Une surface d’attaque étendue : les défis de la cybersécurité liés à la gestion d’une main-d’œuvre hybride

La pandémie mondiale bouleversant notre façon traditionnelle de travailler, les employés de tous les secteurs du marché en Nouvelle-Zélande passent désormais leurs journées de travail à alterner entre les bureaux, leur domicile et d’autres lieux. C’est un modèle de travail hybride que les Kiwis ont adopté et qui est là pour rester.

Lors d’une récente table ronde CIO New Zealand à Auckland, soutenue par Palo Alto Networks et Vodafone New Zealand, des cadres supérieurs de la technologie d’organisations d’Aotearoa ont discuté du défi de garder la sécurité à l’esprit lorsque la main-d’œuvre est dispersée.

Glenn Johnstone, responsable des pratiques TIC chez Vodafone NZ, a souligné les conclusions de son rapport sur la déconnexion dans lequel 30 % des personnes interrogées ont déclaré qu’elles changeraient de poste si leur employeur ne proposait pas le travail à distance. Mais les avantages productifs du travail à domicile entraînent également un environnement informatique plus complexe à gérer.

« Le grand nombre d’appareils intelligents dans nos vies signifie que nous sommes plus vulnérables que nous ne le pensons. Nous sommes connectés via nos téléphones, l’imprimante, nos voitures, nos réfrigérateurs, nos aquariums – et toute connexion peut être un problème. Cela signifie que nous avons besoin de sécurité sur tous les appareils ; au bureau, à la maison, n’importe où et partout où vos employés sont connectés », déclare Johnstone.

« L’autre aspect clé est la mise en œuvre d’un réseau Zero Trust. Si vous travaillez dans le cloud, vous avez multiplié par 60 la surface des cyberattaques », ajoute-t-il.

Sean Duca, directeur régional de la sécurité de Palo Alto Networks – Asie-Pacifique et Japon, en fait écho. « Avec l’objectif principal désormais de fournir du travail en toute sécurité à nos employés, où qu’ils se trouvent, nous devons réfléchir à l’endroit où résident les données, qui y a accès et comment elles sont protégées et accessibles. »

Comment les entreprises néo-zélandaises atténuent les risques dans un environnement de travail hybride

Joe Locandro, directeur de l’information chez Fletcher Building, loue les nombreux avantages productifs que le travail hybride a apportés, mais souligne les défis qu’il apporte du point de vue de la sécurité.

« La pointe de l’informatique s’est étendue aux personnes travaillant à partir de divers emplacements « hors du bureau », y compris les domiciles, les hôtels et différents pays. De plus, la plupart des ordinateurs personnels sont utilisés par divers membres de la famille. En conséquence, le risque que des logiciels malveillants deviennent résidents sur les ordinateurs personnels augmente. »

Locandro souligne la nécessité de se concentrer sur la sécurisation de la périphérie avec des cyber-produits qui couvrent la protection des « points finaux », l’authentification à deux facteurs ainsi que la mise à jour des logiciels de protection antivirus sur les ordinateurs personnels.

Waqar Qureshi, directeur général du réseau et de la technologie chez Horizon Energy Group, explique qu’ils ont développé une politique de travail à domicile pour leur organisation qui comprend la sensibilisation et les responsabilités pour l’accès, le stockage et le partage des données/informations.

Des systèmes SSO, MFA et VPN sont également en place pour restreindre l’accès non autorisé aux comptes et aux systèmes.

Un autre participant à l’événement a déclaré qu’il utilisait un VPN sécurisé, MFA autour de cela ; MFA autour des connexions ainsi que l’utilisation de la géolocalisation.

« En termes de risque pour les personnes, il y a beaucoup de communication. Nous utilisons les assemblées publiques et les bulletins électroniques pour leur rappeler l’importance d’être vigilants. Tout le monde doit également suivre une formation sur le phishing et nous exécutons SMX sur notre messagerie, ce qui bloque/désactive diverses fonctions », ajoute le cadre supérieur de la technologie.

Les organisations n’ayant plus leurs applications en interne, étant consommées comme un service ou des applications exécutées en dehors du périmètre traditionnel ; beaucoup ont simplement cherché à relever les défis en se concentrant sur l’accès et l’autorisation, mais la nécessité d’inspecter tout le trafic est primordiale, déclare Sean Duca de Palo Alto Networks.

« Les attaquants ciblent les ordinateurs portables des employés et les applications qu’ils utilisent, nous devons donc inspecter le trafic pour chaque application. La surface d’attaque continuera de croître et sera également une cible pour les cybercriminels, ce qui signifie que nous devons rester vigilants et pouvoir identifier en permanence les changements dans nos effectifs lorsque nos employés sont et surveillent nos parcs cloud à tout moment.

L’éducation de votre organisation est essentielle

Les participants à la table ronde ont discuté des meilleurs moyens d’obtenir l’adhésion et une plus grande sensibilisation à l’importance de la cybersécurité, tant de la part du conseil d’administration que de l’ensemble de l’organisation.

Joe Locandro dit que l’équipe de direction de Fletcher Building et son conseil d’administration sont informés mensuellement des cyberstatistiques, des activités et des événements.

« La direction soutient fortement les cyberprogrammes. Nous éduquons régulièrement nos employés sur le potentiel des logiciels malveillants par le biais d’e-mails frauduleux, alertant souvent le personnel des escroqueries actuelles du marché ainsi que des exercices de phishing réguliers. Nous mesurons les taux de « clics » sur les exercices de phishing ainsi que [the] degré de difficulté à détecter.

Un autre participant à l’événement a déclaré qu’il était essentiel d’être transparent avec le conseil d’administration. « Le risque est le sujet numéro un dans mon document de conseil et est toujours rouge vif. Il y a ensuite des détails sur la situation actuelle, ce que nous faisons à ce sujet et les progrès actuels. Nous utilisons Essentials 8 pour fournir un cadre et une rigueur faciles à comprendre et à définir.

Waqar Qureshi souligne l’importance pour chaque organisation d’investir dans la formation du personnel TIC sur la cybersécurité « principalement pour les aider à comprendre pourquoi certaines politiques, systèmes et processus sont importants. Cela inclut tout le personnel ICT, pas seulement les membres de l’équipe de sécurité. Le personnel du helpdesk ICT est généralement le premier point de contact entre les ICT et les utilisateurs.

L’évolution du paysage des menaces

L’exécution de solutions héritées qui ne peuvent pas répondre aux exigences d’une main-d’œuvre sans frontières pourrait avoir un impact sur la productivité et la solution pourrait ne pas être en mesure de faire face aux menaces modernes.

« Chaque organisation devrait utiliser cela comme un point dans le temps pour réévaluer et repenser à quoi ressemble le monde aujourd’hui et à quoi il pourrait ressembler demain », déclare Glen Johnstone. « Dans un monde dynamique et en constante évolution, les entreprises devraient se tourner vers un modèle piloté par logiciel car il leur permettra de pivoter et de changer en fonction de leurs besoins. Notre façon de travailler a changé, nous devons donc changer notre façon de penser et nos approches.

Avec l’évolution du paysage des menaces, Sean Duca conseille aux DSI de toujours veiller à :

• La surface d’attaque s’est agrandie. Assurez-vous de savoir ce qu’un attaquant peut voir et gérez-le en conséquence.
• Connaissez vos actifs à l’intérieur et à l’extérieur de l’organisation – chacun agit comme un point d’entrée potentiel pour un attaquant.
• Sécurisez votre parc cloud : assurez-vous d’avoir une visibilité et un contrôle sur chacune des charges de travail et des référentiels de données dans les clouds publics dans lesquels vous opérez – recherchez une sécurité cohérente, et non des approches fragmentaires dans chacun.
• Vous n’avez plus de périmètre, vous avez des périmètres : sécurisez vos applications de données là où elles résident – utilisez l’accès au moindre privilège avec une vérification de confiance et une inspection de sécurité continues.