Vous êtes dans : Accueil > Tribunes libres >

Sécurisation du télétravail, deuxième effet COVID – volet usage

Cédric Cartau, MARDI 31 MARS 2020

Le télétravail nécessite des outils et une infrastructure adaptée, comme le développe Charles dans son article. Mais les outils ne sont pas tout, il y a aussi et surtout la question des usages, ceux autorisés et ceux qui interrogent.

Dans un monde parfait, l’employé(e) de l’hôpital X accède aux données (qui sont souvent sensibles, même s’ils s’agit de données RH ou financières) à partir d’équipements maîtrisés, et ne les transfère pas sur des supports inadaptés ou des lieux de stockage non maîtrisés – c’est pour cela d’ailleurs qu’une bonne charte informatique parle de « stockage adapté à la sensibilité de l’information » sans rentrer dans les détails techniques, qui peuvent être trop divers.

Mais que l’on soit dans ou hors des murs de l’établissement, il est tentant de vouloir utiliser des services « border-line » pour palier aux manques (le plus souvent réels) des fonctions mises à disposition par les DSI (qui font ce qu’elles peuvent avec leurs budgets, en matière d’informatique comme ailleurs on n’en a jamais que pour son argent). Par exemple, l’usage de Dropbox pour échanger des données entre des personnes géographiquement séparées est un grand classique : sauf que la fonction de synchronisation marche tellement bien qu’elle synchronise même les malwares présents sur les partages. On voit arriver cela dans les consoles de supervision des AV, en général les DSI désinstallent manu militari Dropbox quand le PC est en intra, mais quid quand il sera au domicile de l’agent?

En matière d’échange de données, tout le monde pense aux clés USB échangées entre la sphère professionnelle et la sphère privée (on ne peut pas interdire l’usage de ces outils très pratiques, mais il faut les compartimenter), mais ce ne sont pas les seuls chausse-trappes : outre Dropbox on trouve des outils on-line extrêmement bien fichus pour l’usage privé tels Evernote, Notability, les drives, etc., mais totalement proscrit dans la plupart des contextes professionnels, à fortiori à l’hôpital. Il n’est pas évident, pour une DSI ou un RSSI, de résister à la pression de l’usage en temps normal, c’est encore plus compliqué en temps de crise et ce pour au moins deux raisons : la nécessité de mettre à disposition des outils pour travailler en équipe géographiquement éclatés et n’appartenant parfois pas aux mêmes structures, et la facilité d’utilisation et d’installation (il ne faut pas tout le temps être admin de son PC pour pouvoir les installer).

Un sujet rapidement identifié par les DSI concerne l’assistance technique de premier et deuxième niveau pour les utilisateurs qui sont en télétravail. Comme par exemple changer le mot de passe de sa session Windows (pour un PC qui ne démarre pas sur le LAN), intervenir à distance sur un PC pour lequel la prise de main n’est pas facile (il n’est pas sur le domaine), sans parler des cas de pannes matérielles ou des infections malware (déverminage d’un PC à distance dont on n’est pas certain de la version de la signature AV). Les infrastructures et les outils des centres d’appel et équipes micro n’ont pas été conçus pour ce genre d’usage, et ce sera un point à mettre sur la table au moment de l’analyse post-mortem de la situation côté DSI. Tout ceci vient bien évidemment en plus des problématiques qu’à peu près tout le monde a identifié : la confidentialité d’un matériel professionnel dans un environnement privé avec l’ado qui veut aller voir comment fonctionne la machine et installer des jeux dessus, voire utiliser le mot de passe du parent pour se connecter au réseau juste pour en parler à ses potes.

Etrangement, il est un sujet que certains DSI et RSSI n’ont pas forcément identifié : la phase de retour à la normale. Si le confinement dure (ce qui est probable) il se trouvera toute une flotte de PC qui auront fonctionné à distance, avec une assistance technique minimale, dans un contexte de travail forcément plus propice à attraper toutes les cochonneries numériques, et surtout pour certains aucune mise à jour (AV ou tout du moins patches OS) pendant plusieurs semaines. Le jour où tout ce beau monde va enfin revenir au bureau, ces équipements dont l’état pourra être douteux vont se reconnecter au LAN sans plus de précaution : l’utilisateur arrivera un beau matin au bureau et allumera son PC comme il le faisait chaque matin avant le COVID. Quid de la réaction du réseau devant ces connexions : faut-il prévoir une zone de quarantaine (je suis sérieux) pour ces PC avant de revenir sur le LAN tout propre ? Si oui comment gérer cette quarantaine, comment contraindre les PC à passer par un sas de décontamination, avec quels outils système et réseau, quels personnels ?

A ce stade les DSI, outre les fonctions de support aux équipes de soins qui sont dans la situation que l’on sait, doivent sans tarder réfléchir à la phase de retour à la normale, car on sait que le jour j du « grand retour » les métiers auront du mal à comprendre que la DSI ne ré-appuient pas sur le bouton ON dans le quart d’heure, eux qui auront vécu des semaines compliquées et qui voudront reprendre sans tarder leurs projets, leurs réunions, leurs affaires courantes, ce qui est normal.

Enfin, il va falloir mener une importante phase de débriefing pour le volet SI, avec ce qui a bien fonctionné et ce qui a moins bien marché. Ceci est une critique positive : les SI n’ont pas été conçus pour un tel chambardement et il est normal de faire un REX à la fin. D’autant que pas mal de personnes pensent qu’il est très probable que l’on se prenne une seconde vague de COVID à l’automne. En d’autre termes, s’il est urgent de soutenir les métier maintenant, il est urgent de passer à la phase de « retour au bercail » et à la prochaine phase de télétravail massif.

C’est le volet du PCA-PRA que quasi personne n’avait instruit jusqu’à présent, et dont on ne pourra pas faire l’économie à l’avenir. Avec le souhait que le dispositif qui sera mis en place ne connaîtra pas le même sort que les stocks de masques en 2013.

#dsi#rssi#