Plan de continuité d'activité: six choses que les responsables de la sécurité informatique doivent faire dès maintenant

Les événements sans précédent qui ont poussé les organisations à évaluer leurs plans de continuité d'activité me font penser à l'époque où je travaillais pour le gouvernement fédéral, et me rappellent une histoire que j'aimerais vous raconter.

Des e-mails et des déclarations provenant du département américain de la Santé et des Services sociaux (HHS), des Centres pour le contrôle et la prévention des maladies (CDC) et de l’Agence fédérale des situations d'urgence (FEMA) nous informaient d'une chose: un virus contagieux menaçait de perturber le fonctionnement du gouvernement fédéral.

Mon équipe et moi allions être en télétravail pour une durée indéterminée. Puisque beaucoup d'entre nous avaient des ordinateurs portables et que nous avions tous des téléphones portables, je me suis dit que nos services ne seraient pas très affectés. Nous étions en charge du support technique pour des centaines de sites distants à travers le pays. Il serait donc sûrement possible de fonctionner comme une équipe répartie durant cette période de crise. Ne desservions-nous pas le pays le plus avancé au monde en matière de technologies? Une épidémie d'Ebola serait-elle si grave?

Eh bien, les choses ont été très compliquées. Et non, durant cette crise, nous n'avons pas pu correctement fonctionner comme une équipe répartie. C'était en 2014, et ce n'était qu'un prélude. Le scénario Ebola a servi d'exercice coordonné de préparation civile et gouvernementale à la continuité opérationnelle en cas d'épidémie virale. C'était un test que nous avons échoué.

Certains dans notre département n'avaient même pas d'ordinateur portable, sans parler d'une connexion Internet « assez rapide » à la maison. Les téléphones portables, bien que répandus, n'étaient pas des alternatives appropriées aux ordinateurs de bureau. Pire encore, alors que la moitié du service avait pu se connecter à distance, le trafic sur le VPN s'était vite engorgé, entraînant de la latence et des interruptions de connectivité nuisibles à la productivité. C'était particulièrement pénible pour les hôpitaux de régions essayant de faire de la télémédecine. Nous avions beau rationner l'équipement, réorganiser les heures de travail et établir une priorité des accès, mais notre VPN ne pouvait toujours pas gérer la montée en charge.

Ceci n'est pas un exercice

Six ans se sont écoulés. Le bilan humain de l'épidémie de coronavirus ne peut être mesuré et, à l'heure actuelle, les entreprises doivent se concentrer sur la protection de la santé des employés et de la communauté. La priorité absolue pour toutes les organisations doit être d'atténuer les risques liés à la propagation du COVID-19. Dans cette optique, les organisations doivent désormais faire tout leur possible pour maintenir la productivité de l'entreprise avec le télétravail comme « nouvelle norme ».

Le plan de continuité d'activité (PCA) devrait être (et idéalement, aurait dû être) un élément clé de votre stratégie d'entreprise. Mais même si ce n'est pas le cas dans votre organisation, vous pouvez toujours y remédier.

Le défi opérationnel: le télétravail pour tous

En ce moment, le télétravail est (par nécessité) au cœur des plans de continuité d'activité. La logique est simple. Si vous ne pouvez pas travailler au bureau, travaillez à domicile. De nombreuses organisations informatiques préparent les réseaux d'entreprise à supporter l'accès à distance pour 20 à 30 pour cent du personnel. Mais que se passe-t-il si la charge monte d'un seul coup à 100 pour cent? Et du jour au lendemain? Les responsables informatiques du monde entier se rendent maintenant compte que supporter 100% du personnel en télétravail n'est pas un exercice banal:

• Plus d'employés (mieux, beaucoup plus d'employés) utiliseront le VPN pour accéder aux ressources de l'entreprise. Votre infrastructure sera-t-elle en mesure de supporter une telle charge? (je vous donne un indice: non).
• Pour que l'ensemble du personnel soit connecté, il faudra que tous leurs appareils soient également connectés. Comme vous le savez déjà, tout le monde n'a pas un ordinateur portable de travail, et tout le monde n'a pas un ordinateur personnel adapté pouvant servir de plan B. Combien d'ordinateurs portables fonctionnels mais obsolètes votre équipe stocke-t-elle dans la bonne vieille salle de serveurs?
• Vous disposez sans aucun doute d'outils de collaboration pour les vidéoconférences et la messagerie instantanée. Mais avez-vous suffisamment de licences lorsque tout le monde en a besoin?

Le côté obscur de l'accès à distance: une nouvelle exposition aux menaces et des employés « trichant » pour gagner en vitesse

Il y a un autre problème plus grave que les limites de la connectivité à distance. Si votre organisation s'appuie sur un VPN pour accéder aux ressources internes et/ou à Internet, l'extension de cet accès à un pourcentage plus large (disons, 100 pour cent) de vos effectifs augmente considérablement la surface d'attaque potentielle de votre organisation. Plus longtemps les données de l'entreprise doivent transiter, plus les risques de sécurité sont élevés.

De plus, les utilisateurs finaux habitués aux vitesses de téléchargement de Netflix à la maison seront frustrés lorsqu'ils seront confrontés à la latence introduite par les contraintes du VPN et du backhauling MPLS. Il y a un risque qu'ils « trichent » en contournant les contrôles de sécurité dans « l'intérêt de l'efficacité du travail », exposant davantage les systèmes internes à des attaques extérieures.
 

Les clés d'un télétravail réussi: gestion des priorités, triage et points locaux d'accès à Internet

Il est temps de changer votre vision de la sécurité. Les événements sans précédent que nous vivons actuellement accélèrent les mutations dans notre façon d'accéder aux applications et aux données en toute sécurité. Le télétravail doit être possible sans avoir à compromettre la sécurité. Plutôt que de réduire la sécurité, il faudra la repenser.

En tant que responsable de la sécurité informatique, que pouvez-vous faire pour faciliter le télétravail tout en garantissant une connectivité et une sécurité irréprochables? Dans ce contexte nouveau, il vous faudra prendre des décisions de triage:

• Prioriser le travail. Quelles tâches sont les plus importantes? Quelles ressources seront nécessaires? Quelles tâches peuvent être reportées (ou même supprimées)?
• Prioriser l'accès. Comment pouvez-vous aligner l'accès aux priorités de travail? Quel travail nécessite une connectivité permanente? Quel travail nécessite une connectivité occasionnelle? Vous devrez peut-être fournir une connectivité « à plusieurs niveaux » aux employés en fonction de leurs priorités de travail.
• Prioriser les appareils. De même, qui obtiendra un ordinateur portable? Linda de la comptabilité? Fred du service des ventes? Qui a le plus besoin de ce dernier ordinateur portable?
• Rationner les applications de collaboration. Vous allez avoir besoin de plus de licences. À court terme, travaillez avec le service financier pour réaffecter les dépenses « en attente » (par exemple, les voyages d'affaires ou le marketing d'événements) afin de permettre des opérations de travail à distance.
• Étaler les heures de travail. Si vous en arrivez là, vous devrez peut-être basculer le travail critique sur les heures de service de nuit afin de surmonter les limitations de connectivité.
• Déployer des points locaux d'accès à Internet. Le cloud (et plus précisément l'informatique SASE) offre un espoir. Avec des employés se connectant directement (et en toute sécurité via des proxy de sécurité inline) aux ressources, vous réduisez votre surface d'attaque et allégez les congestions du VPN.

Nous finirons par sortir de cette situation, mais il nous faudra en tirer des leçons. À l'époque ou je travaillais pour le gouvernement, nous avions l'habitude de dire: « ne laisse jamais une crise tomber à l'eau ». À l'heure actuelle, rien n'a plus d'importance que la santé de vos collègues et de votre communauté. La meilleure chose que vous puissiez faire en tant que responsable de la sécurité informatique est de faciliter le télétravail.

Cette réflexion peut sembler froide et cynique, mais permettez-moi de dire que les entreprises qui traverseront cette tempête auront un avantage sur la concurrence lorsque la crise sera terminée. Et lorsque votre organisation s'en sera sortie, n'arrêtez pas de planifier la continuité d'activité. Vous serez mieux armés si —n'y pensons même pas— pareil évènement venait à se reproduire.

Stan Lowe est le directeur mondial de la sécurité informatique chez Zscaler.