Les événements sans précédent qui ont poussé les organisations à évaluer leurs plans de continuité d'activité me font penser à l'époque où je travaillais pour le gouvernement fédéral, et me rappellent une histoire que j'aimerais vous raconter.
Des e-mails et des déclarations provenant du département américain de la Santé et des Services sociaux (HHS), des Centres pour le contrôle et la prévention des maladies (CDC) et de l’Agence fédérale des situations d'urgence (FEMA) nous informaient d'une chose: un virus contagieux menaçait de perturber le fonctionnement du gouvernement fédéral.
Mon équipe et moi allions être en télétravail pour une durée indéterminée. Puisque beaucoup d'entre nous avaient des ordinateurs portables et que nous avions tous des téléphones portables, je me suis dit que nos services ne seraient pas très affectés. Nous étions en charge du support technique pour des centaines de sites distants à travers le pays. Il serait donc sûrement possible de fonctionner comme une équipe répartie durant cette période de crise. Ne desservions-nous pas le pays le plus avancé au monde en matière de technologies? Une épidémie d'Ebola serait-elle si grave?
Eh bien, les choses ont été très compliquées. Et non, durant cette crise, nous n'avons pas pu correctement fonctionner comme une équipe répartie. C'était en 2014, et ce n'était qu'un prélude. Le scénario Ebola a servi d'exercice coordonné de préparation civile et gouvernementale à la continuité opérationnelle en cas d'épidémie virale. C'était un test que nous avons échoué.
Certains dans notre département n'avaient même pas d'ordinateur portable, sans parler d'une connexion Internet « assez rapide » à la maison. Les téléphones portables, bien que répandus, n'étaient pas des alternatives appropriées aux ordinateurs de bureau. Pire encore, alors que la moitié du service avait pu se connecter à distance, le trafic sur le VPN s'était vite engorgé, entraînant de la latence et des interruptions de connectivité nuisibles à la productivité. C'était particulièrement pénible pour les hôpitaux de régions essayant de faire de la télémédecine. Nous avions beau rationner l'équipement, réorganiser les heures de travail et établir une priorité des accès, mais notre VPN ne pouvait toujours pas gérer la montée en charge.
Six ans se sont écoulés. Le bilan humain de l'épidémie de coronavirus ne peut être mesuré et, à l'heure actuelle, les entreprises doivent se concentrer sur la protection de la santé des employés et de la communauté. La priorité absolue pour toutes les organisations doit être d'atténuer les risques liés à la propagation du COVID-19. Dans cette optique, les organisations doivent désormais faire tout leur possible pour maintenir la productivité de l'entreprise avec le télétravail comme « nouvelle norme ».
Le plan de continuité d'activité (PCA) devrait être (et idéalement, aurait dû être) un élément clé de votre stratégie d'entreprise. Mais même si ce n'est pas le cas dans votre organisation, vous pouvez toujours y remédier.
En ce moment, le télétravail est (par nécessité) au cœur des plans de continuité d'activité. La logique est simple. Si vous ne pouvez pas travailler au bureau, travaillez à domicile. De nombreuses organisations informatiques préparent les réseaux d'entreprise à supporter l'accès à distance pour 20 à 30 pour cent du personnel. Mais que se passe-t-il si la charge monte d'un seul coup à 100 pour cent? Et du jour au lendemain? Les responsables informatiques du monde entier se rendent maintenant compte que supporter 100% du personnel en télétravail n'est pas un exercice banal:
Il y a un autre problème plus grave que les limites de la connectivité à distance. Si votre organisation s'appuie sur un VPN pour accéder aux ressources internes et/ou à Internet, l'extension de cet accès à un pourcentage plus large (disons, 100 pour cent) de vos effectifs augmente considérablement la surface d'attaque potentielle de votre organisation. Plus longtemps les données de l'entreprise doivent transiter, plus les risques de sécurité sont élevés.
De plus, les utilisateurs finaux habitués aux vitesses de téléchargement de Netflix à la maison seront frustrés lorsqu'ils seront confrontés à la latence introduite par les contraintes du VPN et du backhauling MPLS. Il y a un risque qu'ils « trichent » en contournant les contrôles de sécurité dans « l'intérêt de l'efficacité du travail », exposant davantage les systèmes internes à des attaques extérieures.
Il est temps de changer votre vision de la sécurité. Les événements sans précédent que nous vivons actuellement accélèrent les mutations dans notre façon d'accéder aux applications et aux données en toute sécurité. Le télétravail doit être possible sans avoir à compromettre la sécurité. Plutôt que de réduire la sécurité, il faudra la repenser.
En tant que responsable de la sécurité informatique, que pouvez-vous faire pour faciliter le télétravail tout en garantissant une connectivité et une sécurité irréprochables? Dans ce contexte nouveau, il vous faudra prendre des décisions de triage:
Nous finirons par sortir de cette situation, mais il nous faudra en tirer des leçons. À l'époque ou je travaillais pour le gouvernement, nous avions l'habitude de dire: « ne laisse jamais une crise tomber à l'eau ». À l'heure actuelle, rien n'a plus d'importance que la santé de vos collègues et de votre communauté. La meilleure chose que vous puissiez faire en tant que responsable de la sécurité informatique est de faciliter le télétravail.
Cette réflexion peut sembler froide et cynique, mais permettez-moi de dire que les entreprises qui traverseront cette tempête auront un avantage sur la concurrence lorsque la crise sera terminée. Et lorsque votre organisation s'en sera sortie, n'arrêtez pas de planifier la continuité d'activité. Vous serez mieux armés si —n'y pensons même pas— pareil évènement venait à se reproduire.
Stan Lowe est le directeur mondial de la sécurité informatique chez Zscaler.