Selon une étude menée par Transforma Insights, le marché du RPA (Robot Process Automation) devrait passer de 1,23 en 2020 à 13,39 milliards de dollars en 2030. Ces robots logiciels effectuent des tâches répétitives et sont devenus très populaires avec la pandémie pour faciliter les activités quotidiennes de certains télétravailleurs. Les RPA peuvent cependant avoir accès à des informations personnellement identifiables et à d’autres données sensibles, mais leur sécurité est souvent négligée.
Tribune – Selon Anthony Moillic, Director, Solutions Engineering EMEA et APAC chez NETWRIX, les RPA sont généralement déployés avec une stratégie « business first » qui n’inclue pas la sécurité :
« Avec le RPA, les employés créent des robots logiciels, également appelés “bots”, qui peuvent apprendre, copier, puis exécuter des processus métier basés sur des règles. En d’autres termes, cette technologie permet aux utilisateurs de créer des bots imitant les actions numériques humaines. Elle est particulièrement appréciée des secteurs financiers ou industriels, car ces derniers utilisent encore d’anciennes applications et interfaces, et ne peuvent par conséquent pas bénéficier des technologies API (Application Program Interface).
La technologie est déployée par des employés cherchant un soutien pour accomplir des tâches très basiques et répétitives (mais précises) ; comme remplir un formulaire, copier-coller des données, mettre à jour des informations bancaires ou encore faire des calculs. Le problème est que ces déploiements sont généralement effectués sans l’intervention de l’équipe de sécurité. Le RPA est en effet considérée comme un moyen simple et rapide de gagner du temps et de l’argent. Par conséquent, cette technologie est mise en place dans un souci purement commercial et peut parfois devenir du “shadow IT”. Il s’agit de tous les processus liés au numérique dont l’équipe informatique n’est pas tenue au courant et, par conséquent, qu’elle ne surveille pas. En d’autres termes, les mesures de sécurité sont élaborées sans tenir compte des RPA déployés.
Cette vision non “secure by design” entraine de nombreuses vulnérabilités. Tout d’abord, les RPA sont censés utiliser leurs propres identifiants, mais finissent par utiliser ceux de comptes humains à privilèges. Or, des identifiants identiques utilisés par un bot et un employé compliquent la surveillance des activités car il est impossible de séparer les actions du bot de celles de l’employé. De plus, l’authentification MFA et le chiffrement ne peuvent pas être mise en place et cela soulève des questions majeures de confidentialité. Par conséquent, un cybercriminel peut facilement cibler un bot à privilèges et réussir à récupérer les données que ce dernier a accumulées.
Pour atténuer ces types de risques, il existe quelques processus et politiques à mettre en place. Tout d’abord, il est essentiel de sensibiliser tous les employés à ce que l’on attend d’eux en matière de cyber-hygiène et aux conséquences potentielles de mauvaises habitudes persistantes ; telles que le déploiement de RPA à l’insu de l’équipe informatique. Cette dernière doit en effet être capable de savoir qui (humains et machines) fait quoi, afin de surveiller étroitement chaque activité. Deuxièmement, des audits doivent être régulièrement réalisés pour évaluer le niveau de sécurité et si les législations en vigueur sont respectées. Dernier point, mais non des moindres, si les RPA sont déployés par l’intermédiaire de fournisseurs, ces tiers ont la responsabilité de s’assurer que le projet est viable en termes de cybersécurité, et notamment qu’il est correctement sécurisé dès la conception.
La digitalisation étant désormais incontournable, le RPA apparaît comme la technologie incontournable pour automatiser les processus et faciliter le quotidien de nombreux collaborateurs. Cependant, cette technologie “de rêve” pourrait se transformer en cauchemar sous peu si elle n’est pas correctement sécurisée. Cette technologie représente en effet une porte d’entrée pour les cybercriminels pour pénétrer dans un réseau d’entreprise, se déplacer latéralement et compromettre les données sans craindre d’être pris. »