privilèges) afin de mener à bien leur mission – que ce soit la connexion à un ou plusieurs systèmes pour accéder à des données ou faire évoluer un processus de l’étape A à l’étape B.  Cela conduit à une importante quantité d’identifiants stockés dans l’application. Un pirate informatique qui obtient l’accès au registre des mots de passe du RPA, et casse cette « piñata d’identifiants », peut alors les dérober et, à terme, prendre le contrôle des robots. Il peut ensuite tirer profit de ces informations, et de ce pouvoir, pour lancer les enchères dans le cadre d’une attaque par ransomware, comme pour toute attaque de ce type. Sauf qu’avec un RPA, l’ampleur de la menace est bien plus importante : la plupart des entreprises utilisent en effet des centaines, voire des milliers de bots ; ces derniers ont accès à un grand nombre de systèmes, et exécutent plusieurs processus en même temps, ce qui explique la magnitude du risque pour une organisation.

Verrouiller les identifiants du RPA

Afin d’assurer une sécurité maximale pour ses données, une organisation ayant déployé une technologie de RPA doit envisager la mise en place d’une solution de gestion des identifiants. D’une part, celle-ci permettra en effet d’implémenter et de gérer un compte unique pour chaque système cible ayant besoin d’être utilisé par un logiciel robot. Dans ce cas, plus besoin de mettre un identifiant puissant, tel que celui d’un domaine par exemple, dans le serveur de l’application pour que les robots aillent les récupérer. De plus, si un système est violé, seul le système visé sera affecté ; plus d’effet domino sur les autres systèmes ! D’autre part, les identifiants seront stockés et extraits de manière sécurisée. Ainsi, au lieu de les sauvegarder dans une application, les bots demandent des accès dans un coffre-fort numérique centralisé.

Bien que le sujet continue d’alimenter les fantasmes, illustrés au cinéma avec des productions telles que « I,Robot » ou « Blade Runner », le temps n’est pas encore venu pour les robots de remplacer les hommes. Il est temps, en revanche, qu’ils collaborent pour faire face à une cybercriminalité de plus en plus industrialisée ; les hackers étant déjà adeptes de cette alliance « homme/machine » pour perpétrer leurs méfaits. C’est pourquoi dans ce contexte, toute innovation technologique doit, par défaut, être appréhendée sous l’angle de la cyberprotection, et les entreprises, pour garder une longueur d’avance, doivent également former des alliances qui pourront contrecarrer les plans les plus malveillants.