Depuis les années 70 du siècle dernier, l'évolution sociale et technologique a progressivement changé le paradigme du travail, auparavant traditionnellement effectué dans les espaces physiques contrôlés par l'employeur. Cette progression a connu une accélération jamais vue auparavant en raison de la récente crise sanitaire. Les mesures de confinement et de gestion qui en ont résulté ont en effet forcé le recours à la travail agile, par ailleurs également par le biais d'appareils électroniques non contrôlés par la plate-forme technologique de l'employeur ; dispositifs, entre autres, pas toujours en adéquation - comme on le comprend aisément - avec les recommandations ou normes des organismes de certification ou d'agrément.
Les effets sur la sécurité de l'information et sur la continuité opérationnelle des réseaux, des systèmes d'information et des services d'information ne se sont pas fait attendre. Et les prochains mois apporteront vraisemblablement de nouvelles preuves d'une vulnérabilité systémique d'une dimension entièrement nouvelle, fille de deux aspects concomitants, dont les effets se conjuguent avec des résultats exponentiels : la désalignement soudain créé entre le périmètre de sécurité informatique et le périmètre de sécurité physique; etl'utilisation massive d'appareils personnels pour pallier - dans une large mesure dans la première phase de la crise - le manque de entreprise cliente (smartphone, tablettes et ordinateurs attribués par l'employeur aux salariés, pour ainsi dire) nécessaire pour assurer le « smartworking ».
Oui, car le monde du travail s'est réveillé un matin et a dû faire face à une réalité - le confinement à domicile - qui a détourné les flux d'informations sur le travail et les opérations commerciales vers les segments technologiques de l'intimité domestique, des administrations publiques et du tiers secteur. Une masse de trafic, pas exactement "de loisir", est tombée sur le petit toupie famille (la porte d'entrée cybernétique de la maison), sur l'ordinateur de la chambre des enfants - utilisé dans la promiscuité aussi pour les cours à distance - ou sur la dernière version de smartphone de fabrication « extrême-orientale », sur laquelle se déroulent des séances de travail en visioconférence, des jeux actifs variés et les interactions les plus extravagantes de les réseaux sociaux.
Le tout aguerri par le fait que, pour des raisons pratiques et économiques évidentes, ces segments de réseau naissants et improvisés ont majoritairement déplacé l'accent - sur le plan physique - sur la technologie radio (Wi-Fi), moins fiable que les câbles de cuivre et de la fibre .
Bref, face aux passerelles, portails, pare-feux et serveurs d'accès distant (i.e. cyber-cuirassés déployés pour protéger les réseaux de casernes, ministères, organismes à but non lucratif et entreprises) l'ennemi a eu la possibilité de contourner le front de défense et de percer latéralement via le modem caché dans le placard de la maison des "télétravailleurs".
L'argument est d'une telle importance que le Institut national des normes et de la technologie a lancé un « appel à commentaires », mobilisant l'intelligence collective du secteur pour adapter la normalisation des processus et des méthodes de sécurité à la nouvelle réalité. Et dans la patrie, le sujet est sous l'attention du CSIRT Italie (les forces spéciales Cyber de notre République, pour ainsi dire), qui a entre autres lancé une campagne de sensibilisation spécifique.
Faisons donc le point - à vol d'oiseau - des profils de risque à surveiller.
Tout d'abord, le périmètre d'analyse à considérer se compose de trois domaines de processus, partiellement chevauchants mais conceptuellement différents : "télétravail", c'est-à-dire l'exécution de travaux en dehors du périmètre de sécurité physique de l'organisation ; les "accès à distance", c'est-à-dire la possibilité d'accéder - de l'extérieur - aux ressources informatiques non publiques d'une organisation ; les « BYOD », acronyme de "Bring Your Own Device" et c'est la possibilité de travailler avec smartphone, tablettes et ordinateurs non contrôlés par l'employeur, c'est-à-dire ceux appartenant au travailleur ou à des tiers contractuels (entrepreneurs).
Le risque à l'étude doit être encadré en faisant quatre hypothèses de base. La première découle de la considération que vous ne pouvez pas protéger ce que vous ne contrôlez pas physiquement. Le télétravail fonctionne - par définition - en dehors du périmètre de sécurité physique de l'employeur et donc les « clients » de l'organisation peuvent être plus facilement dispersés, volés ou rester temporairement hors de la disponibilité du travailleur. La conséquence peut ici être la perte des données sauvegardées dans l'appareil perdu ou la tentative d'accès frauduleux aux infrastructures du serveur, exploitant les mécanismes d'authentification de l'appareil volé.
La seconde renvoie au fait que, sauf exceptions coûteuses généralement liées à la circulation d'informations stratégiques pour les systèmes nationaux de défense et de sécurité, l'« accès à distance » s'effectue via des réseaux - radio ou filaires - mis à disposition par des tiers (prestataires) et dont la sécurité n'est pas contrôlée. De là découle toute la question de l'interception illégale du trafic de données à des fins de vol ou de sabotage d'informations, typique des tactiques offensives des L'homme au milieu (MITM).
Le troisième, de grande affinité conceptuelle avec la crise sanitaire actuelle, consiste à danger de contagion par des virus informatiques via des appareils infectés qui ont été autorisés à se connecter au réseau interne de l'organisation. C'est, par exemple, le terrain d'élection des tactiques Accès initial les cyber-pirates qui visent à infiltrer l'environnement informatique de la victime avec un exécutable pour mener des actions de sabotage, dégradation, vol ou commande et contrôle clandestins.
La dernière hypothèse doit être faite en référence aux ressources internes qu'il est décidé de mettre à disposition pour un accès depuis l'extérieur, notamment si elles sont réalisées par BYOD, telles que l'ordinateur portable du contractant, smartphone personnel de l'employé, la tablette du consultant. Ici, en comparaison, l'approche consistant à être prudent dans la remise des clés de la maison au jardinier s'applique, afin que vous n'ayez pas à vous enfermer hors de la maison ou à cambrioler l'appartement en votre absence.
Une série d'hypothèses de risque supplémentaires doit être formulée spécifiquement pour le BYOD. Décrivons-les brièvement : tout d'abord il y a toujours un gradient « d'épaisseur » (robustesse du degré de sécurité) entre les environnements informatiques de l'employeur et les appareils personnels : ce maculage constitue un facteur d'avantage pour l'adversaire. En effet, par nature smartphone personnels sont destinés à un usage de loisirs et sont naturellement plus minces (pour ainsi dire plus fragiles) que les infrastructures des employeurs, où les exigences de sécurité et de continuité opérationnelle les obligent à être plus robustes que flexibles. De plus, tout trafic illégal généré par le BYOD connecté au réseau de l'employeur peut être imputé à l'employeur, avec des complications juridiques évidentes et des atteintes à la réputation.
Enfin, un réseau d'employeurs qui permet la connexion BYOD peut être un champ de bataille inconscient entre des appareils tiers. EST faire de la sécurité il ne s'agit pas seulement de protéger nos actifs ; mais aussi empêcher quelqu'un d'exploiter le nôtre atout lancer des attaques contre les autres!
Pour en savoir plus:
https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft
https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking
https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid