We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X

RECHERCHES ET BULLETINS

Adapter les plans d’intervention en cas de cyberincident pour les employés travaillant à distance

 


La pandémie de COVID-19 a incité de nombreuses organisations à passer rapidement au travail à distance, ce qui a souvent obligé les équipes des TI à augmenter rapidement la bande passante disponible du réseau et à modifier le modèle d’exploitation « normal » pour que l’entreprise continue de fonctionner. En soutenant un nombre beaucoup plus élevé de travailleurs à distance, les équipes des TI peuvent avoir contourné leurs processus et procédures habituels, ce qui pourrait entraîner la violation, l’affaiblissement ou l’élimination de leurs politiques en matière de TI et de sécurité.

Lors de la mise en œuvre de leurs solutions de télétravail, les organisations ont augmenté par inadvertance les risques d’exploitation, surtout dans le domaine de la cybersécurité. Des personnes mal intentionnées n’ont pas tardé à tirer parti de ces risques en exploitant des vulnérabilités communes du réseau privé virtuel (RPV), en dirigeant des campagnes d’hameçonnage vers les utilisateurs des plateformes populaires de communication et de collaboration, en ciblant le protocole de bureau à distance (RDP) de Microsoft et en mettant en place une infrastructure pour soutenir les campagnes malveillantes (voir la figure ci-dessous). 

Comme votre environnement de travail à distance est plus important qu’avant, votre organisation devrait-elle revoir sa façon de réagir à un cyberincident? La réponse est oui; voici pourquoi.

Avant la pandémie, les plans d’intervention en cas de cyberincident et de brèche de sécurité (ICBS) reposaient sur la supposition que la majorité des employés travailleraient sur place dans des environnements contrôlés par l’entreprise. Maintenant, beaucoup d’employés – voire la plupart – travaillent à distance dans une grande variété de contextes. Ces environnements hors de l’entreprise peuvent introduire une foule de nouvelles menaces auxquelles les équipes des TI et de la cybersécurité doivent se préparer.

Alors que les équipes des TI et de la cybersécurité resserrent le niveau de cybersécurité de leur organisation, elles n’ont peut-être pas tenu compte de leurs plans ICBS et de la façon de les adapter à la « nouvelle normalité » et aux cyberincidents qui pourraient encore se produire.

De nombreux réseaux domestiques ont des failles de sécurités inhérentes, car ils sont généralement « prêts à l’emploi » et conçus pour fonctionner avec peu d’options de configuration lorsque les utilisateurs les déploient. Les caméras de sécurité physiques, les appareils électroménagers, les interrupteurs de lumière, les ampoules, les éléments de chaîne stéréo, les interphones de surveillance et d’autres appareils courants sont généralement configurés pour se connecter automatiquement à tout réseau domestique disponible. Ces appareils utilisent une vaste gamme de protocoles et de ports pour communiquer avec les fabricants et les utilisateurs afin de leur offrir un service pratique – mais pas sécurisé. Et ces mêmes réseaux qui accumulent des applications connectées périphériques sont les mêmes que ceux que les télétravailleurs utilisent pour se connecter aux réseaux informatiques de l’entreprise, qui peuvent être connectés à des RPV ou non.

Comment pouvez-vous mieux vous préparer à intervenir en cas de cyberincident dans des environnements à distance?

Alors que le télétravail à grande échelle fait partie de la nouvelle normalité, il est important que les équipes des TI et de la cybersécurité se préparent à l’exploitation potentielle de nouvelles infrastructures distantes. Plus précisément, vous devriez tenir compte des éléments suivants :

  • Cernez vos faiblesses : élaborez le pire scénario de cyberincident possible, où un logiciel malveillant est installé dans le système informatique d’un travailleur à distance, puis utilisez-le pour mener un exercice de simulation. À la fin de celui-ci, déterminez ce qui a bien et moins bien fonctionné et affectez des employés à la correction des lacunes et des faiblesses de votre plan ICBS dans un délai convenu. Votre plan ICBS doit ensuite être mis à jour en conséquence.
  • Examinez vos configurations de base : revoyez la mise en œuvre d’une configuration de base minimale satisfaisante limitant les activités acceptables du système informatique des télétravailleurs. Par exemple, pensez à éliminer l’utilisation de ports USB ou à les restreindre à des utilisateurs particuliers qui pourraient en avoir besoin dans le cadre de leurs fonctions et responsabilités. Une fois la configuration de base établie et testée, mettez-la en place pour vos employés travaillant à distance.
  • Faites examiner plus fréquemment les systèmes informatiques à distance et les autres journaux : envisagez la mise en œuvre de journaux supplémentaires pour le système informatique des télétravailleurs qui recueillent et analysent les données pour repérer les activités non autorisées ou douteuses pouvant nécessiter une enquête plus approfondie. Lorsque possible, automatisez la collecte et l’analyse des journaux de vérification.

Lorsque vous planifiez votre intervention pour un incident ICBS potentiel alors que votre main-d’œuvre travaille en grande partie à distance, il est important que vous :

  • élaboriez des processus et des procédures nécessaires pour isoler les systèmes informatiques individuels de travail à distance – ou un groupe de systèmes informatiques qui peuvent être connectés – afin de soutenir l’analyse et l’enquête requises liées au cyberincident;
  • déterminiez comment les cyberenquêtes concernant les systèmes informatiques à distance seraient menées, y compris les procédures concernant la chaîne de possession;
  • soyez prêt à recueillir rapidement les journaux des systèmes informatiques de travail à distance et la création d’images du disque dur des télétravailleurs; et
  • pensiez à la façon de reconnecter le plus rapidement possible les travailleurs à distance désignés (au besoin).

La préparation, la planification et l’exécution d’exercices de simulation relatifs à la cybersécurité – à la fois les exercices techniques et ceux impliquant la haute direction – aideront grandement votre organisation à tirer le maximum du travail à distance, tout en étant prête à gérer efficacement les cyberincidents.