Voici cinq recommandations de Thierry Tailhardat, directeur France de Bomgar, pour s’assurer que le service d’assistance IT des entreprises n’aide pas involontairement les hackers…
Selon le niveau de compétence technique de celui qui le sollicite, le service d’assistance technique peut être vu comme un dernier recours ou comme un sauveur régulier. Qu’ils règlent de petits soucis ou de gros problèmes, les professionnels du support technique ont souvent accès à une incroyable somme d’information. Ils ont accès à quantité de systèmes et d’informations sensibles, le plus souvent sans supervision.
Mais si cette liberté d’accès est souvent nécessaire pour pouvoir diagnostiquer et régler rapidement les problèmes, elle expose aussi les entreprises à des menaces pour leur sécurité, surtout que les hackers considèrent le support technique comme une cible privilégiée et opportune pour leurs attaques via l’ingénierie sociale ou d’autres moyens.
Dans de nombreuses organisations, les techniciens du support technique ne bénéficient pas nécessairement d’une formation de sécurité appropriée, ni de contrôles d’accès privilégiés, alors même qu’ils disposent de droit d’accès larges et privilégiés. De plus, les exigences de rapidité et de respect des accords de niveaux de service (SLA) les obligent souvent à donner la priorité aux délais de résolution courts plutôt qu’aux meilleures pratiques de sécurité. Les services d’assistance IT qui ne disposent pas de processus et d’outils pour bien faire leur travail dans les meilleurs délais et dans le respect des règles de sécurité risquent d’exposer à des menaces cet aspect de leur stratégie de sécurité.
Voici cinq recommandations pour s’assurer que le service d’assistance IT des entreprises n’aide pas involontairement les hackers.
Amener l’IT à suivre ses propres conseils
Dans le contexte de précipitation qui caractérise les conditions de travail des professionnels du support technique, il est parfois tentant de négliger les meilleures pratiques de sécurité. Mais dans une entreprise qui attend de ses utilisateurs qu’ils observent les règles, il est légitime que les pros de l’IT et du service d’assistance montrent l’exemple et qu’ils instaurent une culture favorable à une posture de sécurité solide. Il peut s’agir de règles simples et élémentaires, comme de reconnaître les marqueurs des attaques d’ingénierie sociale et d’alerter la sécurité IT en cas de demande d’assistance suspecte, d’observer les règles d’hygiène liées aux identifiants et mots de passe (tri et suppression des comptes qui ne sont pas utilisés), de veiller à ce que l’accès aux systèmes de valeur ou à haut risque s’opère via des canaux sécurisés et de ne pas partager (ni noter !) les mots de passe. Ce qui nous amène au conseil suivant…
Encadrer l’utilisation des mots de passe
Même en 2016, il n’est pas rare que des salariés conservent leurs identifiants et mots de passe sur des post-it ou dans des feuilles de calcul. Cela vaut aussi pour les professionnels de l’assistance IT qui ont souvent besoin de listes entières d’identifiants correspondants à différents systèmes et partagent les mêmes accès administrateur avec d’autres membres du personnel IT. Des outils modernes de gestion des mots de passe peuvent éliminer cette prise de risque inutile en mettant à profit des référentiels sécurisés de mots de passe et d’identifiants qu’ils font tourner. D’autres font mieux encore par injection des droits d’accès en arrière-plan, sans que l’administrateur ait besoin de les voir. On ne risque pas de noter sur une feuille volante ce que l’on ne voit pas.
Réévaluer les mesures de performance
de l’assistance IT
Les mesures de performance individuelle, de performance de l’assistance IT ou de performance d’ensemble de l’organisation peuvent inciter à contourner les protocoles de sécurité matures au profit d’une résolution plus rapide des problèmes. Le service d’assistance typique est généralement jugé sur la base de mesures telles que celles de résolution dès le premier appel (First Call Resolution, FCR), de délai moyen de résolution (Average Handling Time, AHT) et de satisfaction client (Customer Satisfaction, CSAT), ce qui peut inciter les techniciens de support à éviter l’application des protocoles de sécurité pour obtenir de bons scores d’évaluation, avec à la clé plus de mal que de bien. Pour combattre ce risque, les DSI (en accord avec leurs pairs de la sécurité IT) devraient équiper les services d’assistance avec des outils de prise en main à distance des systèmes pour résoudre les problèmes avec un maximum d’efficacité, tout en respectant les normes de sécurité en vigueur dans l’entreprise.
Renforcer les accès à distance
Les services de support sont régulièrement sollicités pour dépanner les systèmes IT de salariés distants. Malheureusement, de nombreuses méthodes courantes de prise en main à distance ne sont pas fiables : elles ouvrent une porte qu’elles laissent ouverte si bien que les cybercriminels n’ont plus qu’à s’infiltrer sur les réseaux. L’intrusion n’est parfois détectée que des semaines, voire des mois plus tard. Les réseaux VPN, longtemps utilisés pour les accès à distance, ne sont plus suffisamment sûrs pour l’accès des tiers au vu de la sophistication croissante des hackers. Avec l’évolution du paysage des menaces pour la sécurité, les VPN basiques qui créent des tunnels d’accès libre aux réseaux sont devenus une cible privilégiée des criminels pour s’infiltrer sur les réseaux protégés. Comme l’assistance est souvent sollicitée pour des utilisateurs, des tiers et des systèmes distants, c’est un aspect qui mérite d’être traité en priorité. Les entreprises doivent impérativement adopter des solutions qui éliminent tout risque d’instaurer un grappin façon IP d’infiltration sur le réseau et qui créent au contraire une connexion de courtage avec des couches superposées de contrôle, de surveillance et d’enregistrement.
Assurer un suivi des sessions de support
Le support IT a beaucoup changé ces dernières années. L’administration système et la gestion des tickets d’incident sont toujours aussi déterminants pour le support technique IT, mais la résolution des incidents est plus complexe aujourd’hui. Il faut à présent se doter de solutions d’assistance aux capacités multiplateformes capables de se connecter aux PC fixes et portables et aux terminaux mobiles, quel que soit le système d’exploitation. Toutes les activités des agents au cours de ces sessions de prise en main à distance devraient pouvoir être contrôlées, avec des niveaux d’autorisation granulaires et des processus d’approbation chaque fois que nécessaire. De plus, il faut pouvoir capturer une piste d’audit complète de toutes les activités de prise en main à distance pour justifier de la conformité aux directives de sécurité intérieure et extérieure préconisées par les standards.
L’assistance IT doit bénéficier de niveaux d’accès suffisants pour faciliter le maintien de la continuité des opérations, mais pas au détriment de la sécurité. Les DSI et responsables de la sécurité doivent coopérer pour éviter tout conflit entre facilité d’accès et sécurité, et soutenir ensemble la productivité globale.