Travail à distance : les nouveaux périmètres de sécurité
Régis Alix est Senior Principal Solutions Architect chez Quest Software. Dans cet article, il explique pourquoi les entreprises ne doivent pas seulement repenser les décisions prises dans la hâte pour s'adapter au travail à distance, mais aussi repenser les fondements de leurs politiques de sécurité.
La valeur de la data en général est, aujourd’hui, difficile à estimer, mais les attaques quotidiennes montrent qu’elle peut tout faire basculer. L’essor du télétravail n’a fait qu’exacerber ce phénomène. En effet, davantage de données non structurées sont créées et stockées dans des environnements de plus en plus variés et déconnectés, ainsi que sur des appareils personnels. Chaque personne génère désormais environ 1,7 Mo de données par seconde[1].
Dans le même temps, le périmètre de sécurité, auparavant contenu (pour l’essentiel) dans l’enceinte du bureau, s’est étendu pour englober l’ensemble des espaces de travail : chez les clients, à domicile, mais aussi tous nos lieux de déplacements professionnels et personnels. En conséquence, le nombre, les types d’attaques potentielles qui menacent nos données et le niveau de protection nécessaire ont considérablement changé.
Un contexte exigeant, une adaptabilité nécessaire et complexe
Le plan de déconfinement du Gouvernement permet aux salariés de retourner au travail présentiel de manière progressive. Mais des évolutions structurelles se sont ancrées : ce qui était jusqu’il y a peu la norme est devenu une option ou du moins un choix parmi d’autres. Dans une enquête menée par l’Association nationale des DRH[2] en 2020, 74 % des responsables RH interrogés prévoyaient déjà de développer et étendre le télétravail. Une autre enquête de Malakoff Humanis[3] montrait que 84 % des salariés souhaitaient quant à eux continuer à télétravailler une fois les restrictions sanitaires levées. Le 8 juin 2021, l’ANDRH a publié les résultats d’une enquête[4] indiquant que 30 % des DRH sont confrontés à des salariés qui ont déménagé pendant les confinements et ne veulent pas revenir. Dans ce contexte, il est donc nécessaire et urgent de revoir les protocoles de sécurité informatique existants.
Dès les premiers mois du confinement, de nombreuses équipes ont été contraintes de basculer rapidement vers le télétravail et de faciliter la transition. Pourtant, il est primordial de prendre du recul sur les décisions prises et d’évaluer celles encore à prendre ainsi que leurs impacts à plus longs termes. Ce contexte représente aussi l’opportunité de reconsidérer les protocoles établis, mais qui n’ont peut-être pas fonctionné dès le début. Dans l’urgence, les entreprises ont eu tendance à adopter de nouveaux services, généralement en plus des applications existantes, et leur utilisation se développe. Mais ces solutions sont-elles vraiment adaptées aux besoins ? Leur usage est-il optimal et pertinent ?
Le recours massif aux VPN et aux accès RDP a montré les faiblesses et les failles de ces technologies. Elles ont servi de portes d’entrée dans de nombreux scénarios de cyberattaques. Dans certains cas, ce sont leurs niveaux insuffisants de sécurisation associés à de mauvaises pratiques des utilisateurs (comme pour l’attaque de Colonial Pipeline en mai 2021).
Les paramètres à observer
Rien n’est immuable – la remise en question doit être constante. Le nouveau périmètre de sécurité devra trouver sa légitimité. Il sera non seulement nécessaire de mettre en place des solutions plus conséquentes et efficaces, mais aussi de construire un nouvel état d’esprit et de nouvelles pratiques. Le télétravail crée de nouvelles surfaces d’attaques potentielles, mais de nombreux dispositifs et stratégies de sécurités permettent de les contrer, dont la sensibilisation accrue des utilisateurs finaux aux bonnes pratiques de sécurité l’authentification multi facteurs, la gestion à distance des points d’accès, la surveillance des journaux des applications cloud, etc.
L’opportunité
Le « facteur humain » est depuis longtemps considéré comme l’une des principales faiblesses de la cybersécurité. Les hackers cherchent sans cesse à l’exploiter. Il y a bien longtemps que la sécurité périmétrique seule ne suffit plus à contrer les cyberattaques. Une attaque de phishing ciblée permettra d’obtenir les identifiants d’un utilisateur mal sensibilisé aux bonnes pratiques de cybersécurité et de rentrer sur le réseau « par la grande porte » du VPN. Une fois sur le réseau, une série de mouvements latéraux et d’élévations de privilèges permettront d’accéder aux données sensibles, aux applications cloud et de distribuer une charge virale pour effacer ses traces (et demander une rançon au passage).
La mise en œuvre de modèles de sécurité tels que « Zero Trust » permet de ralentir voire de bloquer une cyberattaque. Ce modèle se base sur le principe de n’accorder aucune confiance à chaque utilisateur, de vérifier son identité suivant le contexte (comment et depuis où il se connecte) et de ne lui donner que les habilitations nécessaires et suffisantes (voire même contextuelles) dont il a besoin pour faire son travail. Ainsi, le fait d’obtenir les identifiants d’un utilisateur via une campagne de phishing ciblée, par exemple, ne permettra pas de les utiliser et dans le pire des cas ne donnera accès qu’à un scope très restreint.
Peut-on envisager que le passage au « Full Cloud » soit une solution ?
Les principaux fournisseurs de cloud publics, dont notamment Microsoft, proposent des « Workstations as a Service ». Cela rend possible l’utilisation d’une machine « de l’entreprise » même depuis un ordinateur personnel à son domicile.
Les environnements cloud IaaS, PaaS et SaaS sont de plus en plus associés à des fonctionnalités de sécurité avancée permettant de segmenter les accès des utilisateurs, de les contextualiser (via des règles d’accès conditionnelles), de les auditer, etc. Cependant, si ces fonctionnalités sont séduisantes, elles ont aussi un coût important et nécessitent une bonne maitrise de leurs paramétrages pour éviter les failles.
La recherche des parfaits dosages entre cloud et on-premise, sécurité et efficacité, investissements et économies, aboutissent à différents niveaux d’hybridation des environnements IT dépendants des stratégies de chaque structure.
[1] Estimation pour 2020 faite en 2018 par DOMO
[2] ANDRH Avril 2020
[3] Malakoff Humanis Juin 2020
[4] L'enquête ANDRH : "Sortie de crise, emploi et dialogue social : les attentes des (D)RH"