Nomades et télétravailleurs : les bonnes pratiques de sécurité

Selon une étude réalisée par le cabinet Computing Technology Industry Association (CompTIA), auprès de 1 070 sociétés, seulement 32% des entreprises ont sensibilisé et formé leurs utilisateurs aux dangers inhérents aux accès distants. 10% prévoient néanmoins de le faire dans les douze prochains mois. Selon une autre étude réalisée cette fois par Cisco auprès de 1 000 télétravailleurs, 21% autorisent par exemple des amis ou des membres de leur famille à utiliser le PC professionnel pour accéder à Internet.

Utilisateurs nomades et télétravailleurs sont régulièrement pointés du doigt en raison des risques de sécurité qu'ils représentent effectivement ou potentiellement pour l'entreprise. Le développement de la mobilité, et notamment l'accès distant à des applications et des données sensibles, encouragent également à l'adoption et aux respects de bonnes pratiques.

Avant de permettre la connexion au réseau local à un poste nomade ou externe, il convient de s'assurer de son niveau de sécurité. Ce test de conformité peut être pris en charge par des solutions de type contrôle d'accès. L'utilisateur sera ainsi placé dans une zone de quarantaine en attendant que les mises à jour de son antivirus et de son système d'exploitation soient effectuées, réduisant ainsi les risques de contamination du réseau.

"Il est aussi possible de réaliser une surveillance des plages horaires. Il est peu probable qu'un télétravailleur se connecte à trois heures du matin. Ce monitoring peut se faire au niveau du NAC, des clefs RSA, du pare-feu ou du reverse proxy pour les applications Web", complète Thibault Koechlin, consultant pour NBS System.

Protéger les postes

Plus exposés que derrière les pare-feu de l'entreprise, les postes nomades doivent intégrer des applications de sécurité (antivirus et firewall au minimum), et les utilisateurs être sensibilisés aux risques. Renaud Lifchitz, consultant et formateur pour Sysdream, recommande à ce titre des appliances de sécurité nomades telle que celle de Yoggie.

"Pico est une clef USB avec un processeur intégré contenant un grand nombre d'applications de sécurité, comme des appliances classiques. Connectée à l'ordinateur portable, elle permet de bénéficier du filtrage Web, d'un proxy, d'un antivirus, d'un IPS, etc. Et comme la clef possède son propre processeur, la sécurité ne consomme pas de ressources sur le poste. Un responsable informatique peut en outre forcer l'utilisation sur les postes. Aucune connexion réseau ne pourra s'opérer si elle n'est pas connectée", détaille-t-il.

Distinguer usages professionnels et privés

Pour le télétravailleur, il est nécessaire qu'il dispose d'un ordinateur réservé strictement à un usage professionnel. S'il lui est fourni par l'entreprise, il peut être sage pour cette dernière de restreindre les droits d'utilisation : pas de privilège administrateur sur le poste. Une contamination d'un poste de télétravail pourrait permettre à un individu malveillant d'accéder dans un second temps au réseau de l'entreprise, même lors d'une connexion VPN.

Par mesure de sécurité, l'ordinateur ne doit pas être utilisé pour un usage familial ou privé afin d'éviter à la fois la contamination du poste par un programme malveillant et le vol de données confidentielles appartenant à l'entreprise.

Chiffrer et sauvegarder les données

"Le vol d'informations peut se faire par la compromission du poste mais aussi par le vol physique de la machine. Or les nomades, tels que les commerciaux, transportent souvent des données sensibles", rappelle Thibault Koechlin.

Le chiffrement interdira le vol dans les deux cas de figure. Pour pallier la perte de données, cette fois suite à un sinistre ou une panne matérielle, elles doivent être sauvegardées de manière sécurisée auprès des serveurs de l'entreprise via un accès distant, ou externalisées auprès d'un prestataire fournissant des services en ASP.

Sécuriser les accès distants

La transmission des flux d'informations entre le client et l'entreprise se fera au travers de canaux protégés, comme des tunnels VPN (SSL ou IPSec), et ce afin d'éviter la capture par des tiers durant le transport sur le réseau. Le VPN prend en charge 3 missions : la confidentialité au travers du chiffrement, l'authentification utilisateur, et assure intégrité des informations.

"Un VPN SSL garantit que les données sont chiffrées et bien acheminées vers le serveur de destination grâce à des certificats. Des clients VPN comme ceux proposés par Cisco vont préalablement à l'ouverture du tunnel, contrôler le niveau de sécurité du poste : mises à jour système et antivirus, contrôle des processus en mémoire, connexions réseaux, …", précise Renaud Lifchitz.