Le travail à distance et hybride est là pour rester. Les travailleurs à distance bénéficient d'une productivité nettement plus élevée et d'un meilleur équilibre entre vie professionnelle et vie privée – une plus grande autonomie et un sentiment de confiance entre les employés et les managers ouvrent la voie à des taux de rétention plus élevés.
Cependant, profiter en toute sécurité des avantages d’un accès à distance sécurisé s’avère un défi de taille. Pour beaucoup, l’accès aux appareils à distance a été introduit pour la première fois au début de la pandémie, et même si des solutions hétéroclites ont contribué à la débâcle qui a suivi, trop d’organisations dépendent encore de méthodes d’accès à distance défectueuses. Un VPN traditionnel, par exemple, est devenu l’épicentre de l’attaque du pipeline colonial soutenue par la Russie, qui a interrompu l’approvisionnement en gaz dans tout l’est des États-Unis et a vu le président Biden décréter l’état d’urgence nationale.
L'accès aux données est un paradoxe : d'une part, la productivité du travail à distance dépend de l’accès des utilisateurs aux fichiers et aux ressources système. Ces données doivent être simultanément accessibles aux utilisateurs et inaccessibles aux attaquants.
Technologies et concepts d’accès à distance sécurisé
Le processus de connexion des utilisateurs authentifiés à des réseaux internes sensibles peut être plein de dangers. Qu’une hygiène numérique scrupuleuse amène les employés à réutiliser leurs mots de passe ou que certains employés souhaitent utiliser leurs propres appareils personnels, l’accès à distance standardisé peut être difficile à sécuriser. Voici quelques-unes des technologies logicielles d’accès à distance sécurisé les plus courantes.
VPN
Les réseaux privés virtuels (VPN) ont offert l'un des premiers logiciels d'accès à distance sécurisé. Traditionnellement, un VPN achemine la connexion de l'employé via un serveur d'accès réseau. Cela permet à l'employé de se connecter à un réseau d'entreprise via l'Internet public ; toutes les données transitant vers ou depuis le réseau d'entreprise sont cryptées. Avant de vous connecter au serveur d'accès réseau, l'authentification basée sur les informations d'identification permet de vérifier la personne utilisant l'appareil. Le processus d'authentification peut être soit propre au serveur, soit sur un serveur d'authentification distinct exécuté sur le réseau.
Bien qu’utiles, les VPN permettent par défaut d’accéder à l’ensemble du réseau d’entreprise, ce qui signifie qu’un compte compromis peut bénéficier de tous les avantages d’un accès large. Cette situation est aggravée par le fait que le vol d’identifiants continue d’être un sujet particulièrement épineux pour les VPN. car les employés réutilisent régulièrement les mots de passe sur les appareils d’accès internes et à distance. Un seul mot de passe VPN réutilisé est maintenant considéré comme la méthode d’entrée sous-jacente dans l’attaque du ransomware Colonial Pipeline.
Authentification multi-facteurs
Utilisée pour contourner le problème des informations d'identification compromises, l'authentification multifacteur (MFA) se situe au-dessus du processus d'authentification basé sur les informations d'identification. L'objectif de la MFA est de vérifier l'identité d'un utilisateur qui se connecte via un deuxième facteur, tel qu'un téléphone, avant qu'il ne puisse accéder aux données sensibles de l'entreprise. La mise en œuvre de MFA est proposée par de nombreux fournisseurs VPN et permet de rationaliser les protocoles de sécurité d'accès. Cela permet d'aligner l'accès à distance avec la connexion aux applications de messagerie et de partage de fichiers.
Accès au réseau Zero Trust
Zero Trust Network Access (ZTNA) vise à lutter contre l’une des failles majeures du VPN. Au lieu de permettre un accès complet au réseau cible, les plates-formes ZTNA connectent les utilisateurs uniquement aux applications et systèmes spécifiques dont ils ont besoin. Ceci est réalisé via un groupe de solutions. Premièrement, la demande de connexion de l'utilisateur nécessite une authentification ; un courtier de confiance s'intégrera idéalement au fournisseur d'identité existant de l'organisation pour cela. Une fois réussi, ZTNA renvoie à un moteur de politique, qui définit le niveau d'accès pour chaque utilisateur. Enfin, l'utilisateur se connecte directement à l'application dont il a besoin. Cette approche granulaire de l’accès au réseau prive les acteurs de la menace – même ceux qui disposent de comptes entièrement compromis – de la possibilité d’agir latéralement.
Secure Access Service Edge (SASE) est un nouveau modèle de sécurité à distance qui reprend les périmètres logiciels définis de ZTNA et les combine avec d'autres solutions de sécurité basées sur le cloud. Par exemple, alors que ZTNA fournit un accès spécifique à une application, un courtier intégré de sécurité d'accès au cloud (CASB) évalue la sécurité du traitement des données de chaque application. Les données de l'entreprise sont surveillées, avec identification du comportement des applications malveillantes. Dans le même temps, SASE déplace la protection par pare-feu vers le cloud, plutôt que vers le périmètre réseau de l'ancienne école. Les équipes de sécurité bénéficient d'une vue en temps réel des violations de conformité, tandis qu'une main-d'œuvre distante et hautement mobile peut envoyer et recevoir des données depuis le réseau de l'entreprise. Des politiques de sécurité cohérentes sont appliquées dans toute l’organisation.
Pourquoi l'accès à distance sécurisé est-il important ?
Alors que le travail à distance était déjà établi avant 2020, la pandémie de Covid-19 a été le catalyseur de la généralisation du travail à distance. Cela a accéléré la demande pour les utilisateurs d'accéder aux réseaux organisationnels en fonction de leurs besoins ; les réseaux organisationnels ont soudainement dû faciliter l'accès à partir de plusieurs emplacements différents en même temps. La grande majorité des connexions provenaient désormais des réseaux domestiques des employés – et de nombreux employés utilisaient également des appareils personnels. Cela a amplifié les risques auxquels sont confrontés les réseaux d’entreprise et personnels et a souvent invalidé les mesures de sécurité existantes.
Au départ, c’était un casse-tête technique. Cependant, de nombreuses organisations ont découvert les avantages culturels et financiers du travail à distance : de nombreuses entreprises sont désormais libres d'embaucher en fonction des qualifications plutôt que du lieu. D’un autre côté, l’évolution des groupes d’attaquants fait régulièrement des victimes parmi les organisations qui ne parviennent pas à répondre aux exigences croissantes en matière d’hygiène des données et des réseaux. En outre, les vulnérabilités restent à des niveaux sans précédent ; cela a placé l’accès à distance sécurisé en tête des listes de priorités des services informatiques et de sécurité du monde entier. Dans tous les secteurs, une nouvelle base de sécurité facilite l'accès au système à distance pour chaque utilisateur, depuis n'importe quel réseau à partir duquel il se connecte, sur chaque appareil de son choix.
Quels sont les risques d’un accès à distance sécurisé ?
Le risque lié à l’accès à distance varie en fonction du type de solution d’accès à distance. Vous trouverez ci-dessous quelques-unes des préoccupations des utilisateurs en matière de sécurité et liées à quelques-unes des approches les plus populaires en matière d'accès à distance.
Politiques d'accès à distance permissives
Problème le plus souvent rencontré parmi les solutions VPN, les politiques d'accès permissives définissent l'accès via des réseaux entiers. Alors que les règles de pare-feu permettent souvent d'accéder à presque tout sur les réseaux d'entreprise, même les logiciels d'accès à distance modernes nécessitent un provisionnement minutieux des accès. Les privilèges des utilisateurs doivent être soigneusement répartis, sinon le rayon d’action de la compromission du compte devient bien plus grand qu’il ne l’aurait été autrement.
Appareils distants
Lorsque le travail à distance est soudainement devenu courant, de nombreuses organisations ont été confrontées au choix entre acheter du matériel à domicile (tout en avalant les pertes liées aux perturbations généralisées) ou permettre aux employés d'utiliser leurs propres ordinateurs portables. Cela a ouvert la porte à des augmentations considérables des vulnérabilités de la chaîne d’approvisionnement liées au matériel. Les faiblesses des routeurs Wi-Fi domestiques ASUS, par exemple, ont récemment ouvert la voie à des attaques Sandworm soutenues par la Russie.
Un statistiquement aspect plus préoccupant du BYOD est le manque de cryptage offert aux données qu'il contient. Cela augmente le risque d'exposition des actifs de l'entreprise, en particulier lorsque l'appareil est volé ou retiré du domicile de l'utilisateur.
Configuration à forte intensité de main d'œuvre
Bien que les VPN n'aient historiquement pas proposé la meilleure protection pour l'accès à distance, ils sont considérablement plus faciles à mettre en place que certaines solutions nouvelles. Par exemple, la mise en œuvre du SASE nécessite une refonte complète des politiques d’authentification. Étant donné que le réseau doit continuer à fonctionner pendant ce processus, il est souvent plus facile de construire un nouveau réseau à partir de zéro. Cela pose également un problème grave pour les machines plus anciennes et héritées : si celles-ci sont inconciliables avec les protocoles d'accès à distance sécurisés de Zero Trust, de nombreuses organisations se retrouvent obligées de repartir presque de zéro.
Manque de visibilité des utilisateurs
Lorsqu'elles travaillent à distance, il devient particulièrement important pour les équipes de sécurité de surveiller l'état de chaque périphérique. Sachant cela peut aider à arrêter de manière proactive la propagation des logiciels malveillants dans une organisation distante. Cependant, même dans de nombreuses solutions modernes, le débit du trafic sur les réseaux locaux est incroyablement opaque. L’incapacité de surveiller ce trafic rend beaucoup plus difficile l’identification des menaces avancées, augmentant ainsi la possibilité de compromission des appareils distants. Ce qui complique les choses est le fait que les analystes de sécurité travaillent désormais souvent également à domicile : le manque de visibilité devient double et risque d'être aveugle et d'entraîner l'aveugle. Cette combinaison peut permettre aux attaquants de pénétrer profondément dans les réseaux d’entreprise.
Accès malveillant
L'accès à distance permet aux utilisateurs d'accéder à des données et des systèmes sensibles depuis l'extérieur de l'organisation, de par leur conception. Par conséquent, les attaquants capables d’exploiter des technologies non sécurisées et d’obtenir un accès non autorisé au réseau ou à des appareils connectés à distance peuvent voler des informations confidentielles, introduire des logiciels malveillants ou des ransomwares, ou perturber les opérations commerciales.
Un accès non autorisé peut être obtenu en exploitant les vulnérabilités de la technologie d'accès à distance elle-même, comme des mots de passe faibles, des logiciels non corrigés, des paramètres de sécurité mal configurés ou le navigateur. Ils peuvent également utiliser techniques d'ingénierie sociale, comme le phishing, pour inciter les utilisateurs distants à divulguer leurs identifiants de connexion ou d'autres informations sensibles.
Attaques de piratage de compte
Un sous-ensemble d'accès malveillant est le piratage de compte, c'est-à-dire que l'attaquant accède aux informations d'identification de l'utilisateur légitime et effectue un vol d'identité. Pour une organisation, cela signifie que l'attaquant peut se déguiser en utilisateur légitime et progresser latéralement dans le système selon les autorisations de l'utilisateur.
Les informations d’identification des utilisateurs peuvent être compromises par diverses méthodes, notamment l’ingénierie sociale (telles que les attaques de phishing), les attaques par force brute et la tentative de deviner un mot de passe. Les attaquants peuvent également être en mesure d'intercepter les sessions d'accès à distance ou d'exploiter eux-mêmes les vulnérabilités des outils d'accès à distance pour accéder au système ou à la ressource.
Quels sont les avantages d’un accès à distance sécurisé ?
Les avantages d’un accès à distance sécurisé pour les employés se concentrent sur une position de sécurité renforcée et flexible. Une approche proactive pour sécuriser l'accès à distance permet de mettre en œuvre des processus d'atténuation des attaques qui se reflètent dans toutes les facettes d'une organisation, protégeant ainsi les clients et les utilisateurs finaux.
Accès Web sécurisé
Le nombre d’applications Web dont chaque équipe a besoin augmente chaque année. Les utilisateurs ont besoin d'une protection sur chaque composant de la connectivité Internet ; Avec la bonne approche pour sécuriser l'accès à distance, les utilisateurs sont protégés chaque fois qu'ils se connectent à Internet, et pas seulement lorsqu'ils sont directement en contact avec les ressources de l'entreprise. Grâce à une protection permanente contre l'Internet public, les menaces hyper agressives actuelles telles que les ransomwares et les téléchargements inopinés peuvent être pratiquement éliminées.
Protection robuste des points de terminaison
L’époque des bases de données cloisonnées est révolue depuis longtemps. Grâce à un accès à distance sécurisé et moderne, les points finaux bénéficient d’une protection complète. Étant donné que les utilisateurs dépendent de plus en plus de plusieurs appareils, des ordinateurs portables aux smartphones, les solutions d'accès à distance sécurisé doivent refléter cette orientation multi-points. Parallèlement, les équipes peuvent compter sur une sécurité qui protège les appareils appartenant aux employés – offrant la même sécurité des points finaux dont bénéficient ceux fournis par l'organisation.
Sensibilisation accrue aux problèmes de sécurité
Grâce à une base solide de sécurité des points finaux – quelle que soit la situation géographique des employés – les organisations contribuent à construire une culture de sensibilisation à la cybersécurité. Avec le maintien et l'application de politiques de sécurité solides, les meilleures pratiques réglementaires deviennent un tremplin pour la position de sécurité de l'organisation face à l'évolution des menaces.
Flexibilité pour travailler à distance
Grâce à la possibilité de se connecter en toute sécurité depuis n'importe où, les employés n'ont pas besoin d'être physiquement présents au bureau pour effectuer leurs tâches. Au lieu de cela, ils peuvent travailler à domicile, sur la route ou même depuis la plage. Cela leur permet d'intégrer le travail dans d'autres exigences et obligations quotidiennes qu'ils ont, comme s'occuper des enfants ou voyager. De plus, le travail à distance élargit le vivier de talents des entreprises, puisqu'elles peuvent embaucher des employés de n'importe où, sans se limiter aux employés disposés à se rendre dans les bureaux physiques.
Meilleures pratiques pour un accès à distance sécurisé
Le respect des meilleures pratiques permet à une organisation de continuer à apporter des ajustements sur la voie d’une véritable protection à distance. Développer une politique de sécurité approfondie pour tous les utilisateurs distants est essentiel : cela permettra de préciser quels protocoles définissent l'accès à distance, quels appareils peuvent être autorisés à se connecter, à quels usages ces appareils sont autorisés et enfin une politique de neutralisation des menaces de perte. et appareils volés.
Les meilleures pratiques peuvent être divisées en trois domaines principaux. Avant tout, il y a la capacité à protéger et à gérer les points finaux. Un service proxy dans le cloud est beaucoup trop distant pour offrir une telle visibilité sur les points finaux ; c'est pourquoi les meilleures pratiques soutiennent la visibilité axée sur les points de terminaison. Le deuxième est le cryptage. Toutes les données doivent être cryptées tout au long de toute procédure de transmission ainsi qu'au repos sur l'appareil de chaque employé. Ce niveau de cryptage agit comme une couche de protection. Sur cette base reposent des mécanismes d’authentification et des solutions antivirus complètes qui garantissent que, même si un attaquant parvient à compromettre un appareil, il ne pourra pas utiliser de données sensibles. Enfin, la sécurité doit promettre la prévention des menaces. Les solutions en place doivent identifier, atténuer et bloquer les cybermenaces potentielles avant qu'elles ne puissent causer des dommages aux systèmes ou aux données de l'organisation. Cette atténuation peut (et doit) avoir lieu via des contrôles de sécurité et des processus organisationnels qui répondent aux risques de sécurité pertinents. Avec ces bonnes pratiques en place, une organisation est la mieux équipée pour offrir aux équipes à domicile tous les avantages du travail à distance.
Rendre l'accès à distance plus sécurisé avec LayerX
LayerX est une solution de sécurité du navigateur qui se trouve sur la couche 7 de la couche d'application et offre une protection et une visibilité complètes des accès sécurisés. Ceci est réalisé en fournissant un processus d'authentification et d'autorisation puissant, permettant de bloquer des actions à l'intérieur et à l'extérieur du réseau (comme le copier/coller, les téléchargements, l'accès à des pages Web spécifiques, l'affichage d'applications en mode lecture seule, etc.) et en s'intégrant élégamment avec ZTNA, SASE, IdP (Google, Okta, Azure à venir, etc.) et d'autres solutions. De plus, LayerX offre une visibilité sur les actions des utilisateurs sur le réseau et sur le Web.
LayerX peut s'intégrer à des solutions d'accès à distance telles que les VPN et MFA, mais il les rend redondantes en fournissant une authentification multifacteur forte. De plus, LayerX est « toujours actif », assurant la protection et le blocage des attaques à tout moment. Ceci est différent des VPN, auxquels l’utilisateur doit être connecté pour fonctionner.
LayerX est la seule solution à fournir un accès sécurisé complet tout en s'intégrant également à d'autres solutions de sécurité réseau.