Sécurité sur internet : les 3 mythes à connaître

Nous avons identifié 3 mythes concernant la sécurité sur internet afin de vous donner des conseils et astuces pour avoir les bons réflexes de sécurité sur le web.

Si vous êtes responsable de la sécurité informatique au sein de votre entreprise, la protection de vos utilisateurs sur internet, est sans aucun doute l’une de vos préoccupations principales.

La protection de vos utilisateurs sur internet nécessite d’anticiper tous les moyens que ces derniers utiliseront pour avoir accès au web, et d’appréhender au mieux toutes les armes qu’un cybercriminel pourra utiliser pour contourner les antivirus traditionnels.

Afin de vous aider à gérer d’éventuelles attaques, permettre à vos collaborateurs de rester pleinement productifs et minimiser le temps passé à nettoyer des ordinateurs infectés, nous avons identifié 3 mythes concernant la sécurité sur internet afin de vous donner des conseils et astuces pour avoir les bons réflexes sécurité sur le web.


Mythe n°1 : Une politique stricte au niveau des sites internet indésirables garantit la plus grande sécurité de vos utilisateurs

L’approche de la sécurité sur internet est assez simple : vous devez  bloquer tous les sites internet par catégories, telles que les contenus adultes, les paris en ligne, le P2P, et les contenus violents et extrémistes.

Vous aurez certainement de bonnes raisons de bloquer ce type de sites. En effet ils violeront très certainement la politique de votre entreprise au niveau RH, poseront des problèmes légaux, nuiront à l’efficacité de vos collaborateurs et auront un impact négatif sur l’ambiance de travail.

Cependant, le blocage de tels sites ne protégera pas pour autant complètement, vos utilisateurs des menaces en provenance du web en général. En réalité, la grande majorité des menaces viennent de sites officiels, qui ont été corrompus ou attaqués par des cybercriminels.

En effet, nos laboratoires détectent entre 10,000 et 40,000 nouvelles URLs malveillantes chaque jour, et plus de 80% d’entre elles, correspondent à des sites tout à fait légitimes, tels que les sites, à fort trafic, d’actualités, d’entreprises, ou encore gouvernementaux.

 

Les sites internet, de nos jours, ont tendance à se baser sur de nombreux composants. Certains d’entre eux proviennent, le plus souvent, de sites internet tiers, que les cybercriminels ont pris un malin plaisir à prendre pour cible, car moins bien protégés.

Ainsi, même si un site web a sécurisé sa propre infrastructure, de manière efficace et appropriée, il pourra involontairement servir de relais à d’éventuels malwares. Ces malwares délivrés, par exemple, par des réseaux de publicités en ligne, sont assez courants (connus sous le nom de malvertising).

Certaines de ces attaques, nommées drive-by-downloads, peuvent infecter des ordinateurs avec des codes malveillants, par la simple visite d’un site corrompu. Il n’est pas non plus nécessaire d’avoir cliqué sur quoi que ce soit d’ailleurs, car l’infection se déclenche automatiquement, sans même que l’on s’en rende compte. Vos collaborateurs sont particulièrement exposés à ce genre d’attaques, s’ils ne mettent pas régulièrement à jour leurs navigateurs, et plugins associés, avec les patchs indispensables à la résolution de certains bugs.

Notre astuce sécurité : en plus d’une solution de filtrage des URLs, vous devez également vous assurer de :

- faire régulièrement des scans complets de votre trafic internet, tel qu’il est.
- garder vos terminaux d’accès régulièrement patchés.

Mythe n°2 : Scanner le réseau et ses différentes couches est suffisant

Filtrer le contenu web lorsqu’il traverse le réseau est un bon début. Cependant, cette opération n’est pas suffisante pour assurer un maximum de sécurité à vos utilisateurs.

Bien que l’utilisation croissante du cryptage, notamment le protocole TLS, améliore considérablement la sécurité dans son ensemble, il est un casse-tête pour les SysAdmins (Administrateurs Systèmes).

Un protocole TLS bien implémenté, rend très difficile n’importe quelle interception (avec de bonnes ou de mauvaises intentions). Quand vous visitez un site web de type HTTPS, un réseau ou un service pourra seulement voir ou vous allez. Il ne pourra pas avoir accès au contenu de votre trafic. Pour reprendre une analogie bien connue : le réseau pourra voir le contenant mais pas le contenu. Ce résultat est une conséquence directe du processus de cryptage.

La situation est compliquée pour 2 raisons :

  1. HTTPS est rapidement devenu le protocole par défaut pour tout le monde, même pour les cybercriminels,
  2. l’interception de ce dernier, même avec de bonnes intentions, est devenue très compliquée.

Une manière de contourner le problème d’interception, est de mettre en place une autorité de certification spécifique, au niveau de tous vos terminaux ou points d’accès au réseau. Ce système permet de se substituer virtuellement à n’importe quel site, autorisant ainsi un service à décrypter le trafic, et de le crypter de nouveau, avant de le renvoyer. D’une certaine manière, cette technique est une attaque de l’homme du milieu autorisée.

Bien que cette technique marche encore, pour de nombreuses organisations, la demande croissante de clients en matière de confidentialité et de protection des données personnelles, rend son efficacité réelle discutable.

 

Le principal challenge est l’authentification des certificats, qui peut empêcher votre propre autorité de certification de générer des certificats, que votre client considèrera comme valide. Un autre défi est que, de plus en plus de systèmes considèrent les certificats inconnus (y compris vos certificats spécifiques et légitimes) comme suspects, et alertent les utilisateurs en conséquence.

Notre astuce sécurité : La protection internet fonctionne efficacement si elle est associée à une défense robuste, par couche, incluant un contrôle de la sécurité de vos terminaux et points d’accès au réseau, ainsi qu’un contrôle des sorties (contrôle du trafic avec une approche multidirectionnelle).


Mythe n°3 : La seule manière de protéger les utilisateurs hors-site est de rediriger leur trafic vers le siège

Les filiales, les employés en déplacement et hors du réseau, ou encore les utilisateurs hors-site, ont tous besoin d’une protection efficace sur internet.

La technique la plus communément utilisée est le routage du trafic vers le siège.

Les utilisateurs n’aiment pas vraiment cette méthode : les échanges sont plus lents et la localisation est perdue (n’avez-vous pas fait l’expérience de Google dans une langue étrangère ?). Vous serez peut être amené d’ailleurs, à payer deux fois pour le trafic généré : une fois lorsqu’il traversera le WAN, et une autre fois lorsqu’il retournera sur le web.

Il est donc préférable d’évaluer les options permettant de scanner le trafic localement. Un système UTM peut s’avérer très rentable, pour avoir un accès internet local et sécurisé au niveau de vos autres sites.

Pour les globetrotters les plus endurcis, vous avez réellement besoin de choisir une solution sécurité de type end-point, avec une politique internet appliquée strictement, et un scan du contenu web effectué directement au niveau du réseau et de ses couches, depuis votre portable.

Notre astuce sécurité : Choisissez des solutions de sécurité internet qui ne freinent pas, ni ne ralentissent vos utilisateurs. Tout d’abord, vous ferez certainement des heureux, mais vous empêcherez surtout qu’ils aillent dénicher des solutions alternatives peu sures, pour contourner votre système en place.