Sûreté, contrôle d'accès et cybersécurité en confinement
Entretien avec Agnès BOSCHET, fondatrice du cabinet ABG-3D et Claude MANANDAZA, fondateur et manager de MACSKY
Replay webinar du 06/05/2020
Agnès BOSCHET, experte en cybergouvernance et fondatrice du cabinet de conseil en intelligence stratégique ABG-3D et Claude MANANDAZA, fondateur et manager de l'intégrateur de solutions de gestion des accès, MACSKY, nous ont rejoint pour un nouveau webinar : une discussion éclairée en réponse aux questions que l'on est en droit de se poser au sortir de cette période de confinement.
Point contextuel sur la cybersécurité
Au sortir, en 2019, d’une guerre économique basée sur la techno entre les USA et la Chine (5G et microcomponents), nous avons assisté à une montée en puissance des attaques de cybersécurité vers des structures stratégiques “ennemies” pour accélérer le développement des entreprises chinoises. S’en sont suivies des attaques très fines et des intrusions de système qui perdurent sur le long terme et qui sont très difficiles à identifier pour l’entreprise inféodée.
Une étude de Wavestone (agence internationale de cybersécurité) constate qu’il faut 167 jours en moyenne pour détecter une attaque. Ces attaques visent principalement à collecter des renseignements sur les partenaires ou à comprendre les systèmes de l’entreprise hackée, et il faut environ 1 semaine pour se débarrasser d’un ransomware. Ces atteintes à la cybersécurité sont perpétuées par des agences spécialisées, des entreprises parfois liées à l’état ou des individus isolés, parmi lesquels parfois des ex-collaborateurs des entreprises attaquées.
Depuis le début de la pandémie, on compte déjà de nombreux exemples d’attaques perpétrées. Un hôpital du Grand Est par exemple s’est fait hacker 4.000 badges d’accès. D’autres exemples d’atteinte à la cybersécurité :
- Les données personnelles de salariés de l'aéroport de San Francisco qui fuitent suite à une cyberattaque (L'Usine Digitale, 15/04/2020)
- Les services administratifs du Grand Est paralysés par une cyberattaque (L'Usine Digitale, 21/02/2020)
Comment garantir la cybersécurité en télétravail ?
Pour les employés qui doivent accéder à des informations simples et identifiées ou à leurs mails, le télétravail est tout à fait possible ; il existe pour cela des systèmes de Single Sign On (un mot de passe envoyé à l’employé qui n’est pas le mot de passe final). Ce processus de cybersécurité est la plupart du temps suffisant. Pour les personnes qui doivent faire de la télémaintenance également, le système reste le même que pour les employés. En revanche, pour les personnes qui ont des accès d’administration “pointus” (ex: un accès aux serveurs), le télétravail n’est pas possible. Ils doivent impérativement se rendre sur site ; se pose alors le problème du contrôle d’accès.
Pour une cybersécurité plus élevée, il est nécessaire de procéder à une authentification forte. Cela consiste à communiquer à l’employé un identifiant et un mot de passe (de nouveau, pas le mot de passe final) mais aussi un ensemble de solutions d’identification supplémentaires comme un code envoyé sur le smartphone, une identification biométrique, etc.
C’est sur les salles de marché que le niveau le plus extrême de cybersécurité est mis en place. Cela peut se matérialiser par une combinaison de lecteurs qui lisent le doigt de la main (pas son empreinte mais bien les veines à l’intérieur), le tout couplé à un code d’authentification supplémentaire, de sorte qu’il est possible de tracer avec précision, quelle personne a fait quelle action. En règle générale, les grandes entreprises se contentent toutefois d’établir leur cybersécurité en aillant recours au Single Sign On (mot de passe intermédiaire) et à de la restriction des accès par type d’employés.
Cybersécurité et clusterisation, isolement des fonctions et des individus
La clusterisation est une méthode pour préserver la cybersécurité par la gestion des accès en fonction des identités. Des droits sont alloués de manière automatique à un profil type d’employé jusqu’à sa sortie ou parfois même sa mort. Les droits sont modifiables selon les changements de fonction et sont soumis à validation de la hiérarchie de l’employé. Ceci nécessite un accès à un annuaire (en open source ou sur Microsoft) afin de procéder aux mises à jour automatiques de ces droits d’accès. Cette partie nécessite un audit d’organisation pour savoir qui dépend de qui et quels sont les besoins. Cette attribution des droits est souvent effectuée par des DSI, mais ils préfèrent souvent garder la main sur les accès et ne prennent pas toujours en compte les processus métier.
Cybersécurité et engouement pour les solutions clouds au sein des grands groupes
Le facteur humain est la raison principale pour laquelle les grands groupes passent par le cloud. Il y a un manque criant de ressource en ingénieurs systèmes. Les sociétés se retrouvent avec des outils dont elles ne peuvent plus assurer la maintenance en raison de ce manque d’ingénieurs systèmes disponibles. Avoir une infrastructure interne implique également un investissement matériel, doublé d’un savoir-faire pour les sauvegardes, et les mises à jour ne se font pas automatiquement sur des systèmes internes. D’un point de vue comptable, une infrastructure représente un investissement et pas une charge mensuelle, ce qui en fait un fonctionnement bien moins avantageux.
La virtualisation, c’est à dire la mise à disposition des ressources dans un cloud, est une solution. Et les clouds portent une attention particulière à la cybersécurité. L'adresse affichée sur le serveur n'est pas la véritable adresse IP, ce qui brouille les pistes et complique la tâche pour le hacker. Pour une cybersécurité optimale, il peut être envisager de recourir à un processus d’identification forte et de crypter les données de messagerie avec différentes clés. Les millennials qui travaillent de plus en plus sur des outils depuis leur téléphone accélèrent ce mouvement vers le cloud car il devient inapproprié de stocker des documents sur un ordinateur par exemple.
Sûreté d’un accès et cybersécurité sont souvent liés
La spécialité de Welcomr est le contrôle d’accès des bâtiments mais comme les assaillants viennent pour chercher non pas des biens mais des données dans les entreprises, cela concerne désormais aussi la cybersécurité. Les intrusions se font généralement là où il y a des fragilités, c’est à dire dans des buildings ne disposant pas de gardien, sans vidéo surveillance et sans un bon système de contrôle d’accès.
Il peut cependant y avoir des fragilités dans les systèmes de contrôle d’accès : les badges peuvent être volés ou copiés par exemple. En cette période de confinement où le télétravail est relativement répandu, les badges sont à la maison ; ils ne sont donc pas volés. Mais les badges avec des niveaux de sécurité basiques type CIN (Chip Identification Number) peuvent être copiés, et dans les logs d’accès conférés par les badges se trouvent parfois tout un tas de données personnelles.
Le meilleur niveau de sécurité est aujourd’hui le téléphone, car il est intrinsèquement plus dur de pénétrer le système d’un smartphone. On s'aperçoit très vite le cas échéant de sa disparition, avec la possibilité de réagir immédiatement à distance.
Quelles solutions Welcomr pour le retour au bureau ?
Le contrôle d’accès est envisagé par les entreprises pour faciliter le retour de leurs employés au bureau post-déconfinement. Le mode d’accès en vogue est actuellement le QR Code car c’est sans contact, c’est très adapté aux visiteurs occasionnels et ça se pose sur les portillons à l’accueil. S’il ne s’agit pas du système le plus sécurisé, il est par contre particulièrement adapté aux événements, aux réunions ou aux accès temporaires.
Welcomr est aussi sollicitée sur la gestion de parcours d’accès à distance. Il est ainsi possible de créer des parcours d’accès spécifiques en considérant des zones autorisées, en fonction du service de l’employé. Prenons l’exemple de Camille qui ne peut pas aller voir Paul au 5è étage car elle ne fait pas partie de son service et ne dispose pas des accès autorisés. Un simple appel depuis son propre bureau suffira pour lui faire passer son message.
Cela limite les occasions de contact. Une entreprise pourra par exemple bloquer les accès quand elle estimera que le nombre d’employés atteindra un seuil critique. Tout ceci est possible dans notre Security Center grâce à un ingénieux système de réservation.
Retrouvez plus d’informations concernant notre solution sur la page dédiée : solution de gestion sécurisée et flexible du contrôle d’accès en SaaS.
Vous pouvez également bien sûr nous contacter à tout moment à l’adresse suivante : contact@welcomr.com.