Le modèle classique du réseau sécurisé est-il obsolète ?

Dans un monde "parfait", les informaticiens préféreraient bloquer purement et simplement tous les accès aux ressources situées en dehors du périmètre réseau traditionnel. Or les méthodes de travail modernes en entreprise ont fait voler en éclats ce dernier.

Il n’y a pas si longtemps, les responsables informatiques pouvaient avoir l’assurance que leurs utilisateurs, ordinateurs, données et applications étaient tous bien à l’abri au sein d’un réseau local (LAN) sécurisé. Dans un monde parfait, les informaticiens préféreraient bloquer purement et simplement tous les accès aux ressources situées en dehors du périmètre réseau traditionnel. Or les méthodes de travail modernes en entreprise ont fait voler en éclats ce dernier.
Les avantages de ce débordement du périmètre réseau et l’adoption massive des technologies mobiles par l’ensemble des collaborateurs rendent le modèle classique du réseau sécurisé fonctionnellement obsolète. L’informatique doit désormais aborder la sécurité réseau de manière à favoriser et étendre l’activité au-delà du périmètre. L’un des principaux problèmes que cette tendance pose aux entreprises consiste à gérer ces équipements mobiles, en particulier lorsqu’il s’agit d’accéder au réseau de l’entreprise.
La majorité du trafic réseau des entreprises est aujourd’hui en provenance ou à destination de terminaux se trouvant au‑delà du périmètre habituel, ouvrant ainsi autant de nouvelles voies à des menaces en constante évolution.
Grâce à ces nouveaux points d’entrée, des criminels ingénieux motivés par l’appât du gain lancent des attaques de plus en plus sophistiquées, accentuant les risques de vol de données, de pannes de systèmes, de chute de productivité, de consommation de bande passante et de préjudice financier.
Des informations critiques et sensibles sont stockées et manipulées sur des terminaux distants et mobiles. Les services informatiques doivent donc prendre des mesures pour sécuriser les flux de données entrants et sortants sur ces ressources externes, de même que les centres de données de l’entreprise. A cela vient s’ajouter le rapport complexe risques/bénéfices de l’utilisation par les collaborateurs de leurs équipements personnels. La principale menace vient peut-être des utilisateurs eux-mêmes, qui emploient de plus en plus leurs propres appareils mobiles en ne se souciant guère des règles instaurées par l’informatique.
A mesure que leur nombre s’accroît, les terminaux mobiles deviennent une cible plus lucrative pour les attaques criminelles.
Les mêmes menaces qui infestent les systèmes d’exploitation des ordinateurs classiques peuvent toucher les smartphones et les tablettes, en se dissimulant dans des e-mails, sur des sites sociaux, dans des jeux, des économiseurs d’écran, des messages instantanés, des diaporamas, voire derrière des URL raccourcies qui rendent les liens malveillants plus difficiles à identifier. Selon une étude, par exemple, les utilisateurs Android couraient 2,5 fois plus de risques, à la mi-2011, d’être confrontés à des malwares qu’au début de la même année.
Les smartphones et les tablettes étant des moyens de communication plus intimes qu’un ordinateur, leurs utilisateurs sont plus susceptibles d’interagir avec des fichiers travestis sous forme de messages personnels. De même, il est moins facile pour eux de déceler les indices trahissant un site Web factice sur un téléphone doté d’un écran plus petit. Les utilisateurs d’un terminal mobile ont ainsi 30% de risque supplémentaire de cliquer sur un lien malveillant.
En outre, il ne s’agit pas uniquement d’une question de sécurité. De plus en plus, l’utilisation d’équipements mobiles met à rude épreuve les ressources réseau de l’entreprise, en particulier lorsque les utilisateurs transfèrent des contenus gros consommateurs de bande passante (vidéo, par exemple). D’après une étude réalisée par IDC, 10,9 milliards d’applications mobiles ont été téléchargées en 2010 (un chiffre qui, selon les experts d’IDC avoisinera 76,9 milliards en 2014), chacune constituant une menace potentielle pour la sécurité de l’entreprise mais aussi une charge supplémentaire pouvant avoir un impact direct sur les performances du réseau, et donc sur la productivité et la rentabilité.
La conjugaison de ces facteurs représente un sérieux dilemme pour les services informatiques. D’une part, les smartphones et les tablettes sont des outils trop puissants et précieux pour que les entreprises les ignorent car ils procurent aux utilisateurs des méthodes de travail entièrement nouvelles, bien plus souples et productives. D’autre part, ils sont également difficiles à déployer en toute sécurité, ce qui crée une pression non négligeable sur les budgets et ressources technologiques.
Pour que les entreprises tirent le meilleur parti de la mobilité, elles doivent réfléchir à la façon d’accorder le plus d’accès possible à leurs collaborateurs, et non le moins possible. Cela implique de prendre certaines décisions majeures concernant les différentes plates-formes mobiles qui ont véritablement besoin d’être sécurisées.
Nous conseillons aux entreprises, ainsi qu’à ceux chargés de leur sécurité (du point de vue technologique), une méthodologie en trois étapes :
·
Détecter l’intégrité des utilisateurs, des terminaux et du trafic au-delà du périmètre réseau traditionnel
·
Protéger les applications et ressources contre les accès non autorisés et les attaques de malwares
·
Connecter les utilisateurs autorisés aux ressources appropriées, en temps réel, en toute transparence et facilité

De toute évidence, les smartphones et autres tablettes ont rejoint les ordinateurs portables au rang de terminaux réseau de fait dans les entreprises, universités et administrations. Pour gérer la sécurité de ces terminaux mobiles, les services informatiques doivent être conscients des différences, autant que des points communs, entre les ordinateurs portables et les smartphones. Connaissant ces distinctions, ils pourront mettre en œuvre les meilleures pratiques afin d’assurer la confidentialité et la sécurité de communications d’entreprise aussi bien à l’intérieur qu’à l’extérieur du périmètre réseau, et ce quels que soient les terminaux utilisés.

Sécurisation des accès à l’extérieur du périmètre :
1. Mettez en place un proxy Web inverse : celui-ci authentifie et crypte l’accès aux ressources Web, qui s’effectue via un navigateur standard, indépendamment des plates-formes (ordinateurs portables ou smartphones), d’où un déploiement simplifié.
2. Mettez en place des tunnels VPN SSL cryptés, à base d’agents, qui donnent accès via le réseau aux ressources client-serveur critiques à partir des ordinateurs portables et smartphones, aussi facilement que s’ils se trouvaient au bureau.
3. Déployez une solution de contrôle des postes de travail portables : afin de faciliter l’instauration et l’application d’une politique de sécurité acceptable pour la gestion des portables Windows, Mac et Linux, une telle solution peut vérifier la présence des logiciels de sécurité et autoriser, mettre en quarantaine ou refuser l’accès en fonction des règles de sécurité et de l’identité de l’utilisateur. Comme nous l’avons souligné plus haut, cela est primordial pour les ordinateurs portables, mais non moins important pour les smartphones en raison de leur environnement de distribution d’applications selon le principe de la liste blanche.
4. Créez un bureau virtuel sécurisé pour les ordinateurs portables : cela évitera le risque que les utilisateurs laissent derrière eux des données sensibles sur des portables Windows non administrés.
5. Installez une technologie de nettoyage du cache sur les ordinateurs portables : ainsi, le contenu de l’historique sera automatiquement effacé dès que l’utilisateur ferme le navigateur.
6. Analysez le trafic VPN qui traverse les firewalls de nouvelle génération (NGFW) : les ordinateurs portables comme les smartphones peuvent servir de portes d’entrée permettant aux malwares de franchir le périmètre réseau, y compris via des connexions WiFi ou 3G/4G. Le déploiement intégré avec un NGFW crée un VPN « propre » (Clean VPN), qui décrypte puis analyse tous les contenus. Des services de sécurité au niveau de la passerelle NGFW (antivirus/antispyware, prévention d’intrusion) peuvent filtrer les menaces avant qu’elles ne pénètrent sur le réseau.
7. Mettez en place une authentification forte sur les ordinateurs portables comme sur les smartphones : une solution de sécurité efficace doit s’intégrer de manière transparente avec les méthodes d’authentification standard (authentification à deux facteurs et mots de passe à usage unique, par exemple).

 Sécurisation des accès à l’intérieur du périmètre :

8. Analysez le trafic WiFi via le NGFW : l’intégration du NGFW avec les connexions WiFi 802.11 a/b/g/n crée un réseau sans fil « propre » lorsque l’utilisateur se trouve à l’intérieur du périmètre.
9. Contrôlez le trafic applicatif : en règle générale, les applications pour mobiles sont soit des solutions professionnelles indispensables, soit des passe-temps personnels. Une solution Clean VPN assurant le contrôle et la visualisation intelligente des applications peut aider les services informatiques à réglementer l’usage des applications et de la bande passante.
10. Prévenez les fuites de données : une solution de protection peut analyser le trafic sortant à la recherche de contenu marqué par un filigrane numérique.
11. Bloquez les accès Web inappropriés : le filtrage des contenus peut aider les utilisateurs mobiles à se conformer aux obligations réglementaires et à préserver un environnement réseau sécurisé.
12. Bloquez les attaques de botnet sortantes : une solution antimalware peut identifier et bloquer les attaques de botnet lancées à partir de terminaux mobiles connectés au réseau.
Les terminaux mobiles posent aux services informatiques des problèmes inédits, parmi lesquels, et non des moindres, le risque de pénaliser plutôt que de favoriser l’activité en imposant des règles de sécurité trop restrictives.

Si la solution réside bien entendu dans la sécurité, le secret consiste toutefois à déployer des mesures de sécurité qui protègent sans entraver.
Une telle sécurité sert l’entreprise, au lieu de l’empêcher de tirer parti des multiples avantages offerts par ces nouveaux équipements.

Test connexion