Cyberattaques et contrôle d'accès aux bâtiments
La pandémie COVID-19 a rendu oisifs un nombre important d'informaticiens qui, s'ennuyant, ont mis leurs compétences au profit d'associations de malfaiteurs, renforçant les équipes des cybercriminels appâtés par la perspective de rançons versées en cryptomonnaies, voire d'Etats qui pratiquent la cyberguerre pour des raisons économiques ou géopolitiques.
Plus une journée ne se termine sans qu'une nouvelle cyberattaque ne soit rendue publique.
Tantôt il s'agit d'un hôpital, avec les conséquences funestes que l'on connaît, tantôt c'est une collectivité territoriale qui est visée. Les PME sont également la cible de rançongiciels (ransomware) qui touchent jusqu'aux entreprises disposant de moyens plus importants de cyberdéfense - telles les laboratoires Servier, l'industriel de l'agroalimentaire Lactalis, ou encore l'Estonie cible endémique de la Russie.
Cependant, il est important de garder à l'esprit que, dans la guerre économique que se livrent les entreprises, l'immense majorité des cyberattaques ne sont jamais dévoilées.
En effet, d'une part l'assaillant n'a pas intérêt à se vanter de son exploit pour maintenir son avantage concurrentiel et/ou protéger sa façon de procéder, sa réputation ou son risque juridique, d'autre part la victime ne souhaite pas forcément inquiéter ses parties prenantes, affoler son cours de Bourse, ou faire fuir les talents ou les clients.
Toujours est-il qu'une entreprise qui subit une cyberattaque se reconnaît facilement : ses systèmes d'information sont à l'arrêt pour minimiser la propagation du rançongiciel.
Le RSSI a déclenché un dispositif de crise exceptionnel qui interdit pratiquement qu'un poste de travail ne soit allumé. Il va donc sans dire que les serveurs sont pratiquement à l'arrêt et que le fonctionnement opérationnel de tous les services est lourdement impacté. L'exploitation subit un préjudice majeur s'il s'agit d'un commerce ou d'une activité industrielle. L'accueil des administrés est réduit à son strict minimum si c'est une collectivité qui est impactée.
L'enjeu principal est celui du retour à la normale, quasiment à n'importe quel prix, ce qui incite certaines directions générales à choisir, souvent sans garantie de rétablissement, de payer les demandeurs de la rançon en dépit de la recommandation de l'ANSSI de ne jamais céder aux "preneurs d'otage" pour ne pas attiser les convoitises et alimenter la fuite en avant statistique.
Dans ces conditions, quel est le rôle du contrôle d'accès dans le cloud ?
Bien entendu, si le réseau de l'entreprise est impacté et que le logiciel de gestion des accès aux bâtiments est localisé sur le réseau de l'entreprise, il y a fort à parier que le contrôle d'accès physique fonctionnera en mode dégradé, voire qu'il sera commandité que les serveurs de gestion des accès soient éteints afin de ne pas prendre le risque de cumuler exploit d'une faille logique et faille de sécurité physique.
L'avantage de découpler le contrôle d'accès physique de l'infrastructure informatique de l'entreprise est immense : en cas de déploiement d'un dispositif de réponse à une cyberattaque, la gestion des accès physiques reste indépendante du réseau et des serveurs de l'entreprise et les équipes dédiées à la sûreté sont capables de montrer de l'agilité et de la disponibilité pour prêter main forte à la cellule de crise généralement constituée par le RSSI et la direction de la communication.
C'est l'une des raisons qui nous a poussé, chez Welcomr, fournisseur de contrôle d'accès physique au bâtiment, à adopter le cloud pour mettre à disposition de nos clients nos services de gestion flexible des accès aux ressources immobilières. Et en cas de cyberattaque sur nos propres serveurs ? Bien entendu cela peut arriver, malgré toutes nos précautions. C'est là que le cloud est doublement protecteur : nos serveurs ne constituent justement pas une faille de sécurité car ils sont logés en dehors des murs de nos clients et indépendants de l'infrastructure physique ou logique du client. Ainsi, si nous étions victimes d'une cyberattaque, les systèmes d'information de nos clients poursuivraient leur régime de fonctionnement normal et seule la gestion des accès physiques ferait l'objet d'une surveillance de crise et donc de modalités de mise à jour dégradées, sans impact sur les accès logiques aux outils et aux données de l'entreprise ni crainte pour l'intégrité des informations stratégiques qu'elle brasse ou stocke.
En somme, le contrôle d'accès physique dans le cloud doit faire partie du panel de contre-mesures envisagées par le RSSI dans le cadre de son plan de prévention contre les cyberattaques.