Comment instaurer une culture de la sécurité chez les techniciens itinérants

Population itinérante, les techniciens de maintenance sont particulièrement vulnérables faces aux menaces des hackers. Si un certain nombre de moyens techniques sont à mettre en œuvre, une politique de cybersécurité passe aussi par des actions de sensibilisation et de formation.
 
Fuite de données chez AccorHotels, le CHU de Rouen paralysé par un ransomware…. L’actualité récente montre qu’il ne se passe guère jour sans qu’un cas de piratage informatique ne soit porté à notre connaissance. Et encore ne s’agit-il que des affaires médiatisées, la plupart des incidents restant secrets pour ne pas ternir la réputation de l’entreprise attaquée.
 
Sans tomber dans la paranoïa, l’exposition aux risques est réelle. Entre les attaques en déni de service (DDoS) et les attaques concertées ou APT (advanced persistent threat) mêlant des techniques d’ingénierie sociale et d’exploitation des vulnérabilités du système d’information, les menaces sont de plus en plus complexes et protéiformes.
 
Le profil des pirates a aussi changé. Fini les “gentils” hackers qui se lançaient des défis pour être le premier à s’introduire dans les systèmes d’information les mieux protégés, comme celui de la NSA aux États-Unis.
 
Ces geeks ont laissé la place à des groupes de cybercriminels qui, motivés par l’appât du gain, vont lancer un ransomware pour extorquer des fonds ou recourir à des techniques d’hameçonnage pour monétiser sur le « Dark Web » les données volées. Ils reproduisent en ligne les méfaits qu’ils commettaient avant dans la vie réelle, les risques en moins.

			Le Guide Praxedo
			Logiciel de gestion d’interventions pour technicien : évaluer ses besoins, faire le bon choix
				Télécharger

L’homme, maillon faible d’une politique de cybersécurité

Au départ d’une attaque, on trouve souvent un homme, maillon faible d’une politique de cybersécurité. Les pirates utilisent largement les techniques dites d’ingénierie sociale, exploitant les faiblesses humaines pour soutirer les informations-clés.
 
Certains collaborateurs leur facilitent la tâche en choisissant un mot de passe par défaut ou de type 123456 quand ils ne l’écrivent pas sur un post-it collé à leur écran. Il s’agit donc de leur rappeler, à intervalles réguliers, les règles d’une bonne hygiène informatique. La plateforme cybermalveillance.gouv.fr a publié un kit de sensibilisation portant notamment sur la composition d’un mot de passe robuste.
 
La technique la plus utilisée reste celle du phishing ou hameçonnage. Le collaborateur reçoit un mail qui l’invite à cliquer sur un lien vérolé ou à ouvrir une pièce jointe infectée. À partir de son poste de travail, le malware va pouvoir se diffuser sur tout le réseau d’entreprise.
 

Personnaliser la sensibilisation en fonction du profil

Les formations classiques ayant montré leurs limites, des éditeurs, comme Conscio Technologies, proposent une approche ludique à base de vidéos, de quizz, de mises en situation ultra-réalistes. Il est ainsi possible de simuler une campagne d’hameçonnage afin d’évaluer le nombre de collaborateurs susceptibles de tomber dans le piège.
 
Il s’agit de personnaliser les actions de sensibilisation en fonction des différentes populations de l’entreprise en mettant l’accent sur les personnes les plus exposées dont les cadres dirigeants qui détiennent des secrets d’affaires, mais aussi les collaborateurs nomades. En situation de mobilité, ils ne bénéficient pas du même niveau de protection (firewall, proxy) que leurs collègues sédentaires.

Les techniciens de maintenance, une cible de choix

A ce titre, les techniciens de maintenance sur site constituent une cible de choix pour les pirates. Un certain nombre de consignes particulières doit leur être rappelé même si elles semblent évidentes. Le technicien ne doit jamais laisser sans surveillance son smartphone ou sa tablette. Il ne se connecte pas à un wifi public mais privilégie le réseau virtuel privé (VPN) de son entreprise.
 
Le technicien n’utilise pas de clé USB, surtout si celle-ci lui a été prêtée. De même, il ne communiquera pas ses bons de travail par messagerie ou via un espace de stockage en ligne mais depuis un logiciel de gestion de répartition sécurisé.
 
Dans une fiche pratique, le portail Cybermalveillance énonce ces règles de base tandis que l’Anssi (Agence nationale de la sécurité des systèmes d’information) propose un “passeport de conseil aux voyageurs” qui livre des conseils pratiques, du chiffrement des données sensibles au filtre écran de protection.

Recourir un éditeur de logiciel certifié

Au-delà de ce volet de sensibilisation, il existe un certain nombre de parades techniques pour protéger les techniciens sur site. Dans un premier temps, recourir à une solution de répartition en mode SaaS permet de déporter une partie de cette gestion de la sécurité sur son éditeur.
 
Cet éditeur doit être bien sûr conforme au RGPD, mais aussi, si possible, certifié ISO 27001. Cette norme internationale relative au système de management de la sécurité de l’information (SMSI) garantit que le prestataire gère la protection des données dans les règles de l’art.
 
A un niveau individuel, une clé USB cryptée, comme en proposent Kingston ou DataLocker, permet de chiffrer les données les plus sensibles et de les stocker dans un coffre-fort d’une capacité de 4 à 128 Go.

EMM = MDM + MAM + MCM

A un niveau collectif, il existe des solutions dites d’EMM (Enterprise Mobility Management) pour gérer une flotte de terminaux mobiles. Elles comprennent différents modules.
 
Premier module, le MDM (Mobile Device Management) prend en charge la partie matérielle. Il permet à un administrateur d’autoriser l’accès aux ressources de l’entreprise aux seuls appareils référencés. Un MDM s’assure que chaque terminal respecte les normes de sécurité édictées. En cas de vol ou de perte, celui-ci est bloqué à distance.
 
Le MAM (Mobile Application Management) gère, lui, les applications mobiles. L’administrateur peut interdire l’installation ou l’accès à celles non conformes à la politique de sécurité ou restreindre certaines actions telles que copier et coller ou enregistrer sous. Le MAM permet aussi de suivre l’utilisation de ces applications mobiles et de les mettre à jour à distance.
 
Enfin, le MCM (Mobile Content Management), ou MIM (Mobile Information Management), contrôle l’utilisation des données sensibles. Ces dernières peuvent être chiffrées mais aussi effacées, à distance en cas de vol ou de perte du terminal mobile.
 

Encadrer le Byod et lutter contre le shadow IT

Ces solutions d’EMM permettent d’encadrer le phénomène du Byod (Bring your own device) où les techniciens utilisent le même terminal mobile dans le cadre professionnel et dans la sphère privée. Elles posent une zone étanche entre ces deux mondes afin de réduire le risque de porosité.
 
Elles aident aussi à lutter contre le shadow IT, c’est-à-dire toutes ces applications installées par l’utilisateur sur son terminal sans l’accord préalable du service informatique. Avec l’hébergement en nuage, ce shadow IT a explosé avec des services en ligne très populaires comme Dropbox, Google Drive, Evernote, Gmail ou WeTransfer.
 
Enfin, une solution d’EMM permet d’adapter la politique de sécurité de l’entreprise en fonction de la population visée. En définissant un profil par type d’utilisateur – un technicien sur site, par exemple – les collaborateurs auront un accès plus ou moins limité aux applications, aux données ou à certaines fonctions du terminal.
 
Toutes ces mesures ont pour objectif de protéger le prestataire mais aussi, par ricochet, ses clients. De fait, l’Anssi s’alarme sur la multiplication des attaques dites par rebond qui consiste pour les malfaiteurs à viser les sous-traitants pour toucher leur cible principale (source Les Echos).