Le modèle classique du réseau sécurisé est-il obsolète ?
Dans un monde "parfait", les informaticiens préféreraient bloquer purement et simplement tous les accès aux ressources situées en dehors du périmètre réseau traditionnel. Or les méthodes de travail modernes en entreprise ont fait voler en éclats ce dernier.
Il n’y a pas si longtemps, les responsables informatiques pouvaient avoir l’assurance que leurs utilisateurs, ordinateurs, données et applications étaient tous bien à l’abri au sein d’un réseau local (LAN) sécurisé. Dans un monde parfait, les informaticiens préféreraient bloquer purement et simplement tous les accès aux ressources situées en dehors du périmètre réseau traditionnel. Or les méthodes de travail modernes en entreprise ont fait voler en éclats ce dernier.
Les avantages de ce débordement du périmètre réseau et l’adoption massive des technologies mobiles par l’ensemble des collaborateurs rendent le modèle classique du réseau sécurisé fonctionnellement obsolète. L’informatique doit désormais aborder la sécurité réseau de manière à favoriser et étendre l’activité au-delà du périmètre. L’un des principaux problèmes que cette tendance pose aux entreprises consiste à gérer ces équipements mobiles, en particulier lorsqu’il s’agit d’accéder au réseau de l’entreprise.
La majorité
du trafic réseau des entreprises est aujourd’hui en provenance ou à
destination de terminaux se trouvant au‑delà du périmètre habituel, ouvrant
ainsi autant de nouvelles voies à des menaces en constante évolution.
Grâce à ces nouveaux points d’entrée, des criminels ingénieux motivés
par l’appât du gain lancent des attaques de plus en plus sophistiquées,
accentuant les risques de vol de données, de pannes de systèmes, de chute
de productivité, de consommation de bande passante et de préjudice
financier.
Des
informations critiques et sensibles sont stockées et manipulées sur des
terminaux distants et mobiles. Les services informatiques doivent donc
prendre des mesures pour sécuriser les flux de données entrants et
sortants sur ces ressources externes, de même que les centres de données
de l’entreprise. A cela vient s’ajouter le rapport complexe
risques/bénéfices de l’utilisation
par les collaborateurs de leurs équipements personnels. La principale
menace vient peut-être des utilisateurs eux-mêmes, qui emploient de plus
en plus leurs propres appareils mobiles en ne se souciant guère
des règles instaurées par l’informatique.
A mesure
que leur nombre s’accroît, les terminaux mobiles deviennent une cible plus
lucrative pour les attaques criminelles. Les mêmes menaces qui infestent les systèmes
d’exploitation des ordinateurs classiques peuvent toucher les smartphones et les
tablettes, en se dissimulant dans des e-mails, sur des sites sociaux, dans
des jeux, des économiseurs d’écran, des messages instantanés, des diaporamas,
voire derrière des URL raccourcies qui rendent les liens malveillants plus
difficiles à identifier. Selon une étude, par exemple, les
utilisateurs Android couraient 2,5 fois plus de risques, à la mi-2011,
d’être confrontés à des malwares qu’au début de la même année.
Les smartphones
et les tablettes étant des moyens de communication plus intimes qu’un
ordinateur, leurs utilisateurs sont plus susceptibles d’interagir avec des fichiers
travestis sous forme de messages personnels. De même, il est moins facile pour
eux de déceler les indices trahissant un site Web factice sur un téléphone doté
d’un écran plus petit. Les utilisateurs d’un terminal mobile ont ainsi 30%
de risque supplémentaire de cliquer sur un lien malveillant.
En outre,
il ne s’agit pas uniquement d’une question de sécurité. De plus en plus, l’utilisation
d’équipements mobiles met à rude épreuve les ressources réseau de l’entreprise,
en particulier lorsque les utilisateurs transfèrent des contenus gros consommateurs
de bande passante (vidéo, par exemple). D’après une étude réalisée par IDC, 10,9
milliards d’applications mobiles ont été téléchargées en 2010 (un chiffre
qui, selon les experts d’IDC avoisinera 76,9 milliards en 2014), chacune
constituant une menace potentielle pour la sécurité de l’entreprise mais aussi une
charge supplémentaire pouvant avoir un impact direct sur les performances du
réseau, et donc sur la productivité et la rentabilité.
La conjugaison
de ces facteurs représente un sérieux dilemme pour les services informatiques. D’une
part, les smartphones et les tablettes sont des outils trop puissants et précieux
pour que les entreprises les ignorent car ils procurent aux utilisateurs des méthodes
de travail entièrement nouvelles, bien plus souples et productives. D’autre
part, ils sont également difficiles à déployer en toute sécurité, ce qui
crée une pression non négligeable sur les budgets et ressources technologiques.
Pour que les entreprises tirent le meilleur parti de la mobilité, elles doivent
réfléchir à la façon d’accorder le plus d’accès possible à leurs
collaborateurs, et non le moins possible. Cela implique de prendre
certaines décisions majeures concernant les différentes plates-formes mobiles
qui ont véritablement besoin d’être sécurisées.
Nous conseillons aux entreprises,
ainsi qu’à ceux chargés de leur sécurité (du point de vue technologique), une
méthodologie en trois étapes :
· Détecter l’intégrité des utilisateurs, des
terminaux et du trafic au-delà du périmètre réseau traditionnel
· Protéger les applications et ressources contre les
accès non autorisés et les attaques de malwares
· Connecter les utilisateurs autorisés aux
ressources appropriées, en temps réel, en toute transparence et facilité
De toute évidence, les smartphones et autres tablettes ont rejoint les ordinateurs portables au rang de terminaux réseau de fait dans les entreprises, universités et administrations. Pour gérer la sécurité de ces terminaux mobiles, les services informatiques doivent être conscients des différences, autant que des points communs, entre les ordinateurs portables et les smartphones. Connaissant ces distinctions, ils pourront mettre en œuvre les meilleures pratiques afin d’assurer la confidentialité et la sécurité de communications d’entreprise aussi bien à l’intérieur qu’à l’extérieur du périmètre réseau, et ce quels que soient les terminaux utilisés.
Sécurisation des
accès à l’extérieur du périmètre :
1. Mettez en place un proxy Web inverse :
celui-ci authentifie et crypte l’accès aux ressources Web, qui s’effectue via
un navigateur standard, indépendamment des plates-formes (ordinateurs portables
ou smartphones), d’où un déploiement simplifié.
2. Mettez en place des tunnels VPN SSL cryptés,
à base d’agents, qui donnent accès via le réseau aux ressources client-serveur
critiques à partir des ordinateurs portables et smartphones, aussi facilement
que s’ils se trouvaient au bureau.
3. Déployez une solution de contrôle des postes
de travail portables : afin de faciliter l’instauration et l’application
d’une politique de sécurité acceptable pour la gestion des portables Windows,
Mac et Linux, une telle solution peut vérifier la présence des logiciels de
sécurité et autoriser, mettre en quarantaine ou refuser l’accès en
fonction des règles de sécurité et de l’identité de l’utilisateur. Comme nous
l’avons souligné plus haut, cela est primordial pour les ordinateurs portables,
mais non moins important pour les smartphones en raison de leur environnement de
distribution d’applications selon le principe de la liste blanche.
4. Créez un bureau virtuel sécurisé pour les
ordinateurs portables : cela évitera le risque que les utilisateurs laissent
derrière eux des données sensibles sur des portables Windows non administrés.
5. Installez une technologie de nettoyage du cache
sur les ordinateurs portables : ainsi, le contenu de l’historique sera
automatiquement effacé dès que l’utilisateur ferme le navigateur.
6. Analysez le trafic VPN qui traverse les firewalls
de nouvelle génération (NGFW) : les ordinateurs portables comme les
smartphones peuvent servir de portes d’entrée permettant aux malwares de franchir
le périmètre réseau, y compris via des connexions WiFi ou 3G/4G. Le déploiement
intégré avec un NGFW crée un VPN « propre » (Clean VPN), qui décrypte puis
analyse tous les contenus. Des services de sécurité au niveau de la passerelle NGFW (antivirus/antispyware,
prévention d’intrusion) peuvent filtrer les menaces avant qu’elles ne pénètrent
sur le réseau.
7. Mettez en place une authentification forte
sur les ordinateurs portables comme sur les smartphones : une
solution de sécurité efficace doit s’intégrer de manière transparente avec les méthodes
d’authentification standard (authentification à deux facteurs et mots de passe
à usage unique, par exemple).
Sécurisation des accès à l’intérieur du périmètre :
8. Analysez le trafic WiFi via le
NGFW : l’intégration du NGFW avec les connexions WiFi 802.11 a/b/g/n crée
un réseau sans fil « propre » lorsque l’utilisateur se trouve à l’intérieur du
périmètre.
9. Contrôlez le trafic applicatif : en règle
générale, les applications pour mobiles sont soit des solutions professionnelles
indispensables, soit des passe-temps personnels. Une solution Clean VPN assurant
le contrôle et la visualisation intelligente des applications peut aider
les services informatiques à réglementer l’usage des applications et de la
bande passante.
10. Prévenez les fuites de données : une
solution de protection peut analyser le trafic sortant à la recherche
de contenu marqué par un filigrane numérique.
11. Bloquez les accès Web inappropriés : le
filtrage des contenus peut aider les utilisateurs mobiles à se conformer
aux obligations réglementaires et à préserver un environnement réseau sécurisé.
12. Bloquez les attaques de botnet
sortantes : une solution antimalware peut identifier et bloquer les attaques
de botnet lancées à partir de terminaux mobiles connectés au réseau.
Les terminaux mobiles posent aux services
informatiques des problèmes inédits, parmi lesquels, et non des moindres, le
risque de pénaliser plutôt que de favoriser l’activité en imposant des règles
de sécurité trop restrictives.
Si la solution réside bien entendu dans la
sécurité, le secret consiste toutefois à déployer des mesures de sécurité qui protègent
sans entraver.
Une telle sécurité sert l’entreprise, au lieu de l’empêcher de
tirer parti des multiples avantages offerts par ces nouveaux équipements.