Pour 37 % des RSSI et DOSI interrogés par le CESIN, le télétravail est un nouveau facteur de risque cyber. La Digital Workplace est littéralement vitale pour les entreprises en période de confinement, mais basculer des milliers de collaborateurs en télétravail a considérablement augmenté la surface d’attaque de l’entreprise.
Télétravail et Cloud Computing ont accru le niveau de risque qui pèse sur les entreprises et ces dernières sont engagées dans une course aux armements pour contrer les attaquants. Alors que le télétravailleur peut être amené à prêter son PC à ses enfants pour suivre des cours à distance, parfois à installer des jeux, le RSSI doit resserrer les boulons. Pour Laurent Noë, directeur général d’Oïkialog, la première action à mener est de mettre en place une politique d’utilisation de l’outil informatique : « Les utilisateurs ne doivent pas être administrateurs de leur poste. Cela peut paraître un lieu commun, mais à partir du moment où l’utilisateur est administrateur, on peut lui installer toutes les solutions de protection, celui-ci peut passer outre, installer des applications tierces, et toutes les briques de sécurité deviennent inefficaces.»
L’EDR, une nouvelle brique de sécurité pour la Digital Workplace
Un antimalware reste indispensable pour protéger ces postes, et même si les antivirus à base de signatures ont clairement montré leurs limites, ceux-ci permettent de se débarrasser de 90 % des attaques non ciblées. Néanmoins, une nouvelle génération d’outils est en train de s’imposer dans les grandes entreprises et les MSSP, les EDR (Endpoint Detection and Response). Ces solutions allient une capacité de détection des incidents de sécurité sur les postes clients mais aussi des outils backoffice pour investiguer sur ces incidents et prendre des mesures de remédiation. « Le marché des EDR s’accélère de manière significative » explique ainsi Grégoire Germain, président d’HarfangLab, éditeur français d’EDR. « Souvent, les entreprises déploient notre EDR en catastrophe, pour répondre à un incident de sécurité. Beaucoup d’entreprises se tournent vers nous à l’occasion d’une attaque puis conservent la solution. » Outre les outils d’analyse des attaques, le mode détection de l’EDR constitue un moyen supplémentaire pour détecter les signaux faibles annonciateurs d’une attaque par ransomware. Grégoire Germain ajoute : « La phase de reconnaissance de l’attaque offre toujours quelques indices significatifs qu’il est possible de détecter. Généralement, les attaques sont minutieuses et longuement préparées, ce qui donne le temps de les détecter. » En outre, si une attaque parvient à passer ce rideau défensif, l’EDR va repérer l’activité anormale des postes qui chiffrent les données, les bloquer immédiatement et empêcher la propagation de l’attaque sur l’ensemble du parc informatique.
XDR, l’EDR de nouvelle génération arrive
Alors que les grandes entreprises se dotent d’EDR, déjà la relève arrive, ce sont les XDR, acronyme d’eXtended Detection and Response. L’éditeur McAfee vient de lancer son offre MVision XDR, une solution Cloud adaptée aux nouveaux enjeux de sécurité de la Digital Workplace selon Laurent Maréchal, Technology Architect de l’offre MVISION Cloud chez McAfee. « L’EDR, c’est presque une solution legacy aujourd’hui ! La digitalisation des entreprises accélère, le home working a explosé en raison de la crise sanitaire et les environnements IT ont beaucoup évolué et se sont déplacés vers le Cloud. Ces architectures modernes apportent de nouvelles menaces, de nouveaux challenges pour les RSSI. » L’expert de McAfee rappelle qu’avant même le recours généralisé au télétravail, le délai de détection et de remédiation d’une attaque était de l’ordre de 200 jours. Les RSSI doivent réduire absolument ce délai, ce qui passe par de nouveaux outils mais aussi et surtout par de nouveaux processus : « Lorsque l’on interroge les administrateurs de SOC, 66 % d’entre eux estiment que les processus de détection et réponse sont inefficients car les EDR ne considèrent pas toutes les ressources de l’entreprise, notamment celles qui sont dans le Cloud. »
Sécuriser le poste de travail, c’est l’éternel combat entre le glaive et le bouclier. Le télétravail a sans doute redonné l’avantage aux attaquants mais avec une nouvelle génération d’outils, les défenseurs peuvent gagner en efficacité et rétablir la balance en leur faveur.