Sécuriser l'accès aux environnements IT dans la réalité du "travail hybride"

Les entreprises s'apprêtent à faire leur rentrée dans un contexte particulier, sous la menace d'une deuxième vague de Covid-19 qui a notamment conduit le gouvernement à annoncer la mise en place de protocoles sanitaires, parmi lesquels la distanciation physique et le port du masque obligatoire, entre autres.

Entre télétravail partiel ou total et retour au bureau, les organisations tentent de s’adapter à cette nouvelle normalité. Toutefois, pour les professionnels de la sécurité IT, cette situation, parfois hybride, ne sera sans doute pas sans heurts, car la cyber-réalité a changé de façon importante au cours des derniers mois.

Avec une forte augmentation des attaques par phishing depuis le début de la pandémie, les attaquants ont acquis une expérience considérable dans la manière d’accéder aux systèmes des organisations et de dérober des données sensibles. Dans le même temps, la complexité des environnements IT s’est accrue en raison de la pandémie, compliquant encore plus la tâche des professionnels de la sécurité IT qui doivent garantir une défense efficace. En outre, la majorité des organisations sont en train de mettre en place un format de travail hybride, avec un télétravail partiel, ce qui implique que les employés sont susceptibles d’utiliser des appareils non protégés. Par conséquent, la gestion et la protection de l’accès numérique et la sécurisation des données sensibles n’ont jamais été aussi importantes qu’aujourd’hui pour les professionnels de la sécurité IT. Cette situation est particulièrement difficile pour les PME, car elles disposent de ressources limitées par rapport aux autres entreprises et sont pourtant confrontées à des menaces d’une ampleur similaire.

Un accès difficile à sécuriser

Aujourd’hui, le volume des attaques par phishing augmente de manière exponentielle. Ces emails prennent des formes très diverses, allant de fausses notes des RH sur les mises à jour des politiques de travail à de fausses notifications sur les dépistages gratuits du Covid-19. Comme la plupart des individus ne sont pas suffisamment informés sur la crise sanitaire mondiale, ils sont plus susceptibles de réagir aux emails qui leur fournissent ces informations ; ce qui signifie qu’ils risquent de cliquer sur un lien et d’installer un logiciel malveillant, ou de partager leurs identifiants avec des cybercriminels. Pire encore, même si une organisation n’a pas été elle-même victime d’une attaque par phishing, elle peut néanmoins en pâtir en raison des identifiants et des informations qui ont été compromis lors d’autres violations de données, dans la mesure où les individus réutilisent souvent leurs mots de passe sur différents systèmes.

La transformation digitale accélérée des processus opérationnels a rendu la tâche de protection de l’accès numérique encore plus difficile. À cet égard, la toute première caractéristique est l’adoption rapide des applications basées sur le cloud, qui peut entraîner un certain niveau de risque, car toute mise en œuvre accélérée d’un nouveau système s’accompagne souvent d’un manque d’expertise et d’une planification inadéquate de la sécurité. Le deuxième aspect concerne la transition rapide vers un format de travail à distance, dans lequel de nombreuses organisations ont vu leurs systèmes internes exposés à l’internet.

C’est par exemple ce qui est arrivé à Twitter : les pirates ont eu accès au service d’assistance de l’entreprise qui n’était auparavant disponible que sur l’intranet, mais qui est devenu accessible sur l’Internet public sans aucun contrôle d’accès critique en raison d’une sécurité insuffisante en pleine pandémie. Enfin, le format de "travail hybride" est techniquement encore plus problématique qu’un modèle traditionnel de travail à domicile, car il suppose un plus large éventail de scénarios possibles concernant le comportement de l’utilisateur. Avec un modèle entièrement à distance, les équipes IT pouvaient partir du principe que tous les employés accéderaient aux systèmes de l’organisation via un VPN et considérer les tentatives d’accès internes comme suspectes ; il leur faut désormais établir des critères de référence pour les deux types d’activité, car les employés combinent le travail au bureau et à distance.

Les bonnes pratiques pour sécuriser l’accès numérique 

La mise en place d’une authentification à plusieurs facteurs (MFA) pour tous les comptes des employés est une mesure recommandée pour veiller à ce qu’une organisation soit prête à faire face à des attaques opportunistes. Cependant, les PME ne sont toujours pas en mesure de mettre en œuvre cette technologie à l’échelle de l’organisation, jugée parfois trop complexe à mettre en place. Certaines mesures fondamentales peuvent toutefois aider les organisations de toutes tailles, non pas à éliminer complètement la menace d’intrusion, mais à y mettre fin à un stade précoce avant qu’elle ne conduise à une violation de données.

1. Connaitre ses données. Plus l’infrastructure IT est grande, plus il est important pour une organisation d’obtenir une visibilité accrue des données sensibles sur site et dans le cloud, et d’être en mesure de les sécuriser de manière cohérente. Pour ce faire, il est nécessaire de définir un processus permettant d’identifier les données sensibles et leurs types ainsi que de les distinguer des données non sensibles ; de définir des emplacements sûrs où elles devraient être stockées ; ainsi que de détecter tout type de données sensibles se trouvant en dehors des emplacements prévus.

2. Améliorer sa capacité de détection. Les intrusions s’accompagnent généralement d’anomalies dans le comportement de l’utilisateur. Par exemple, lorsque des pirates s’introduisent dans le système Active Directory (AD) d’une organisation, ils élèvent les privilèges, de manière à obtenir l’accès à toutes les ressources dont ils ont besoin pour pouvoir télécharger ou modifier de grandes quantités de données en peu de temps. Il est important qu’une entreprise dispose de technologies capables de définir les caractéristiques de base d’un comportement normal des utilisateurs, ainsi que de signaler les anomalies.

Par ailleurs, ces critères doivent être révisés lorsque les organisations se lancent dans des modèles de travail hybrides qui entraîneront des changements dans le comportement de l’utilisateur type et qui, autrement, produiront un grand nombre de faux positifs. Malheureusement, ces technologies peuvent se révéler coûteuses, aussi les PME devraient-elles se tourner vers des services de détection et de réaction gérés plus abordables.

3. Sensibiliser en continu les employés à la cyber-hygiène. Il est important d’assurer une formation régulière de sensibilisation à la cybersécurité. Ces séances peuvent prendre la forme d’outils virtuels gratuits, tels que le bulletin d’information de l’équipe de sécurité IT, ou de programmes de formation avancée. Le succès réside dans la pertinence de l’éducation. Les équipes IT devraient formuler des recommandations adaptées au travail quotidien des employés et fondées sur les menaces réelles auxquelles les organisations sont confrontées.

4. Établir une connexion VPN sécurisée et appliquer régulièrement des correctifs aux appareils réseau. Étant donné que la plupart des organisations comptent encore une proportion importante de travailleurs à distance, il est indispensable de disposer d’un VPN sécurisé. À cet effet, une première étape essentielle consiste à limiter le VPN à un hôte ou un sous-réseau spécifique. L’un de ces hôtes pourrait être le dispositif d’entreprise sécurisé d’un employé qui est placé sous la surveillance de l’équipe IT ou d’un serveur de terminal. Dans ce cas, si un pirate accède à l’appareil de l’employé, il atteindra un sous-réseau à accès limité plutôt que l’ensemble du réseau de l’entreprise où se trouvent les serveurs critiques. Il devra alors déployer des efforts supplémentaires pour s’introduire dans le reste de l’organisation. L’application de correctifs est une autre étape importante que les entreprises ne doivent pas négliger lorsqu’elles modifient rapidement leurs politiques de travail pour tenir compte de l’évolution constante des conseils de santé publique.

5. Réviser les configurations des services de cloud utilisés et renforcer les contrôles de sécurité. Les fournisseurs de services cloud font constamment évoluer les capacités de protection et de détection de leurs plateformes et applications en réaction aux nouvelles menaces. Souvent, il est nécessaire d’activer expressément ou de configurer une nouvelle fonctionnalité. Aussi, pour la sécurité des données, il est essentiel de se tenir au courant des nouveaux contrôles proposés par les fournisseurs et de revoir périodiquement les configurations.

Au vu de la complexité des défis auxquels les équipes IT sont confrontées aujourd’hui, la meilleure recommandation consiste à adopter un modèle "zero trust". Celui-ci repose sur le maintien de contrôles d’accès stricts et sur le fait de ne se fier à personne par défaut, ni même aux individus qui se trouvent déjà dans le périmètre du réseau. Face à l’incertitude qui règne actuellement, une vigilance de tous les instants est la seule façon de gérer le risque d’accès non autorisé aux systèmes d’une organisation.