Speaker #0Tu sais, il y a un moment assez intéressant dans la vie d'un SMSI, c'est quand le management décide, dans ton dos, qu'il a signé pour du remote office. On veut du remote office. Alors sur le papier, tout le monde est content. C'est moderne, c'est flexible, ça attire les talents. Mais toi, tu es dans la sécurité. Et là, tu ne vois pas un avantage. Tu vois une surface d'attaque qui explose. Parce que le remote office, c'est pas juste travailler depuis chez soi. Ça, on connaît déjà bien. Et c'est maîtrisé. On a progressé. Merci Covid. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité et la conformité ne te donnent pas envie de dormir dans les bouchons ou dans un remote office. Je suis Fabrice De Paepe et aujourd'hui... Je te parle d'un sujet un peu particulier. Comment insérer ton remote office sans coma dans ton SMSI ? N'oublie pas de t'abonner à Compliance Without Coma, n'oublie pas de liker, partager, c'est toujours aussi important, bien évidemment, pour continuer à pousser le podcast dans les charts. Alors un remote office, c'est quoi ? C'est un bureau à distance, en quelque sorte. Ici, je vais te parler des différents environnements. On a du co-working. Des salles de réunion partagées, donc partagées entre différentes sociétés. Plutôt, tu dois le voir comme un espace public. On a ce que j'appelle des bâtiments buffers. Tu sais, ce genre de bâtiments qui font tampons pour que tu puisses y travailler avant les bouchons. Mais où personne, ou très peu de monde y met les pieds finalement. Mais le remote office est aussi utilisé par les voyageurs fréquents. Et là, je pense à un remote office dans le lounge de l'aéroport. Tu y es ? Installe-toi avec ton café. Mais dans les cafés aussi ! Tu sais, ce genre de petit endroit, sans citer les marques, on a les junk food, ou on a des wifi gratuits, on a des cafés célèbres, ou on a des wifi gratuits. D'ailleurs j'ai fait une vidéo qui est un banger aussi sur Instagram et TikTok, avec les choses à ne pas faire dans ce genre d'endroit, mais plus particulièrement dans un aéroport. Mais ici surtout je veux que tu penses à un remote office comme étant un endroit Ou concrètement, en tant que CISO, tu ne contrôles plus rien. Ça y est, tu l'as ? Peut-être même que tu en as d'autres que moi. Dis-les-moi en commentaire, je suis curieux. Et c'est là que la question arrive. Une question très ISO 27001. Est-ce que je dois mettre tout ça dans mon scope ? Tu sais, mon domaine d'application, de mon SMSI. C'est quelque chose déjà dans l'ISO ? Oui, c'est la 4.3. Obligatoire, donc. Et là... Si tu pousses la logique jusqu'au bout, tu peux te retrouver avec des centaines d'environnements différents, des dizaines de pays, des centaines de lieux, des milliers de situations. Et là tu te dis, ok, mais comment j'audite ça ? Qu'est-ce que l'auditeur va vouloir voir pour que je n'ai pas d'écart ? Qu'est-ce que moi je vais sécuriser en tant que RSSI ou CISO ? Comment je justifie ça ? Comment je ne vais pas me prendre d'écart de la part de mon bureau de certification ? Et accessoirement, combien ça va me coûter en audit si je dois commencer à envoyer quelqu'un visiter tout ça ? Le coût du contrôle ne va-t-il pas dépasser celui du risque ? Et est-ce que je ne vais pas être du coup ridicule et perdre ma crédibilité de CISO face à ma direction qui me dit que je surenchéris tout le temps ? Et c'est précisément là que beaucoup de gens se trompent, parce qu'ils continuent à raisonner en périmètre physique. Alors que le problème, ce n'est pas le périmètre, c'est le risque. Tu ne dois pas sécuriser 700 lieux différents. Tu dois sécuriser un modèle de travail. Et ça change tout. Parce que si tu essayes de mettre tous tes remote office dans ton scope, t'es mort. Ton SMSI devient ingérable, tu crées la complexité inutile et surtout tu te crées des écarts tout seul. Donc on respire et on revient à quelque chose de simple. Qu'est-ce qui change réellement avec le remote office ? Pas les actifs, pas les données, le contexte. Tu passes d'un environnement maîtrisé à un environnement non maîtrisé. Et ça, moi j'appelle ça un risque. Très concret d'ailleurs. Quelqu'un regarde ton écran, quelqu'un écoute une conversation, tu parles de choses très confidentielles dans un mode public, tu peux utiliser un wifi public, est-ce que tu as un VPN ou pas, je n'en sais rien. Tu peux oublier ton laptop, mais tu pourrais très bien l'oublier dans le train aussi, on est d'accord. Tu utilises une imprimante partagée, avec potentiellement n'importe qui, et là, ton job de ciseau n'est pas de dire on arrête, tu dois aligner... de la sécurité sur les objectifs business. Donc ton job, c'est d'encadrer. Et je te rappelle qu'ils te l'ont fait à l'envers. Ils ont d'abord décidé d'utiliser un remote office, et après, c'est toi qui dois trouver la solution. Donc tu poses des règles simples, pas compliquées, mais claires. Pas d'impression d'environnement public, et ça peut être décrit dans une politique, et après, en fonction de ta sécurité opérationnelle, tu peux l'enforcer et l'exécuter, à toi de voir. Tu mets un VPN obligatoire, et donc ceux qui n'ont pas de VPN ne savent pas se connecter à tes ressources, à ton système d'information. Tu rajoutes l'authentification forte, c'est très à la mode maintenant. Écran verrouillé, ClearDesk, ClearScreen Policy, pas de données sensibles visibles, tu pourrais rajouter un filtre sur l'écran, éventuellement. Tu ne cherches pas à tout contrôler, tu cherches à réduire l'exposition. Et surtout, tu déplaces le contrôle. Tu ne contrôles plus le lieu, tu contrôles l'usage. Tu sécurises l'utilisateur, tu sécurises le device, le endpoint si tu préfères, tu sécurises l'accès. Mais tu acceptes une chose, tu ne contrôles pas tout. Et ça, il faut l'assumer. Parce que même avec les meilleurs contrôles du monde, tu ne vas pas contrôler un co-working à Barcelone, un lounge à Dubaï, ah zut, j'ai dit Dubaï, et un café à Bruxelles. Et heureusement, l'auditeur ne va pas non plus essayer. Ce qu'il va regarder, c'est autre chose. Est-ce que tu as identifié un risque ? Est-ce que tu l'as compris ? Est-ce que tu as mis des règles cohérentes ? Est-ce que ton organisation les applique ? Est-ce que chaque table de coworking est conforme ? Est-ce qu'elle a bien 4 pieds ? Et c'est là que tu comprends quelque chose d'important. ISO 27001 ne t'oblige pas à tout contrôler. Elle t'oblige à être cohérent et surtout à assumer tes choix. Donc oui, le remote office. C'est plus risqué que du télétravail, donc du travail à domicile, parce que dans le travail à domicile, tu es dans ta sphère privée. Et donc le remote office, on est d'accord qu'on perd un peu plus de contrôle. Mais non, ce n'est pas un problème ISO. C'est un risque moderne. Et comme tous les risques, il ne doit pas être évité, il doit être encadré. Parce qu'au final, en sécurité de l'information, tu ne contrôles pas les lieux. Tu contrôles les usages. Et ça, ça change complètement la manière de construire ton SMSI. Et bien sûr, en fonction de tes contrôles déjà existants, je t'invite à jeter un oeil à ton code de conduite, ou ta ClearDesk, ClearScreen Policy, peu importe comment tu l'appelles. Et peut-être y ajouter une phrase subtilement, où tu l'étends, où tu détailles ce comportement à ton remote office. Et puis n'oublie pas la sensibilisation de ton personnel sur la mise à jour de ce document, et tu seras paré pour l'audit. Le remote office, c'est pas un problème de scope, j'espère que tu l'as compris. C'est un problème de risque. Voilà, j'espère que j'ai pu te garder éveillé avec moi et avec mon remote office et que cela te sera très utile pour la définition de ton scope. Pense à t'abonner, liker, partager et en discuter au café avec quelqu'un qui veut mettre des remote office partout. Je te dis déjà la semaine prochaine pour un nouvel épisode de Compliance Without Coma.
