À l’heure où l’incertitude prédomine encore, que ce soit sur le plan sanitaire avec une éventuelle seconde vague, ou économique, les organisations ont au moins une certitude : le télétravail est là pour durer, en leur sein et chez leurs prestataires. Au premier semestre 2020, le télétravail concerne 40% des actifs, contre… 3% en 2017 !
Le 26 mai, nous avons demandé à trois spécialistes de partager leur expérience et leurs conseils : Arnaud Martin, RSSI du Groupe Caisse des Dépôts, Vanessa de Chambrun, Directrice Commerciale France de PrimX, et Arnaud Laprévote, PDG de Lybero. Retour sur leurs messages clés.
Est-ce qu’il faut chiffrer les données de l’entreprise ?
Oui. Il y a un consensus clair de nos intervenants : les informations les plus stratégiques de l’entreprise, qu’elles soient financières, commerciales, sur l’innovation ou sur les ressources humaines se retrouvent disséminées encore plus massivement hors des locaux de l’entreprise avec le confinement. Pour une raison simple : elles sont stockées et transmises en clair chaque fois qu’elles ne sont pas chiffrées. Il faut donc toujours chiffrer ses données sur le cloud, et plus l’information est sensible, plus on opte pour des solutions de cloud et de chiffrement régionales puis nationales. Ce chiffrement des données dans le cloud est un sujet de sécurité important au niveau de l’organisation, mais c’est plus généralement un enjeu d’indépendance stratégique pour l’Europe.
Et qu’est-ce qu’on chiffre ?
Surtout, soyons pragmatiques avant toute chose ! Pour Vanessa de Chambrun, savoir distinguer ses données sensibles et les classifier est en pratique bien trop difficile. Appliquer le chiffrement à toutes les données stockées reste encore la meilleure chose. Pour Arnaud Martin, les données partagées, que ce soit par mail par exemple, sont très complexes à chiffrer et les utilisateurs n’acceptent pas d’être bloqué dans leur usage. Il faut donc intégrer la réalité de ce risque, faute de pouvoir l’éviter. Cela n’exclut pas qu’on ait une vision globale sur les types de données sensibles telles qu’elles sont définies par le RGPD, rappelle Arnaud Laprévote. De la feuille de paye aux fichiers concernant le personnel, le règlement européen aide à identifier les données importantes.
Quel impact a eu le confinement ?
En mars, le travail à distance est passé de l’exception au cas majoritaire. Après la période initiale de digitalisation massive du travail, est venue celui d’une meilleure appréciation des risques relatifs entre les attaquants (perçus comme le risque majeur), l’hébergement cloud, l’administrateur-système et l’utilisateur final, note Vanessa de Chambrun. Arnaud Martin l’a constaté, le « Comex » a été rendu plus sensible par des cas de fuites d’information qui ont été rendus publiques. Le chiffrement n’a pas été un enjeu en soi de la crise du coronavirus, mais sa pertinence a été renforcée. Et c’est ainsi, conclut Arnaud Laprévote, que l’administrateur système, typiquement un millennial, est ou doit devenir le centre de toutes les attentions des organisations.
L’administrateur système, le grand oublié dans l’évaluation des risques ?
Oui ! Il y unanimité sur ce point. On a trop dit que l’utilisateur était le principal risque pour l’entreprise. S’il représente un danger, et un danger supérieur à l’attaquant, il faut « coller au plus près » de l’administrateur IT. Votre administrateur système a accès à des informations sensibles ? « C’est mal, il faut le considérer comme une menace », assène Arnaud Laprévote. Arnaud Martin approuve et insiste : l’administrateur ne doit absolument pas avoir accès au contenu. S’il n’a pas de formation SECNUM, il doit être particulièrement supervisé, et même sur-surveillé par le SOC. L’entreprise doit avoir une politique dure de la gestion de ses prestataires, avec décider d’exclure le personnel si nécessaire. C’est d’autant plus important que l’administrateur IT extérieur n’est pas une exception, c’est même pratiquement la règle souligne Vanessa de Chambrun : 80% des administrateurs sont des prestataires extérieurs. Il est dès lors crucial de cloisonner les accès aux informations, pour réduire ce risque, largement sous-estimé.
Et au fait, comment on déchiffre ?
Chiffrer, c’est clé, mais savoir déchiffrer aussi ! Pour ce faire, il faut avoir la capacité technique de le faire, mais aussi le droit de le faire. La question essentielle est : qui peut déchiffrer, c’est-à-dire avoir accès à l’information protégée ? C’est là que se révèle l’intérêt de développer une politique interne de déchiffrement des données. Comme cette politique touche à l’organisationnel autant qu’au technique, elle est l’occasion pour l’entreprise de réunir ses différents métiers, le juridique et la sécurité, l’IT et les métiers. Pour que l’information, qu’elle soit chiffrée ou déchiffrée, soit toujours protégée.
Par Jean-Christophe Le Toquin, Manager des Affaires publiques SOCOGI