Aubay vous accompagne durant la crise du COVID-19

Aubay vous accompagne dans la gestion de vos risques IT et la sécurisation de votre système d’information durant la crise du COVID-19
Par Emmanuel MANCIET, Security Consultant & Business Development chez AUBAY Luxembourg

Emmanuel Manciet, Security Consultant & Business Development – Aubay Luxembourg

La mise en place de nouveaux modes de travail dans le cadre de la continuité d’activité imposée par la crise sanitaire, fait émerger de nouveaux risques IT.

Par principe de précaution une partie de l’activité des entreprises, administrations et institutions est faite à distance. Cela ouvre de nouveaux canaux de communication et de nouveaux risques vers vos systèmes d’information.

La crise actuelle est favorable aux cyberattaques et aux fuites de données.

Les infrastructures critiques doivent se protéger pour ne pas se retrouver en état de crise cyber. Elles ne doivent pas subir une amplification de la crise ou être paralysées dans leur fonctionnement. La continuité d’activité des services essentiels assurant le fonctionnement des Etats prime.

Entreprises, administrations et institutions doivent s’assurer que les mécanismes de prévention de fuites de données dans le cadre de leur continuité d’activité sont en place.

Données personnelles et données de propriétés intellectuelles nécessitent la continuité de leur protection. Si celle-ci n’est pas assurée, une fuite de données pourrait survenir.

Travail à distance : privilégier les bonnes pratiques

Dans le cadre de la mise en place du travail à distance, il convient de privilégier les bonnes pratiques proposées par les standards de sécurité tels l’ISO 27001, le NIST, la PCI-DSS etc…

Parmi les bonnes pratiques à mettre en place :

  • différencier les différents types d’accès : utilisateurs standards et utilisateurs à privilèges.
  • déterminer les droits associés aux accès et les limiter en fonction des risques encourus par l’entité.
  • mettre en place une surveillance des accès distants.
  • protéger les communications entre le système d’information et les connexions distantes en mettant en place le chiffrement des communications.

Pour les postes de travail physiques fournis aux employés, la mise en place d’antivirus, de pare-feu et l’automatisation des mises à jour des applications et du système d’exploitation sont des minimums requis.

La mise en place de solutions de bureau virtuel ou d’autres solutions d’accès à distance, en nuage (« cloud-based ») par exemple requiert des mesures de sécurité d’accompagnement complémentaires afin d’assurer un minimum de sécurité du point de connexion à ces solutions.

 

Cas particulier du travail à distance et des sites de secours du plan de continuité d’activité pour les entités surveillées par la CSSF

Dans son communiqué du 2 mars 2020, la CSSF indique aux entités surveillées que « les professionnels doivent prendre des mesures de sécurité raisonnables et appropriées afin d’assurer la protection de leur personnel ».

Pour mettre en œuvre ces recommandations, la CSSF indique :

  • que le recours au travail à distance est possible sous certaines conditions dont des conditions de sécurité informatiques satisfaisantes.
  • qu’en cas de nécessité, les professionnels doivent activer leur plan de continuité d’activité (business continuity plan) et utiliser, le cas échéant, d’autres sites de production au ou en dehors du Grand-Duché de Luxembourg.
  • qu’afin de garantir une mise en place rapide et efficace de ces mesures, une autorisation préalable par la CSSF n’est pas exigée.

 

Dans sa FAQ COVID-19 du 20 mars 2020, la CSSF reprécise les mesures de sécurité raisonnables et appropriées qu’elle avait indiquées le 3 mars 2020.

Elle rappelle que chaque entité a la responsabilité de définir les conditions, y compris de sécurité informatique, dans lesquelles elle autorise un ou plusieurs de ses employés à travailler à son domicile. Ces conditions doivent être proportionnelles aux risques auxquels s’expose l’entité.

La CSSF précise que « ces risques sont notamment fonction du rôle et des droits d’accès des employés concernés, de la durée de ces accès distants et de la sensibilité des systèmes et données accédés. »

Les recommandations minimales émises par la CSSF sont :

  • accès avec privilèges élevés : Les professionnels devraient identifier les profils utilisateurs les plus risqués (tels que les administrateurs informatiques, les employés en charge des transactions/paiements, etc.). Pour ces profils plus risqués au minimum et si possible plus largement, des mesures de sécurité adéquates devraient être immédiatement mises en place : authentification forte, accès depuis un laptop sécurisé et administré par le professionnel, journalisation (logging) et revue a posteriori des actions sensibles effectuées.
  • sécurisation des communications : Les connexions devraient être sécurisées en chiffrant le canal de communication (par exemple recours à une solution VPN avec chiffrement AES-256, RSA-2048).
  • monitoring des connexions : Les professionnels devraient mettre en place des contrôles qui garantissent, a minima, que les connexions à distance sont cohérentes avec une utilisation de type télétravail. Ainsi, les accès à distance devraient être désactivés en dehors des heures de bureau, l’adresse IP d’origine se connectant à distance devrait provenir du Luxembourg ou des pays frontaliers (geofencing).
  • situation exceptionnelle et durée limitée dans le temps : Ces accès à distance viennent en réponse à la situation exceptionnelle créée par le virus Covid-19 et correspondent à une mesure temporaire et limitée dans le temps. Ainsi, les professionnels devraient définir les conditions d’activation/déclenchement (trigger event) pour autoriser les accès à distance et s’assurer qu’ils soient désactivés dès la fin de cette situation exceptionnelle.

 

Cas particulier du travail à distance pour les PSF de support

La CSSF apporte une précision le 18 mars 2020 pour les PSF de support qui doivent mettre en place le travail à distance de leurs employés : l’autorisation préalable du client et des garanties sur les mesures de sécurité mises en œuvre en regard des risques encourus sont nécessaires.

En effet, la CSSF précise :

  • qu’en ce qui concerne les services prestés aux clients, un PSF de support devra toutefois obtenir l’accord de son client, pour tout service presté à partir du domicile des employés du PSF impliquant un accès sur l’environnement informatique du client, y compris sur les mesures de sécurité mises en œuvre.
  • que les risques sont notamment fonction du rôle et des droits d’accès des employés du prestataire concernés, de la durée de ces accès distants et de la sensibilité des systèmes et données accédés.
  • que les recommandations de sécurité définies précédemment s’appliquent aussi aux PSF de support et aux entités surveillées dans le contexte d’accès octroyés à des employés de prestataire externe depuis leur domicile.

 

Cas particulier pour les entités surveillées par la CSSF du travail à distance avec des solutions de bureau virtuel ou d’autres solutions d’accès à distance, en nuage ou pas

Dans son communiqué du 22 mars 2020, la CSSF indique que les entités surveillées doivent revoir immédiatement leur organisation pour minimiser le nombre de personnes amenées à se déplacer jusqu’au lieu de travail habituel ou jusqu’au site de repli. Seules les personnes assurant les fonctions vitales qui ne peuvent être effectuées à distance, restent indispensables sur le site opérationnel.

La CSSF demande que soit mis à la disposition des membres du personnel qui ne sont pas équipés d’ordinateurs portables ou d’autres appareils mobiles, dans les meilleurs délais, des solutions de bureau virtuel ou d’autres solutions d’accès à distance, en nuage (« cloud-based ») ou pas.

 

Utilisation d’outils avancés

Dans ce temps de crise à effectif réduit, l’emploi d’outils avancés permet de diminuer l’impact de la sécurité sur les hommes et les femmes de votre entité.

Les outils de sécurité avancés équipés d’intelligence artificielle proposent une automatisation de l’analyse des alertes et des modules d’autoréponses aux attaques.

Ils permettent aux équipes :

  • de pouvoir gérer au mieux le facteur fatigue en ne recevant que les alertes pertinentes et en augmentant la proactivité afin d’intervenir avant la crise cyber.
  • d’être aidées par des modules d’autoréponses automatiques aux attaques contre le système d’information pour une meilleure réactivité afin de limiter les impacts.

 

Aubay vous accompagne

Aubay dispose de partenariats de premier ordre en solutions logicielles équipées d’intelligence artificielle. Ces solutions permettent la sécurisation de vos systèmes d’information, de vos données personnelles et de propriété intellectuelle. Elles soulagent vos équipes en automatisant l’analyse des alertes et en proposant des modules d’autoréponses aux attaques. Certaines de ces solutions permettent également une cartographie en temps réel de votre réseau à géométrie variable.

Aubay vous accompagne dans la sécurisation de votre système d’information pour vous assister sur l’analyse des risques, la sécurisation de votre infrastructure, l’adaptation des processus de remontée d’alertes de crise et/ou la mise en place d’outils avancés de sécurité.

Aubay propose également des services de support aux utilisateurs.

Si vous souhaitez aborder le sujet de ces outils avancés ou si vous avez besoin d’un accompagnement dans la gestion de vos risques IT et la sécurisation de votre système d’information, vous pouvez nous joindre sur CM@aubay.lu .

VERSION UK

 

Références :

  • Communiqué de la CSSF relatif à « CORONAVIRUS COVID-19 : PRÉCISIONS DE LA CSSF QUANT AU COMPORTEMENT À ADOPTER PAR LES ENTITÉS SURVEILLÉES » daté du 2 mars 2020
  • FAQ Covid-19 de la CSSF datée du 20 mars 2020
  • Communiqué de la CSSF relatif à « CORONAVIRUS (COVID-19) : RÉVISION IMMÉDIATE DE L’ORGANISATION ACTUELLE » daté du 22 mars 2020