Robotisation et cybersécurité : le nouvel eldorado des pirates ?

Si la robotisation (ou RPA, Robotic Process Automation), est de plus en plus démystifiée, nombre d’entreprises à avoir investi dans ces technologies ne se sont pas réellement penchées sur les risques qui en découlent que ce soit au niveau du système d’information ou des processus. Cependant, faut-il vraiment craindre la robotisation ?

En scénarisant des enchaînements d’activités répétitives, la robotisation permet d’automatiser tout ou partie d’un processus pour rendre ainsi plus fluide, efficace et performante la gestion des tâches récurrentes et à faible valeur ajoutée. A ce titre, la dématérialisation des factures tout comme la fonction « contrôle interne » sont des exemples de processus pouvant être automatisés par une approche de robotisation. Or, comme tout élément connecté au système d’information de l’entreprise, la qualification de l’utilisation d’un robot ou d’une technologie de RPA devrait théoriquement faire l’objet d’une analyse de risques afin d’évaluer les menaces induites par ce nouvel outil.

Depuis plusieurs années, la communauté des développeurs est accompagnée par des experts en cybersécurité afin de sécuriser au mieux les programmes et codes-sources des applications utilisées par les collaborateurs et clients. Ces efforts importants de sensibilisation et de formation ont fait leurs preuves et permettent ainsi, peu à peu, de diminuer drastiquement les risques. Toutefois, les robots sont quant à eux à la main, non pas des Directions des Systèmes d’Information (DSI), mais des Directions métiers et opérationnelles : le langage utilisé pour « programmer » les robots est peu orienté vers les enjeux de cybersécurité. De même, il est légitime de s’interroger sur l’application des bonnes pratiques de développement en particulier pour la gestion des exceptions, la reprise en cas d’erreur ou encore les mécanismes d’authentification.

Ce constat est d’autant plus vrai que de nombreux projets de robotisation sont développés dans des délais particulièrement serrés pour répondre à des problématique urgentes et souvent ponctuelles. Par conséquent, si les équipes de développement, au sein des DSI, sont désormais sensibilisées aux risques de cybersécurité et aux précautions de base à prendre pour construire des socles robustes, il sera peut-être nécessaire de porter les efforts de sensibilisation au-delà des effectifs IT.

Bien entendu, les enjeux habituels de cybersécurité comme ceux relatifs aux habilitations sont toujours d’actualité avec l’avènement de la RPA. Un robot pouvant se connecter aux applications avec des identifiants et mots de passe d’utilisateurs – parfois directement enregistrés dans l’outil lui-même – la portée des actions réalisées est à définir avec prudence pour éviter une fuite de données incontrôlée. Une bonne affectation des droits et le maintien d’une gestion cohérente des comptes, comme n’importe quelle autre brique applicative du système d’information, sont alors de mise et, par ailleurs, le moteur de RPA doit posséder idéalement un compte propre avec les droits justes nécessaires sur les données qu’il traite.

Il est à noter que de nombreuses offres de RPA reposent sur des environnements externalisés nécessitant une ouverture des systèmes d’information à des acteurs extérieurs à l’entreprise. Des précautions en vigueur sur les projets Cloud sont donc également à prendre en compte, notamment en cas de traitements sur des données sensibles ou personnelles, qui plus est dans le contexte actuel de déploiement du Règlement Général sur la Protection des Données (RGPD).

Le monitoring des actions réalisées par les robots doit être suivi de près afin, d’une part, d’être en mesure de détecter préventivement un éventuel dysfonctionnement de l’outil et, d’autre part, de pouvoir tester la capacité des équipes à reprendre manuellement les travaux délégués aux robots en cas de perturbation des automates. Rappelons enfin que les mécanismes en jeu sur ce mouvement de robotisation peuvent contribuer à renforcer le niveau de sécurité de l’entreprise.

En somme, si la robotisation apparaît comme le nouvel Eldorado des pirates et que les inquiétudes liées à la sécurisation de ces environnements sont justifiées, son introduction dans les entreprises se heurte à des problématiques historiques : à l’instar de n’importe quel autre composant du système d’information, il est nécessaire d’appliquer les consignes et réflexes de cybersécurité acquis sur les déploiements de robots.