Sécurisation des accès à distance : les 10 questions à se poser pour protéger son système d'information des risques cyber

Avec l'essor du télétravail, la confiance envers les postes de travail est remise en cause car ceux-ci peuvent être vulnérables s'ils sont à distance. Les organisations doivent aujourd'hui sécuriser les accès à distance de leurs équipes tout en leur fournissant les mêmes niveaux de performance, d'ergonomie et de sécurité qu'au bureau.

Les nouvelles formes de travail, notamment à distance, induisent de nouveaux enjeux en matière de sécurité. Avec les confinements et les périodes de télétravail massif, 2020 a vu les cyberattaques multipliées par quatre selon l’ANSSI, touchant à la fois entreprises, collectivités ou établissements de santé. Le télétravail, couplé à l’évolution des réseaux et de la topographie des systèmes d’information, induit un changement de paradigme concernant la confiance envers les postes de travail. Ceux-ci peuvent devenir vulnérables s’ils sont à distance. 

Le premier besoin d’un collaborateur à distance est de pouvoir accéder, où qu’il se trouve, à son environnement de travail digital pour réaliser l’ensemble de ses missions comme s’il était au bureau, avec la même performance, la même ergonomie et en toute sécurité. Les organisations doivent être certaines que les accès à distance de leurs collaborateurs ou de leurs prestataires soient bien sécurisés. Voici les dix questions qu’elles doivent se poser pour s’en assurer.

1. Faut-il déployer un agent sur les postes des collaborateurs et prestataires à distance ?

L'obligation de déployer un agent sur un poste de travail peut représenter une menace pour la sécurité du système d’information : l'agent n'est peut-être pas à jour ; il peut avoir été corrompu ; sa communication avec le réseau de l'entreprise ouvre une porte d'entrée ; etc. Les solutions d’accès sécurisé doivent pouvoir couvrir l’ensemble des cas d’usages sans nécessiter le déploiement d’un agent sur le terminal de l’utilisateur.

2. Une organisation doit-elle autoriser l’accès à certains postes de travail par des personnels externes via des outils de prise de contrôle à distance ?

Le recours de prestataires à ces outils de contrôle à distance entraîne un risque important pour la sécurité du système d’information. Ces derniers ne sont pas agréés et leurs accès échappent au contrôle de la DSI qui ne peut pas renforcer les procédures d’authentification. Pour réduire ces risques, certaines organisations font aujourd’hui le choix de solutions d’accès sécurisées “Zero Trust”. 

3. Vos ressources informatiques (applications, services, serveurs, postes) sont-elles exposées sur Internet ? 

Pour être utilisables à distance, les ressources informatiques doivent être rendues accessibles et  peuvent être exposées sur le Web, tout comme les informations sensibles qu’elles contiennent. Pour une sécurité optimale, le recours à la réécriture des URL de l’application par la solution d’accès sécurisé permet d’éviter d’exposer les accès protocolaires à ces ressources sur Internet, et d’obliger de passer par cette solution pour y accéder. La solution d’accès sécurisé fait-elle écran à vos ressources, joue-t-elle le rôle de masque ?

4. Peut-on permettre à ses collaborateurs d’utiliser un VPN pour accéder à son SI depuis des postes ou des réseaux personnels ?

Utilisé au départ pour relier deux réseaux de confiance, le VPN n’offre plus la sécurité adéquate dans le cas d’une connexion depuis un terminal ou un réseau personnel, qui n’est, par essence, pas de confiance. Pour sécuriser leurs accès à distance, les organisations doivent passer d’une sécurité “périmétrique” à une sécurité dite “Zero Trust”. Pour recouvrer une confiance optimale, le nouveau périmètre de sécurité doit devenir l’identité de l’utilisateur. 

5. Gérez-vous les identités de vos collaborateurs et de vos prestataires dans un monde “Zero Trust” ?

Dans un environnement Zero Trust, où tout est “sur le réseau Internet”, où il faut se méfier de tout le monde, l’accès ne peut plus être géré qu’en associant une identité (entité, contexte d’utilisation d’un collaborateur ou d’un prestataire) et une ressource (une application, un poste, un serveur, …). La gestion des identités devient donc plus que nécessaire dans ce type d'environnement.

6. Les solutions d’accès sécurisé empêchent-elles la diffusion de programmes malveillants ?

Après le masque, le bouclier. Grâce aux technologies de virtualisation de l’environnement de travail, le terminal de l’utilisateur se réduit aux seuls écrans, clavier et souris. Avec ce système, seule l’image de l’interface utilisateur s’affiche. Cela permet d’isoler l’interface utilisateur du SI, et d’éviter que des programmes malveillants ne franchissent l’accès sécurisé.

7. Comment savoir si la personne derrière l’écran est bien celle qui s’est authentifiée ?

L'authentification d’un utilisateur doit garantir que la personne derrière son écran est bien celle attendue. Même avec une authentification renforcée (multi-facteurs, adaptative, etc.), il est possible de se substituer à un utilisateur grâce à certaines informations (mot de passe, code, carte, clé). Il est plus difficile d’imiter un comportement. Il est encore plus improbable que l’empreinte comportementale de l’utilisateur corresponde à celle d’un attaquant. L’identification comportementale, repérée par l’IA grâce à l'utilisation de la souris ou du clavier, permet de détecter une usurpation d’identité..

8. L’expérience utilisateur est-elle satisfaisante pour les collaborateurs à distance ?

La sécurité se fait souvent au détriment de l’expérience utilisateur. Pour être acceptée, elle doit être la plus transparente possible notamment lors de la phase d’authentification. Concrètement, l’authentification est sécurisée et fluidifiée par l'analyse comportementale de l’utilisateur. De plus, l'expérience utilisateur d’accès au SI est-elle unifiée, quel que soit son terminal d’accès, quelles que soient les ressources auxquelles il/elle accède ?

9. Comment gérer les fluctuations du volume d’accès à distance ?

Face à la multiplicité des crises (sanitaires, naturelles, sociales), les organisations ont dû revoir leurs plans de continuité d’activité, les différents modes de travail (sur site, en mobilité, en télétravail, ) et remettre en question leurs conditions d’accès à distance. L’élasticité du cloud répond à cette fluctuation imprévisible des besoins d’accès distants : grâce au cloud, il est possible de déployer et de décommissionner rapidement des solutions sécurisées et simples d’utilisation pour un nombre variable de collaborateurs. 

10. Combien de solutions d’accès pour sécuriser la gestion et l’infrastructure d’accès ?

Les besoins en matière d’accès sécurisé ont fortement évolué et poussent les organisations à s’équiper de multiples solutions (VPN, firewall, gestion des accès privilégiés/PAM, authentification renforcée/MFA, prise de contrôle à distance, etc.). Dans l’idéal, les DSI devront privilégier les portails d’accès universels combinant IAM (Identity Access Management, ou Gestion des Accès) et SASE (Secure Access Service Edge, ou Infrastructures de Sécurisation des Accès dans le Cloud), pour offrir aux utilisateurs finaux et aux utilisateurs à pouvoir une expérience unifiée.