[TECH AU CARRE] Comment adresser la sécurité du télétravail ?
La crise sanitaire a imposé aux organisations de réagir dans l’urgence pour généraliser le télétravail et a malheureusement mis en évidence, pour beaucoup d’entre elles, leur impréparation. Le modèle de sécurité centré sur le périmètre a fini de démontrer ses limites, et seules les organisations ayant commencé à adopter une posture plus ouverte de type Zero Trust ont pu franchir plus sereinement le défi du travail à distance en toute sécurité. Revenons ensemble sur ces évènements récents et les solutions à disposition pour contrer ces menaces.
« La Tech au Carré » : une série de 6 vidéos pour tout savoir sur le sujet
L’objectif de cette série de 6 vidéos est d’aborder l’ensemble de ces thèmes avec des aspects théoriques, techniques mais aussi des retours d’expérience. Nous publierons 2 vidéos par trimestre donc … « stay tuned » !
Episode 1 : En quoi une architecture de type « Zero Trust » est-elle adaptée pour le télétravail Post-COVID ?
Episode 2 : Assurer un télétravail optimal avec Office & le VPN forced-tunneling avec exceptions ?
Episode 3 : Comment Microsoft déploie son infrastructure Zero Trust et par où commencer ?
Episode 4 : Assurer une bonne gestion des postes de travail à distance
Episode 5 : Zero Trust vs SASE : où se situe la vérité ?
Episode 6 : Initier un projet Zero Trust (partie 1)
Episode 6 : Initier un projet Zero Trust (partie 2)
Saturation des infrastructures VPN
Dans un premier temps, les entreprises ont du prendre des décisions en urgence pour réagir à une situation complètement nouvelle : le fait qu’une partie plus ou moins importante de leurs employés s’est retrouvée à devoir se connecter depuis leur domicile et continuer à travailler dans les meilleures conditions. Dans beaucoup de cas, la connexion à distance repose sur l’utilisation du VPN qui correspond à une extension du réseau d’entreprise. Initialement dimensionné pour quelques pourcents de la flotte, le VPN s’est subitement retrouvée sur-sollicitée et saturée par l’ensemble des utilisateurs en télétravail, impliquant des conditions d’accès aux services très dégradées voire des impossibilités de connexion.
Certains ont « résolu » le problème en définissant des fenêtres de connexion, une partie des employés travaillant le matin et l’autre l’après-midi au détriment de la productivité de l’entreprise. D’autres l’ont adressé en investissant lourdement dans la mise à niveau de leur infrastructure VPN. Les autres ont choisi d’adopter une réponse moins coûteuse et plus efficace consistant à autoriser que certains flux Office 365, plus particulièrement les flux temps-réel, puissent être soustraits en toute sécurité du canal VPN. Ce principe appelé « Forced-tunneling avec exceptions », ne doit pas être confondu avec le split-tunneling, où tous les flux autres que ceux concernant le réseau interne sortent directement sur internet. Un principe qui augmente de fait la surface d’exposition du poste et court-circuite les systèmes de contrôles déployés en interne.
Sécurité du poste de travail & Assume Breach
Selon la 5ème édition du baromètre de la cyber sécurité des entreprises du CESIN, 65% des entreprises sondées ont connu au moins une cyber-attaque contre 80% l’année dernière. Malgré cette décroissance dans le nombre d’entreprises touchées, 55% jugent que le nombre d’attaques est resté stable mais 40% qu’elles ont augmenté.
Ce constat, qui date de début 2020, montre qu’il n’est pas question de baisser la garde et qu’il reste essentiel d’adopter une posture de sécurité qui permette de contrer ces cyber-attaques. Ceci passe par la nécessité de considérer que le réseau interne reste vulnérable, ce qui revient à adopter une posture « Présumer la compromission » (Assume Breach) en lieu et place d’une approche orientée principalement sur la protection. Ceci vaut même lorsque les postes sont connectés à travers le VPN car, en ayant un accès direct au réseau interne de l’entreprise, ils restent des vecteurs de compromission.
Dans cette logique, la sécurité et le contrôle des postes de travail qui se retrouvent « projetés » à l’extérieur de l’entreprise, est plus que jamais une nécessitée. Leur exposition augmente puisqu’ils ne sont plus physiquement protégés à l’intérieur de l’entreprise et les connexions à travers le réseau du domicile ou d’un espace de co-working n’est pas aussi sûre. Le même niveau de sécurité doit être appliqué à tous les postes mobiles en plus des appareils de type smartphone ou tablette, pour peu qu’on leur ouvre un accès aux ressources de l’entreprise.
Gestion des postes à distance et déploiement dans le cadre du télétravail
Une autre problématique à laquelle se sont trouvées confrontées les organisations est la gestion des postes de travail qui étaient jusqu’à maintenant gérés depuis des systèmes internes. Une problématique qui impacte directement les mises à jour des postes puisqu’elles doivent se faire par le biais du canal VPN déjà saturé ! De plus, comment assurer alors le déploiement des correctifs de sécurité ? La boucle est bouclée. Soit on décide d’investir massivement dans des infrastructures VPN, soit on admet d’envisager une évolution dans le mode de pensée « sécurité périmétrique ».
En quoi une architecture Zero-Trust est-elle adaptée pour le télétravail ?
Selon la même étude du CESIN, si 46% les entreprises ont adhéré au modèle Zero Trust, voire ont déjà commencé à le mettre en œuvre, 27% le considèrent comme un concept marketing et 27% avouent ne pas en avoir connaissance.
De son côté, la récente étude de Gigamon assure que « 76% des personnes interrogées ont déclaré qu’étant donné l’augmentation des attaques, il serait imprudent de ne pas considérer d’adopter cette architecture ». Et l’expérience que Microsoft retire de sa transition vers une architecture Zero Trust est en phase avec cette même étude affirmant que « l’adoption du modèle Zero Trust est une aventure à part entière, pas une simple case à cocher » (77%).
Mais pourquoi l’implémentation de cette nouvelle vision de la sécurité adoptant une posture qui semble plus exposée a‑t-elle permis aux organisations d’être mieux préparées au télétravail ?
Tout simplement parce que le modèle fait abstraction de la notion de périmètre : le niveau de confiance de l’appareil depuis lequel l’utilisateur accède au service est évalué dynamiquement mais sans prendre pour postulat qu’il est à l’intérieur d’un périmètre particulier. Le modèle est centré sur l’identité et intègre un contrôle d’accès conditionnel qui prend en compte la confiance liée à l’utilisateur, l’appareil et l’endroit depuis lesquels il se connecte et la sécurité du canal de communication.
S’il est utilisé à tort et à travers pour vendre telle ou telle solution de sécurité, Zero Trust n’est plus simplement une vision mais est devenu une réalité dans l’environnement Microsoft. Le centre de contrôle est le référentiel d’identité Azure Active Directory qui – associé à l’accès conditionnel, l’authentification multi-facteur et les solutions de protection des appareils et de publication d’applications avec SSO – permet de déployer une solution Zero Trust dans une vision hybride associant le cloud et les infrastructures internes.
Références :
- 5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN
ANALYSE EXCLUSIVE DE LA CYBERSÉCURITÉ DES GRANDES ENTREPRISES FRANÇAISES - Le paysage de l’IT et de la sécurité pour 2020 et les années à venir, et le rôle du modèle Zero Trust de Gigamon