Une mobilité orientée utilisateur pour sécuriser l’environnement sans fil

Une entreprise qui met en oeuvre un réseau mobile doit prendre en compte la multiplicité des équipements susceptibles d'être utilisés par ses collaborateurs et la diversité des lieux de connexion.

"Les petits bureaux distants ou à la maison ont tout l’air d’accidents potentiels qui ne demandent qu’à se concrétiser, pour cause d’absence de serveur de sécurité ou d’administrateur sur les lieux capable d’appliquer les règles de sécurité", déclare John Girard, du cabinet d’analystes Gartner dans son rapport "Cool Vendors in Infrastructure Prevention" (mars 2007).

Les entreprises, petites et grandes le savent : les équipements Wi-Fi grand public (peu sécurisé, au cryptage aléatoire et souvent utilisés dans les petits bureaux) sont parfois activés par les utilisateurs eux-mêmes, à l'insu de leur direction informatique.

Les collaborateurs, notamment ceux fonctionnant en mode télétravail, utilisent souvent des réseaux sans fil qui ne sont ni administrés, ni surveillés, et partagent parfois ce réseau avec leurs équipements personnels dont la sécurité est douteuse. Lors d'un séjour à l'hôtel, il n'est pas rare qu'un collaborateur partage un réseau avec des utilisateurs inconnus, certains d'entre eux pouvant être malveillants. Dans ce cas, seul un pare-feu sera salutaire. Encore faut-il qu'il soit activé.

 

Le modèle classique d'un périmètre de sécurité qui tunnelise les utilisateurs nomades via un réseau privé virtuel est pertinent pour les utilisateurs de PC portables, avec néanmoins certaines limites. En effet, le client traditionnel IPSec et le réseau privé virtuel sur SSL ne répondent pas toujours aux problématiques suivantes :


- Les assistants personnels nomades, propriétés de certains collaborateurs, et utilisés pour se connecter au réseau d'entreprise,

- Les téléphones Voix sur IP bi-mode qui se connectent au réseau d'entreprise,

- Les portables privés utilisés par certains collaborateurs, même temporairement,

- La mise à jour de sécurité ou de Windows qui neutralisent le client VPN sur le portable d'entreprise.

 

De plus, le collaborateur nomade souhaite accéder à son réseau d'entreprise à partir de lieux différents et variés : siège social de son entreprise, agence locale, en mode télétravail, à partir d'une chambre d'hôtel ou d'un site client, ou encore au sein d'un hotspot public.

 

En clair, une entreprise qui met en oeuvre un réseau mobile doit prendre en compte la multiplicité des équipements susceptibles d'être utilisés et la diversité des lieux de connexion.

Le Wi-Fi représente l'interface la plus ouverte en matière de connectivité pour une gamme étendue d'équipements, mais pour les novices, le simple fait de se connecter à un point d'accès sans fil n'est pas sans danger. L'avènement des points d'accès au format logiciel, installés sur les portables et l'apparition de chevaux de troie qui incitent de manière malveillante les utilisateurs à fournir des identifiants de connexion, constituent des dangers toujours plus fréquents pour les utilisateurs de PC portables.
Qui n'a jamais été tenté de se connecter à un réseau nommé "AccesInvitésGratuit" plutôt que d'utiliser sa carte de crédit pour acheter un accès sans fil proposé au sein d'un hôtel et géré par un opérateur clairement identifié ? D'autre part, peut-on être certain qu'un collaborateur saura discriminer entre un réseau légitime nommé "Orange" et celui d'un hacker qui aura nommé son hotspot pirate " Hotspot Orange" ?

 

Plus rapide sera la connexion d'un utilisateur à un point d'accès sécurisé, moins nombreuses seront les opportunités pour les pirates d'accéder à un réseau d'entreprise. De manière générale, les menaces peuvent ainsi être jugulées en respectant les consignes suivantes :


 - Pour la sécurité des utilisateurs, limiter les réseaux auxquels le portable se connecte : le réseau du fournisseur officiel de services hotspot et le réseau sans fil de l'entreprise uniquement.

 

 - À minima, opter pour un réseau commun à tous les collaborateurs. Cette règle s'appliquera également aux téléphones nomades des collaborateurs, ce qui empêchera toute connexion à un réseau pirate ou prohibé et améliora la sécurité pour le collaborateur et à l'échelle de sa direction informatique.

 

 - Mettre en oeuvre une solution de mobilité qui offre aux utilisateurs un réseau unique, où qu'ils se trouvent. Pour les accès nomades, offrez-vous les services d'un ou de deux fournisseurs d'accès via hotspot. Pour un accès à la maison, dans un hôtel, ou à partir d'un site client, équipez chaque collaborateur d'un point d'accès sans fil personnel qui achemine automatiquement toutes les données via un tunnel IPSec vers le réseau d'entreprise.
Ne vous contentez pas uniquement d'un logiciel client IPSec ou de connexions VPN via SSL. Certes, ces technologies sont matures mais elles témoignent de nombreux désavantages, qu'il s'agisse d'une incapacité à appliquer les privilèges, ou de tâches de configuration et de maintenance fastidieuses.

 

 - Optez pour une authentification par 802.1x et WPA-2 pour discriminer entre les équipements de confiance et les autres. Dans l'idéal, mettez en oeuvre un contrôle d'accès au niveau du point d'accès et des tests de conformité pour vous assurer de l'intégrité des équipements connectés.

 

 - Dirigez toutes les connexions sans-fil entrantes vers un pare-feu qui examinera le niveau de confiance de chaque utilisateur. Peu importe que la session soit initiée à partir d'un PC portable situé au siège social de votre entreprise, ou à partir d'une chambre d'hôtel à l'étranger : les mêmes règles de sécurité doivent s'appliquer...mais de manière transparente pour éviter toute tâches de gestion supplémentaires pour les administrateurs réseau.

 

Les entreprises doivent mettre l'accent sur des règles de sécurité unifiées, basées sur l'individu, son rôle, et les données qu'il utilise, et ce, quelle que soit sa localisation ou l'équipement utilisé. C'est à ce titre que les risques seront maîtrisés sur le périmètre de mobilité en entreprise.