Confinement et adaptation des pratiques métiers : plan d’actions pour maîtriser les nouveaux risques cyber de votre organisation

28 July 2020

Cyberattaques pendant la crise sanitaire du Covid 19, c’est un fait, les entreprises n’ont pas été épargnées. Ainsi le présent le rapport de Europol de mars 2020 « Pandemic profiteering how criminals exploit the COVID-19 crisis » : « Le nombre de cyberattaques est important et devrait encore augmenter. Les cybercriminels continueront d’innover dans le déploiement de divers logiciels malveillants et de rançongiciels sur le thème de la pandémie de COVID-19. (…) Les cybercriminels sont susceptibles de chercher à exploiter un nombre croissant de vecteurs d’attaques, profitant notamment du télétravail utilisé massivement par les employés et se connectant au réseau de l’entreprise ».

La crise sanitaire a fait évoluer les risques cyber au sein des organisations. Le télétravail massif, mis en place en urgence a nécessité ou généré des changements de mode de fonctionnement qui ont accrus la vulnérabilité des systèmes d’information.

Toutes les organisations ont été impactées d’une manière ou d’une autre : celles qui n’avaient jamais mis en place du télétravail et celles qui n’avaient pas prévu que tous leurs processus doivent être mis en œuvre à distance.

Des adaptations ayant nécessité ou généré des changements de mode de fonctionnement

Avec le confinement, les collaborateurs ont pu être confrontés à l’inaccessibilité de leur réseau d’entreprise, à l’indisponibilité de leurs ressources matérielles et informatiques (PC fixes), à l’impossibilité d’échanger physiquement des documents… et en parallèle une activité devant continuer, bien qu’en mode dégradé. Pour faire face à cette situation les métiers ont dû adapter leurs pratiques de travail. Ils ont par exemple dû :

adapter les processus métiers :

Les processus qui reposaient sur des circuits papiers : quid des fiches de paie distribuées habituellement manuellement qui ont pu être envoyées par mail ; quid des signatures des représentants des entreprises qui ont pu être scannées avant d’être envoyées par mail pour toutes utilisations ultérieures ; …
Les processus qui utilisaient des modes de stockage internes à l’entreprise, accessibles qu’en VPN, dispositif qui n’a pas pu être rapidement installé sur tous les postes de travail avant le confinement ; …

implémenter d’urgence des solutions non maîtrisées :

notamment pour travailler de manière collaborative, échanger des documents…

Malgré des collaborateurs sensibilisés dans la majorité des organisations, l’urgence de la crise et une continuité d’activité non anticipée ont conduit à apporter des adaptations sans prendre en compte les bonnes pratiques ou les exigences légales et contractuelles en matière de sécurité et de protection des données. Ces choix peuvent par exemple s’expliquer du fait d’automatismes non acquis par les métiers, par la volonté de faire primer la facilité à la sécurité…

Aujourd’hui outre les conséquences business liées à l’impact des cyberattaques sur des systèmes d’information plus vulnérables, il faut également penser aux conséquences juridiques de ces adaptations. En effet, les changements apportés peuvent violer les accords contractuels et/ou les certifications obtenues (ISO 27001, PCI DSS…). Ces impacts s’accumuleraient à un contexte économique fragile et pourraient générer une sur-crise pour l’organisation.

RSSI, DPO, DSI… reprenez la maîtrise ! Prenez la mesure des écarts, traiter les risques induits, préparez-vous à gérer de nouvelles situations demandant de la souplesse et de la réactivité en matière de SSI et protection des DCP

Bien que les organisations ne soient pas encore revenues à la situation nominale d’avant le confinement, il est d’ores et déjà temps d’amorcer un plan d’actions en 3 phases pour reprendre la maîtrise du système d’information. Reprendre la maîtrise n’implique pas nécessairement revenir aux processus initiaux, mais revenir à une situation de conformité en faisant preuve de souplesse et d’adaptation.

Première étape : auditer

Identifier les impacts du télétravail sur les processus métiers: grâce à la connaissance que vous avez de votre organisation (pratiques métiers, applications utilisées…), identifiez les conséquences que le télétravail a pu avoir sur les activités. Commencez par traiter les processus impliquant les données les plus sensibles au sens du RGPD, ou les plus confidentielles.
Identifier les adaptations réalisées par les métiers pour s’adapter à la situation (audit flash RGPD et SSI): échangez avec les métiers et analysez avec eux les changements qu’ils ont été contraints d’opérer. Vous devrez ensuite évaluer les impacts en termes de sécurité et de conformité (légale, contractuelle…).

Certaines adaptations, réalisées ou toujours en cours, peuvent fortement impacter la sécurité du système d’information. Veillez toutefois à rechercher les difficultés à l’origine des écarts plutôt que de sanctionner les métiers.

Deuxième étape : traiter

Traiter les écarts au RGPD et à la sécurité des systèmes d’information : parmi les processus métiers qui ont subi des adaptations non conformes en matière de sécurité et de protection des données, certains ont pu reprendre normalement. Cependant les changements opérés peuvent encore être source de risques. Citons par exemple des documents confidentiels stockés en clair sur un dispositif non validé par la DSI. Il convient donc de traiter ces écarts en indiquant aux métiers ce qu’ils doivent faire pour les corriger.
Trouver des solutions en accord avec les métiers pour se conformer aux exigences normatives et aux bonnes pratiques : certains processus n’ont pas encore pu reprendre normalement et d’autres nécessitent d’être adaptés pour faire face à une éventuelle deuxième vague de confinement ou du moins une inaccessibilité prolongée des locaux. L’audit réalisé en amont a permis d’identifier les adaptations réalisées par les métiers. Il convient à ce stade de trouver des solutions sécurisées répondant aux besoins des métiers.

Pour que les recommandations soient mieux comprises et mieux acceptées par les métiers, il est important de les proposer et de les expliquer en échangeant avec eux, en adoptant une approche pédagogique et en les accompagnant dans l’implémentation des recommandations, sans se limiter à du suivi d’actions.

Troisième étape : préparer

Se préparer à faire face à une crise et à la continuité d’activité en mode dégradé : ne laissez pas faire le hasard, anticipez les crises et mettez en place des plans de continuité d’activité composés de scénarios divers. Il est utopique de vouloir anticiper la crise, mais la préparation permet d’en réduire les impacts et de rassurer les équipes lors de son déclanchement. Aujourd’hui il est indispensable de se doter de plans de gestion de crise cyber et de plan de gestion de violation de données à caractère personnel, créées sur mesure pour votre organisation.
Identifier et formaliser les processus, de la détection, à la gestion de la crise : se préparer signifie identifier le processus de gestion de crise et de continuité d’activité et les formaliser dans le détail, pour toutes les phases de la crise, de la détection à la clôture. Cette formalisation permet également de former les collaborateurs pour qu’ils sachent quelles sont leurs rôles et leurs actions lorsqu’une crise est déclarée.