Entre télétravail et retour sur site, trouver le bon équilibre pour la cybersécurité
Une fois passées les mesures de confinement strict, les entreprises doivent trouver le bon équilibre entre la cybersécurité sur le lieu de travail et au domicile. Voici comment s’assurer que son programme de cybersécurité y est préparé.
Les mesures de confinement strict mises en œuvre dans le cadre de la pandémie de Covid-19 ont provoqué une augmentation brutale et sans précédent du nombre d’employés travaillant à domicile. Une fois ces mesures levées, certaines personnes retourneront à leur bureau, tandis que d’autres continueront de travailler à distance. Il y aura des implications en matière de cybersécurité pour ces deux populations, mais pas les mêmes.
À mesure que les employés retourneront au bureau, leurs ordinateurs portables, smartphones, tablettes et autres appareils feront de même. Ces appareils présentent un risque supplémentaire pour l’entreprise, car ils ont été utilisés sur des réseaux non sécurisés ou, à tout le moins, ne présentant pas une protection de niveau comparable à ce que peut offrir l’environnement de l’entreprise.
Le retour au bureau
Les entreprises doivent donc se préparer à réintégrer en toute sécurité les appareils utilisés pour travailler à domicile dans l’environnement de bureau. Et cela peut passer, par exemple, par la mise en place d’un segment réseau dédié et isolé du reste du SI. Lorsqu’un appareil revient au bureau, il convient de le connecter à ce segment et de vérifier sa posture de sécurité, notamment autour des points suivants :
- Vérifier que tous les correctifs du système d’exploitation et des applications sont installés ;
- qu’aucun logiciel malveillant n’est présent et qu’aucun signe de compromission n’est évident ; et
- que tous les paramètres de configuration de la sécurité et de la confidentialité sont conformes aux politiques de l’entreprise et aux exigences de conformité.
Il convient bien sûr de remédier à tout problème identifié et de suivre les procédures habituelles de réponse aux incidents pour les appareils compromis. Une fois qu’un dispositif est entièrement nettoyé, il est alors autorisé à se connecter à ses réseaux et systèmes habituels.
Les mots de passe constituent un autre problème potentiel pour les employés qui retournent au bureau. C’est particulièrement vrai si l’organisation a autorisé les employés à utiliser des équipements personnels (BYOD) pour travailler à domicile. Ces matériels ne sont pas forcément sécurisés de manière adéquate et le risque de compromission des identifiants professionnels est là plus élevé. C’est pourquoi il est généralement conseillé de forcer la réinitialisation des mots de passe dans ce contexte.
Enfin, il convient de considérer la manière dont les employés ont pu contourner les politiques internes pour faire leur travail depuis leur domicile et, par conséquent, faire courir un risque accru de compromission d’informations : des employés peuvent avoir créé leurs propres partages de fichiers sur un service tel que Google Drive à des fins de collaboration, par exemple ; un cas supplémentaire de Shadow IT. Il est important d’identifier ces ressources non autorisées non pas pour punir les utilisateurs, mais pour s’assurer que les données ne sont pas laissées hors du contrôle de l’entreprise.
Sécuriser les processus de télétravail
De nombreuses entreprises prévoient de faire perdurer le télétravail, au moins partiel. Dans cette perspective, il convient de mettre en place des mesures permettant d’améliorer la cybersécurité dans ce contexte de manière durable. Et justement, certaines actions peuvent apporter des bénéfices considérables pour un effort relativement faible.
Renforcer l’authentification. Si possible, exigez une authentification à facteurs multiples (MFA) pour tous les accès distants aux ressources de l’entreprise. Et il n’est pas nécessaire, pour cela, de distribuer des jetons cryptographiques physiques : les solutions logicielles s’appuyant sur un code éphémère à usage unique (OTP) et mettant à profit un smartphone ne manquent pas. Les utilisateurs saisissent leur mot de passe et le code OTP afin de s’authentifier pour se connecter au VPN ou à d’autres ressources. Cela permet de réduire considérablement le risque de compromission de compte d’utilisateur.
Réduire la dépendance vis-à-vis des services de sécurité internes. Le fait de forcer les terminaux des utilisateurs à passer par les contrôles de sécurité internes à l’entreprise pour l’accès à certaines ressources peut avoir un impact important sur les performances, sans pour autant améliorer sensiblement la sécurité. Typiquement, si tous les postes de travail se trouvent au bureau, il est souvent préférable de leur faire télécharger les correctifs à partir d’un serveur interne. Mais demander à tous les postes des télétravailleurs de faire de même va considérablement peser sur les performances du VPN : il serait peut-être plus pertinent de les laisser télécharger les mises à jour directement auprès de leurs éditeurs.
Autoriser le « split tunneling » pour les VPN. Il y a vingt ans, la pratique de référence pour le VPN consistait à interdire le « split tunneling ». Cette méthode consiste à faire passer une partie du trafic réseau d’un ordinateur par le réseau d’entreprise et une autre partie directement sur Internet. L’interdiction du « split tunneling » permet à l’entreprise de surveiller tout le trafic pour détecter et bloquer d’éventuelles menaces.
Mais aujourd’hui, la plupart du trafic réseau est chiffré. Ainsi, l’autorisation du « split tunneling » n’a généralement pas d’effet négatif majeur sur la sécurité et peut améliorer considérablement la disponibilité du VPN. Et si nécessaire, cela peut également s’accompagner de la mise en place de mesures de sécurité réseau spécifiques pour les travailleurs à domicile, ou du moins ceux présentant le profil de risque le plus critique.