La sécurité des collaborateurs distants exige une mobilité orientée utilisateurs

Les utilisateurs nomades doivent pouvoir accéder au réseau d'entreprise, quel que soit leur lieu de connexion. Cette liaison nécessitera néanmoins de prendre quelques mesures de sécurité.

Il arrive que des entreprises et organisations, petites ou grandes, utilisent une connectivité  Wi-Fi grand public peu sécurisée dans leurs plus petits bureaux. De plus, les télétravailleurs se connectent souvent à des réseaux sans fil non administrés par leur entreprise, souvent partagés avec des ordinateurs résidentiels dont la sécurité est plus qu’aléatoire...

Le modèle traditionnel de sécurité veut qu'un utilisateur nomade ou distant se connecte au réseau sécurisé d'entreprise via un VPN sécurisé. Cette approche est pertinente pour les ordinateurs portables mais présente néanmoins quelques inconvénients. En effet les clients IPSec et les liens VPN sécurisés par SSL connaissent leurs limites dans les cas suivants :

- Les utilisateurs de PDA qui se connectent au réseau d'entreprise
- Les téléphones GSM et Voix sur Wi-Fi qui se connectent au réseau d'entreprise
- L'utilisation des ordinateurs portables personnels des collaborateurs
- Les mises à jour de sécurité et de Windows automatiques, susceptibles de désactiver le client VPN sur les PC portables d'entreprise

Les utilisateurs nomades doivent pouvoir accéder au réseau d'entreprise, que leur lieu de connexion soit le siège social de l'entreprise, une filiale, un site distant, un domicile, une chambre d'hôtel ou encore un hotspot public. Ainsi, toute entreprise qui bâtit un réseau de mobilité doit tenir compte de la diversité des équipements des collaborateurs et de la multitude des lieux de connexion.

Le Wi-Fi assure une connectivité étendue au plus grand nombre d'équipements, mais en cas d'imprudence, une simple connexion à un point d'accès sans fil peut se révéler périlleuse. Des chevaux de Troie, spécialement créés pour duper les utilisateurs et les inciter à révéler leurs données d'authentification, sont de plus en plus fréquemment décelés sur les sites à partir desquels les ordinateurs portables se connectent.

Dans un hôtel par exemple, l'utilisateur peut être tenté de se connecter à un réseau nommé "Accès Invité Gratuit", plutôt que d'utiliser sa carte bancaire pour accéder à un hotspot nommé "Orange". D'autre part, l'utilisateur saura-t-il faire la différence entre un réseau légitime identifié sous le SSID "Orange" et un réseau "Orange hotspot" activé par des pirates ?

En réalité, plus l'utilisateur se connecte rapidement à un point d'accès légitime et sécurisé, plus il sera possible de maîtriser les risques qu'un pirate se connecte à un réseau d'entreprise.

Pour maîtriser ces risques, il s'agit de:
  1. Verrouiller les identifiants SSID des réseaux auxquels un ordinateur peut se connecter, en les limitant aux réseaux des fournisseurs de hotspots référencés et au SSID du réseau Wi-Fi d'entreprise.  
  2. Ne proposer d'un seul identifiant réseau qui sera utilisé par tous les collaborateurs pour accéder au réseau d'entreprise. Cette démarche se doit d'être appliquée également aux téléphones sans fil, pour que les collaborateurs n'aient plus de raisons de se connecter à un réseau non autorisé.
  3. Opter pour une solution de mobilité qui offre aux utilisateurs un seul et même réseau, quel que soit le lieu de connexion. Pour les accès dans le cadre des déplacements, il est vital de référencer un ou deux fournisseurs d'accès hotspot de confiance. Pour les accès distants, il est nécessaire d'équiper chaque collaborateur d'un point d'accès distant personnalisé qui achemine automatiquement les données jusqu'au réseau d'entreprise via un tunnel sécurisé par IPSec.
  4. Appliquer le 802.1x et le WPA-2 pour évaluer si un équipement est de confiance. Dans l'idéal, il faudra également mettre en place des contrôles pour valider la fiabilité et la sécurité des équipements distants connectés au réseau et assurer qu'ils n'ont pas été compromis.
Au final, les entreprises doivent garantir une sécurité uniforme pour chaque connexion, une sécurité fondée sur l'utilisateur et son profil, et ce, quel que soit le lieu ou se trouve l'équipement de connexion. C'est de cette manière qu'il sera possible de maîtriser les risques liés aux accès réseau des télétravailleurs et des collaborateurs distants.

Autour du même sujet