Lorsque les perspectives de télétravail sont apparues [Q21], les équipes cybersécurité ont tout de suite identifié des impacts sur leur activité pour maintenir un niveau de sécurité satisfaisant tout en garantissant une continuité des activités (71,4%). Certaines entreprises (21,7%), dont le métier est sans doute déjà adapté au travail en mobilité, ont considéré que l’impact était faible ou nul, ou simplement économique (6,7%) sur la dépense en cybersécurité.
Il apparait clairement que la majorité des entreprises ont dû se mobiliser rapidement pour offrir des outils adaptés aux besoins urgents de travail à domicile, lors du premier épisode de confinement [Q22]. Parmi elles, 30% étaient déjà prêtes pour un télétravail généralisé et 41% n’avaient qu’une couverture partielle mais ont réussi à passer à l’échelle. Toutefois 24% des entreprises admettent avoir réduit certaines exigences de sécurité dans cette nouvelle configuration. A noter que 5% entreprises ont déclaré avoir consenti à des écarts aux règles de sécurité usuelles, mais ont compensé cette régression par des moyens de surveillance et de détection renforcées.

La COVID a certainement entraîné une transformation du poste de travail et de sa sécurisation, et il est probable que ces changements se pérennisent. Il est établi que la crise a joué un rôle d’accélérateur pour différents domaines de l’IT et du Digital, dont les outils de la mobilité. Au premier confinement [Q29], seulement 25,7% d’entreprises avaient un nombre suffisant de laptops pour couvrir les besoins du télétravail. Celles qui n’étaient pas prêtes ont choisi différentes options, voire une combinaison de solutions. Ainsi, 50,8% d’entre elles ont acquis et déployé de nouveaux laptops et 38,7% ont transporté des postes fixes à domicile. Pour ce cas-là, il est probable que la politique de l’entreprise évolue et s’oriente vers des postes mobiles « par défaut », lorsque ces postes fixes seront en fin de vie, et le standard du poste de travail pourrait devenir définitivement mobile. 34,6% des entreprises ont fait le choix, dans certaines situations, d’autoriser le BYOD (Bring Your Own Device), un choix fait sous la pression des besoins de continuité des activités. Ces deux dernières années, pendant lesquelles des malwares destructifs ont fait des dégâts considérables, ont plutôt conduit à un net renforcement de la sécurité du poste de travail, notamment avec la généralisation des EDR. Il s’agit donc là plutôt d’une réaction à chaud, quitte à créer une incohérence dans la politique de sécurité, plutôt qu’une stratégie assumée du BYOD qui doit s’accompagner de questions complexes sur l’introduction sur les réseaux de postes mal connus et souvent non conformes. Peut-on aller jusqu’à dire qu’un poste personnel est un poste compromis, potentiellement truffé de backdoors, keyloggers et autres programmes indésirables ? Comment éviter des attaques qui se latéralisent rapidement et comment protéger l’accès à la donnée, que celle-ci soit dans le cloud ou non, depuis un poste non maîtrisé ?

Si l’on fait un focus sur le durcissement système et notamment l’administration du poste de travail [Q33], on observe que pour 28,7% des entreprises, l’utilisateur n’a aucun droit d’administration de son poste de travail tandis qu’environ 75% des entreprises appliquent bien ce principe mais acceptent de gérer des exceptions et 6,4% des entreprises assument que leurs utilisateurs soient administrateurs de leur poste, ce qui les ramène à des risques comparables à ceux du BYOD. Dans le même esprit de l’autonomie donnée à l’utilisateur en matière d’installation de programmes [Q16], 26,15% des entreprises accordent aux utilisateurs sous Windows 10 un accès libre au store Microsoft, leur permettant d’installer toute application disponible dans le store, que celle-ci ait été validée ou non par la DSI. A contrario, 33,3% des entreprises ont bloqué purement et simplement l’accès au store alors que 40% des entreprises s’inscrivent plutôt dans une logique de store d’entreprise.
Le télétravail a sérieusement bousculé les questions de sécurité physique. Désormais les postes de travail sont physiquement accessibles en transit dans les transports et à domicile, soumis potentiellement aux vols à l’arrachée, mais aussi aux regards curieux voire aux postures intrusives des proches ou des visiteurs à la maison, jusqu’à parfois un usage personnel ou familial du matériel (COPE : Corporate Owned Personal Enabled). A minima, si un poste était volé dans les transports ou à la maison, l’accès au contenu serait empêché puisque 80% des entreprises ont déployé du chiffrement de leur parc de postes mobiles [Q24]. Elles ont soit intégralement chiffré ce parc (51%), soit disent en avoir chiffré la plus grande part (29%).

Mais comment le poste de travail et l’utilisateur sont-ils désormais authentifiés sur nos applications et nos réseaux ? Depuis le début de la crise, le move-to-cloud s’est accéléré sous ses différentes formes, de l’hébergement en mode Iaas, des services Paas et des solutions en mode Saas. Cela a fait apparaître quelques interrogations sur le fait de se connecter directement aux applications Saas – parmi elles les outils collaboratifs en ligne - ou bien de passer toujours par la case « bureau » en empruntant un VPN pour rejoindre le réseau d‘entreprise [Q34]. VPN systématique ou pas ? Et si oui, comment s’assurer de qui se connecte et avec quel device ? Quelle authentification sur le VPN ? Le MFA est de plus en plus présent pour 75% des entreprises. Et pour 24% d’entre elles, il est même activé systématiquement, que le device soit présent dans ou hors du réseau, connecté en direct sur le cloud ou via un VPN, pour des accès à des applications cloud mais aussi pour sécuriser des tâches d’administration des systèmes.

Et puisque l’on s’interroge sur l’authentification des postes sur les VPN, il faut rappeler que lorsque ces postes se connectent au bureau, sur le réseau corporate [Q32], il n’y a pas de NAC en place dans 38,4% des cas. Certaines entreprises l’envisagent à court ou moyen terme (20%) d’autres en ont déjà ou sont en train de le déployer (41%).

Si l’on étend les questions de connectivité aux postes de travail des prestataires [Q28], 45,7% des entreprises préfèrent fournir à ces intervenants des matériels de l’entreprise, maîtrisés et durcis selon leurs règles de sécurité internes, plutôt que de les laisser utiliser leur propre poste de travail. 49% des entreprises acceptent des matériels tiers et traitent ce risque soit en le transférant à travers des clauses contractuelles de sécurisation et de responsabilité (9,7%), soit en le réduisant par le passage par un dispositif intermédiaire (bastion, VDI…) et une authentification forte (21,7%), ou encore avec du filtrage sur les adresses sources et les systèmes cibles accédés (17,1%).

Depuis le début de la crise sanitaire, les tentatives de phishing ont sérieusement augmenté, exploitant largement la thématique du contexte COVID. Elles ont ainsi utilisé différents leviers cognitifs, mélange de peur et de soif d’information, avec une redoutable efficacité. Le stress ambiant est un parfait catalyseur pour des réactions impulsives, prises avec un niveau de vigilance perturbé. Ces tentatives ont souvent démarré par la création de noms de domaines proches des domaines ciblés. Près de 9 entreprises sur 10 ont spécifiquement travaillé sur la protection de leurs noms de domaines [Q23], soit en comptant sur leur passerelle de sécurité mail (18,2%) soit en complétant ce dispositif avec des techniques d’authentification (31,7%) (SPF, DMARC, DKIM) et pour certaines avec un processus complet de gestion et de surveillance des domaines de l’entreprise et domaines approchants (38%).

Une fois traitées les questions de connectivité du terminal et de la personne, il reste bien sûr la question majeure de la protection des données, et en priorité de celles que l’on nomme les joyaux de la couronne [Q20]. 72,3% des entreprises les ont identifiées, complètement et formellement (22,3%) ou seulement partiellement (50%). Mais pour 27,7% des entreprises, les priorités en matière de protection des données restent encore mal définies.

Ce focus sur les données clés de l’entreprise résulte souvent d’un projet de classification des données [Q37], projet déjà réalisé par une entreprise sur deux, et prévu à court terme pour 24% des entreprises, 9% des entreprises ayant même déjà déployé un dispositif de DLP (Data Leak Prevention).
L’usage des outils collaboratifs en ligne s’est intensifié depuis le début de la crise sanitaire [Q41]. 68% des entreprises ont migré leur messagerie vers le cloud ou envisagent de le faire (14%). Pour celles qui sont déjà dans le cloud, un tiers d’entre elles a fortement durci les paramètres de sécurité natifs et un autre tiers a recours à une solution de sécurité, en complément d’un paramétrage durci. Au-delà de la messagerie, il s’est opéré naturellement un transfert de responsabilité pour la sécurisation des partages de données non structurées, des équipes IT qui géraient des permissions sur des serveurs de fichiers, vers des utilisateurs qui configurent désormais eux-mêmes les partages en ligne. Comme il n’est pas simple, avec ces outils, d’avoir une réelle visibilité sur ce que l’on partage et avec qui, cela conduit parfois à des partages ouverts involontairement à toute l’entreprise, voire à l’Internet tout entier… Face à un risque accru d’exposition de données [Q35], 23,3% des entreprises réalisent des campagnes d’audit ponctuelles sur les partages et 15,4% d’entre elles réalisent cette surveillance en continu.

L’année 2020 a été le témoin de quelques affaires d’exposition de données chez des entreprises prestataires. Cela a été l’occasion d’identifier que les processus de prévention et de réponse à ce type d’incident [Q17] n’étaient entièrement maîtrisés que pour 9% des entreprises, même s’il existe des dispositifs contractuels pour 30,1% des entreprises. Néanmoins la prise de conscience est là et des projets sont en cours pour traiter complètement les cas de fuites de données, lorsque celles-ci sont le fait de fournisseurs.

Les différentes transformations des architectures des systèmes d’information, observées depuis deux ans environ, et accélérées par la crise sanitaire, nécessitent d’adapter certains fondamentaux pour faire face aux menaces du moment, qui se sont intensifiées sous des formes de plus en plus agressives et sophistiquées. L’évolution des politiques de sécurité et de ces fondamentaux nécessite forcément un certain temps d’appropriation et de mise en œuvre. C’est pourquoi il est essentiel, a minima, de contenir la dette cyber et de bien intégrer les nouvelles approches de sécurisation dans tous les nouveaux projets [Q36], que ce soit des projets traditionnels ou des projets développés en mode agile. 28% des entreprises déclarent intégrer la sécurité « by design » dans les nouveaux projets, alors que 36% d’entre elles n’ont pas encore mis en place ce type de processus essentiel, qui témoigne pourtant de notre capacité à traiter les nouveaux enjeux cyber.

Que ce soit sur des nouveaux projets ou sur des infrastructures existantes, la démarche sécurité doit jouer à la fois sur la prévention, mais aussi sur la détection et la réponse. La pénétration des SOC est confirmée [Q43], puisque 72% des entreprises déclarent avoir un SOC, que celui-ci soit opéré en interne (19,7%), en externe (24,1%) ou qu’il soit hybride (28,1%).

Devant les nouveaux enjeux qui les attendent, les Directeurs cybersécurité doivent compter sur le fait que certaines personnes de l’entreprise jouent un rôle de contributeur actif à la démarche de sécurisation [Q18], et il est très important qu’ils y soient préparés. Les dirigeants sont désignés en premier lieu, mais aussi les développeurs et les administrateurs techniques et fonctionnels, métiers dont la participation au projet cyber est jugée essentielle et prioritaire.
Au premier trimestre 2020 [Q19], 59% des membres interrogés admettaient que les métiers de la cybersécurité sont très éprouvants mais se disaient en capacité de gérer cette pression, 22,8% se déclaraient même à l’aise avec l’exigence du métier qu’ils jugeaient plutôt normale. Par contre, 17,3% des personnes interrogées déclaraient souffrir du stress lié à la fonction cyber.
Un an et deux confinements plus tard, alors que chaque semaine apporte son lot d’attaques sévères et d’amplitude, quelles sont les perspectives et les priorités ?

Mi-2020, les entreprises étaient plutôt dans une posture d’attente [Q25], concentrées sur l’exploitation des solutions en place (66%), et plutôt réservées vis-à-vis des solutions et services d’opportunité, apparus au début de la crise (16,9%). Ils étaient plutôt confiants [Q30] sur la stabilité (47,8%) voire l’évolution à la hausse (19,6%) des budgets en cybersécurité.

A l’automne 2020, le questionnement sur les priorités 2021 [Q39] a mis en évidence un besoin de travailler encore et toujours sur la gestion de l’identité, avec bien sûr des questions autour de la fédération des identités, du MFA et des Active Directory, annuaires largement malmenés par les cyberattaques de ces deux dernières années. La gestion des risques arrive également en bonne position dans ce classement des priorités 2021. Les changements importants intervenus sur les systèmes d’information au cours de cette année particulière, et les formes que prennent les dernières cyberattaques invitent à revoir profondément les scénarios de risque.