Cybersécurité : préparer la reprise d’activité au déconfinement

Durant la période de confinement liée à la crise sanitaire du CORONAVIRUS – COVID-19, de nombreuses organisations (entreprises, collectivités, associations…) ont dû interrompre leur activité ou au mieux la maintenir partiellement, en recourant au télétravail de manière parfois massive, voire improvisée.
Dans le même temps, et comme redouté, les activités cybercriminelles se sont intensifiées pour profiter de cette situation de fragilité des organisations et de leurs collaborateurs.

L’annonce du début du déconfinement va permettre aux organisations d’envisager une reprise au moins partielle et progressive de leur activité. Si, dans une première étape, le recours au tététravail reste toujours à privilégier partout où c’est possible, les organisations doivent se préparer à cette reprise, tant au plan sanitaire que pour reprendre le contrôle de leur sécurité numérique.

Pour cela, elles devront réaliser un diagnostic opérationnel qui leur permettra de lister les actions prioritaires à conduire et leur ordonnancement, afin de rétablir leur maîtrise de la sécurité de leurs systèmes d’information. 

Les 10 mesures suivantes visent à aider les organisations dans la réalisation de leur plan d’action cybersécurité de déconfinement.

1. Recenser et analyser les incidents de sécurité 

Les incidents de sécurité qui ont pu se produire durant le confinement doivent être recueillis et contrôlés pour s’assurer qu’ils n’ont pas engendré de faiblesse dans la sécurité de l’organisation et pour les corriger au besoin. Un appel à signalement complémentaire des collaborateurs pourra utilement être réalisé, avec des exemples concrets (exemples : hameçonnage de mot de passe, document suspect reçu en pièce-jointe d’un message…), pour cerner le plus précisément possible les incidents survenus.

2. S’assurer du bon fonctionnement de ses outils de protection 

Il est primordial de s’assurer du bon fonctionnement des outils de sécurité avant d’envisager une reprise d’activité : antivirus, pare-feu, systèmes de détection d’intrusion… Toute anomalie comme par exemple l’arrêt d’un antivirus sur un système critique, devra être considérée comme un signe possible d’attaque et investiguée comme tel.

3. Rechercher les indices de compromission 

Les journaux des pare-feux, antivirus, proxy, serveurs critiques… doivent être analysés à la recherche de tout indice suggérant une possible cyberattaque comme des connexions inhabituelles, des détections de programmes malveillants ou des transferts anormaux d’informations. Il conviendra également de vérifier les pare-feu à la recherche de nouvelles règles inappropriées, les annuaires de comptes pour déceler toute création de nouveau compte suspect, ou encore les serveurs de messagerie pour repérer des règles de transferts de messages vers des comptes externes illégitimes, qui auraient pu être créées durant la période de crise.

4. Déconfinement : contrôler et tester les sauvegardes

L’actualité démontre que les sauvegardes sont déterminantes pour toute entreprise victime d’une cyber attaque. Avant de reprendre l’activité de l’organisation, il est donc particulièrement important de vérifier leur bon fonctionnement, notamment en procédant à des tests de restauration et de s’assurer de disposer d’une copie récente des données qui soit déconnectée du réseau afin de pouvoir faire face à une attaque par rançongiciel.

5. Réaliser les mises à jour de sécurité en instance

Si durant le confinement certains systèmes n’ont pas pu recevoir leurs mises à jour de sécurité, il convient de mettre en œuvre un plan de rattrapage cohérent et sans précipitation pour éviter tout effet de bord sur l’activité opérationnelle. La priorité sera donnée aux systèmes de sécurité, puis aux systèmes ou serveurs critiques exposés directement ou indirectement sur Internet, et enfin aux postes de travail des collaborateurs. 

6. Déconfinement : recentraliser les données

Durant le confinement, des données de l’organisation ont pu être dispersées sur les postes des télétravailleurs ou de manière temporaire sur certains services de d’hébergement externes (cloud). Il convient donc de les recentraliser au sein de l’organisation pour s’assurer de leurs sauvegardes et de les supprimer dans les règles de l’art sur les stockages inappropriés pour limiter tout risque d’atteinte en matière de confidentialité.

7. Contrôler les équipements nomades avant de les reconnecter au réseau de l’entreprise

Avant d’en ré-autoriser la connexion au système d’information de l’entreprise, tous les équipements nomades utilisés durant le confinement (ordinateurs portables, téléphones mobiles, tablettes) doivent faire l’objet d’un contrôle strict pour s’assurer qu’ils n’ont pas été compromis, et idéalement faire l’objet d’une réinstallation complète depuis une matrice maîtrisée, sécurisée et convenablement mise à jour par l’organisation.

8. Déconfinement : refermer les accès externes devenus inutiles

L’organisation doit s’attacher à réduire son exposition, et donc sa surface d’attaque, en refermant tous les accès externes ouverts qui seraient devenus inutiles. Il peut s’agir d’accès externes à fermer au niveau des pare-feux mais aussi de comptes avec droits privilégiés ouverts à titre exceptionnel sur certains systèmes de l’organisation qu’il faudra clôturer.

9. Mettre fin aux usages à risques dérogatoires 

Pour faire face au confinement, de nombreux usages d’applications, de services ou de pratiques ont pu être autorisés à titre exceptionnel mais peuvent présenter un risque de sécurité pour l’organisation. Il convient donc de communiquer avec pédagogie et transparence sur l’arrêt d’autorisation de ces pratiques dérogatoires.

10. Tirer rapidement les enseignements du confinement pour traiter tout ce qui doit l’être 

L’organisation doit savoir tirer les enseignements de la crise pour se préparer à être en capacité de mieux l’affronter en cas de résurgence. Cela peut concerner sa politique d’équipement matériel en postes nomades professionnels maîtrisés pour les télétravailleurs, en équipements logiciels ou outils de travail à distance (visioconférence, téléconférence, hébergements de données…), en outils et procédures sécurisées de télétravail ou de télé-administration de ses systèmes, en infrastructures de sécurisation de ses systèmes, en formation et sensibilisation de ses collaborateurs, etc.