Accès distants : 10 bonnes pratiques de sécurité

Mettre en place une politique d’accès à distance

La mise en place d’un système d’accès à distance repose sur une politique d’accès à distance exhaustive. Cette politique doit définir les exigences générales régissant l’accès à distance sécurisé, y compris les règles d’utilisation acceptable, et préciser les conséquences potentielles en cas de non-respect de ces exigences. Elle doit au minimum aborder les points suivants :

• Les modes d’accès à distance autorisés par l’organisation, tels que les VPN.
• Les types d’appareils pouvant utiliser chaque mode d’accès à distance – par exemple, les ordinateurs portables fournis par l’entreprise par opposition aux smartphones personnels – ainsi que toute autre exigence que ces appareils doivent satisfaire.
• Les types de ressources accessibles à distance, ainsi que les éventuelles restrictions applicables à certaines formes d’accès à distance ou à certains types d’appareils.
• Toute exigence relative à l’utilisation acceptable des technologies d’accès à distance qui ne serait pas déjà prévue dans la politique d’utilisation acceptable de l’organisation.

Fournir des appareils fournis par l’entreprise aux utilisateurs à distance chaque fois que cela est possible

Pendant des années, le BYOD (Bring Your Own Device), qui consistait pour les utilisateurs à apporter leurs propres ordinateurs et appareils mobiles pour accéder aux ressources de l’entreprise, a été une tendance très en vogue. Le BYOD a permis à de nombreux utilisateurs de télétravailler, mais la sécurité des terminaux en a pâti. L’entreprise pouvait contrôler rigoureusement la sécurité de ses propres appareils, mais elle n’avait qu’une capacité limitée à contrôler, voire à surveiller, la sécurité des appareils personnels et des autres types d’appareils utilisés dans le cadre du BYOD.

Pour éviter cette faille de sécurité, équipez les utilisateurs à distance d’appareils de l’entreprise chaque fois que cela est possible. Cela devrait inclure les sous-traitants et, dans certains cas, les partenaires commerciaux et les fournisseurs. Éliminez ou limitez strictement le BYOD aux utilisateurs qui ont uniquement besoin d’accéder à des ressources à faible risque et accessibles au public.

Exiger l’utilisation d’un serveur d’accès à distance pour les ressources internes

Les VPN constituent depuis des décennies la base des serveurs d’accès à distance. Un VPN offre un point d’accès unique, hautement sécurisé et surveillé, qui impose des politiques de sécurité aux utilisateurs et aux appareils qui tentent de s’y connecter.

La plupart des technologies VPN offrent toute une gamme de fonctionnalités de cybersécurité, allant de l’authentification des utilisateurs et des appareils à l’évaluation de la sécurité des appareils avant d’autoriser l’accès aux ressources internes. Cela s’avère très pratique tant pour les utilisateurs que pour les administrateurs. L’alternative consisterait pour les utilisateurs à accéder à chaque ressource interne directement et séparément, ce qui obligerait les administrateurs à gérer et à surveiller chaque étape du processus.

Ces dernières années, des alternatives au VPN ont fait leur apparition, notamment le SASE (Secure Access Service Edge) et le ZTNA (Zero-Trust Network Access). La plupart des entreprises doivent mettre en œuvre au moins l’une de ces technologies d’accès à distance pour sécuriser l’accès à leurs ressources internes.

Utiliser une seule instance de VPN, de SASE ou de ZTNA pour accéder à toutes les ressources peut s’avérer compliqué, car de nombreuses ressources sont hébergées dans le cloud et accessibles au public. Un exemple courant est l’utilisation du SaaS pour héberger des services de messagerie électronique. Si un employé a uniquement besoin d’accéder à ses e-mails à distance, l’obliger à se connecter via un appareil situé au siège social peut s’avérer fastidieux et inefficace. Les alternatives consistent à autoriser l’accès direct aux ressources cloud à faible risque ou à utiliser des services d’accès à distance basés sur le cloud en complément ou à la place des appareils et logiciels d’accès à distance sur site.

Effectuer des contrôles de sécurité sur les terminaux des utilisateurs

L’un des principaux risques liés à l’accès à distance réside dans la compromission des appareils des utilisateurs. Une fois compromis, ces appareils permettent aux pirates d’accéder directement aux réseaux et systèmes internes de l’entreprise et d’en prendre le contrôle.

Pour lutter contre ce phénomène, il convient de vérifier si les terminaux des utilisateurs ont été compromis avant de leur autoriser l’accès aux ressources internes. Les solutions VPN, SASE et ZTNA effectuent automatiquement des contrôles de sécurité sur les appareils fournis par l’entreprise et, dans une moindre mesure, sur certains appareils BYOD.

Les bilans de santé informatiques doivent évaluer les éléments suivants, en fonction du système d’exploitation du terminal :

• Si le terminal est géré par l’entreprise ou s’il est autorisé dans le cadre d’une politique BYOD.
• Si le système d’exploitation est à jour.
• Si un logiciel anti-malware est en cours d’exécution et à jour.
• Vérifiez si d’autres outils ou paramètres de sécurité requis, tels que les règles de pare-feu au niveau de l’hôte, sont activés et correctement configurés.
• Qu’il n’y a aucun signe de logiciel malveillant, de kits d’exploitation ou d’autres outils d’attaque sur le terminal.

Exiger l’authentification à deux facteurs

Les mots de passe seuls présentent un risque élevé. Un pirate peut s’emparer d’un mot de passe par le biais de l’ingénierie sociale, du phishing, de cleptogiciels, via des attaques par force brute, ou encore en réutilisant un mot de passe compromis provenant d’un autre compte du même utilisateur. Sans vérification d’un deuxième facteur d’authentification qui ne relève pas non plus de la catégorie « quelque chose que vous connaissez », les pirates qui connaissent le mot de passe d’un utilisateur pourraient facilement s’introduire dans le réseau interne de l’organisation.

Exigez l’authentification à plusieurs facteurs (MFA) pour l’accès à distance aux ressources internes et, si possible, pour l’accès à distance aux ressources accessibles au public. La MFA, en particulier lorsqu’elle est associée à l’authentification unique (SSO), simplifie le processus d’authentification pour les utilisateurs tout en offrant un niveau de garantie bien plus élevé quant à l’identité réelle de l’utilisateur. La MFA ne nécessite pas forcément l’utilisation d’un mot de passe, et la plupart des utilisateurs seront ravis de réduire ou de minimiser leur utilisation et la gestion des mots de passe.

Chiffrer toutes les communications réseau de bout en bout

Tout le trafic réseau lié à l’accès à distance doit être chiffré de bout en bout. Les technologies d’accès à distance VPN, SASE et ZTNA garantissent la confidentialité et l’intégrité du trafic réseau transmis entre leurs plateformes et les terminaux des utilisateurs. Cependant, ces plateformes ne protègent pas nécessairement le trafic réseau lorsqu’il transite entre les technologies d’accès à distance et les systèmes et réseaux situés derrière ces infrastructures.

Examinez les flux de trafic réseau liés à l’accès à distance, identifiez les communications qui transitent sans être chiffrées et déterminez lesquelles nécessitent une protection. Veillez à ce que les mesures de protection nécessaires soient mises en place. Cela s’applique tout particulièrement aux VPN, dont la protection s’étend rarement au-delà du serveur VPN lui-même. Il existe de nombreuses options, notamment l’utilisation de serveurs proxy pour chiffrer le trafic entre le VPN et les ressources internes, ainsi que le chiffrement des segments du réseau interne à un niveau bas, ce qui pourrait permettre d’éviter le recours à un chiffrement de niveau supérieur.

Envisagez de mettre en place une architecture « zero-trust »

L’architecture « zero-trust » (ou sans confiance) repose sur le principe consistant à restreindre l’accès autant que possible. Comme son nom l’indique, cette approche vérifie que les personnes et les appareils sont fiables, au lieu de partir du principe qu’ils le sont.

Une architecture « zero trust » repose sur de nombreuses technologies qui fonctionnent en étroite collaboration pour garantir le principe du « zero trust » à l’échelle de l’entreprise. Le ZTNA, bien qu’il ne soit pas indispensable à une architecture « zero trust », constitue un élément utile, mais de nombreux autres composants sont également nécessaires – et ceux-ci doivent être correctement intégrés et configurés.

La transition vers une architecture « zero-trust » nécessite généralement plusieurs années de planification et de déploiement des composants avant que l’architecture dans son ensemble puisse être pleinement intégrée et que toutes les politiques soient appliquées. Les entreprises qui envisagent d’adopter une architecture « zero-trust » pour sécuriser leurs accès à distance doivent recourir à d’autres moyens pour assurer la sécurité de ces accès jusqu’à ce que l’architecture « zero-trust » soit entièrement déployée et opérationnelle en production.

Former tous les utilisateurs d’accès à distance aux pratiques de sécurité requises

Sensibilisez tous les utilisateurs de l’accès à distance à l’importance de la sécurité de cet accès afin de réduire le risque d’actions susceptibles de compromettre l’organisation. Assurez une formation continue aux utilisateurs à mesure que les technologies et les pratiques en matière d’accès à distance évoluent. Proposez des sessions de remise à niveau périodiques, même lorsque les pratiques n’ont pas changé de manière significative.

La formation des utilisateurs ne s’adresse pas uniquement aux employés ; elle est également essentielle pour les sous-traitants, les partenaires commerciaux, les fournisseurs et toute autre personne utilisant les technologies d’accès à distance de l’organisation. La formation doit porter à la fois sur les pratiques de sécurité physique et technique. Par exemple, conseillez aux utilisateurs de ne jamais laisser d’appareils déverrouillés sans surveillance dans les lieux publics, de désactiver les assistants vocaux tels qu’Alexa et Siri pendant les réunions et les appels confidentiels, et de ne jamais autoriser un membre de leur foyer à utiliser l’ordinateur ou l’appareil mobile fourni par l’organisation.

Limiter les personnes autorisées à utiliser l’accès à distance

Il n’est généralement pas prudent d’accorder automatiquement un accès à distance à tous les membres de l’organisation. À moins que cet accès ne soit réellement nécessaire, le fait de le mettre à la disposition d’un plus grand nombre de personnes augmente les risques sans apporter d’avantage.

N’accordez l’accès à distance qu’aux utilisateurs qui en ont besoin pour exercer leurs fonctions, et ce, uniquement après qu’ils ont suivi une formation sur les pratiques de sécurité en matière d’accès à distance et qu’ils ont lu et signé la politique de l’organisation relative à l’accès à distance.

Dans la mesure du possible, attribuez un compte utilisateur distinct à chaque personne plutôt que d’autoriser l’utilisation de comptes d’accès à distance partagés. Cela peut s’avérer particulièrement difficile pour les fournisseurs et autres tiers qui ont besoin d’un accès à distance, mais qui ne disposent pas d’une personne spécifique ou d’un petit groupe chargés d’effectuer ces tâches. Le fait de disposer d’un compte distinct pour chaque personne renforce la responsabilité de chacun.

Révoquez l’accès à distance dès qu’il n’est plus nécessaire, en particulier si une personne quitte l’organisation dans des circonstances défavorables, comme un licenciement pour faute grave. L’accès à distance est parfois utilisé à mauvais escient par des utilisateurs mécontents après leur départ de l’organisation pour exfiltrer des données, endommager des ressources et provoquer des pannes, entre autres conséquences.

Surveiller en permanence toutes les activités d’accès à distance

Il ne sert à rien qu’une organisation adopte ces bonnes pratiques en matière de sécurité des accès à distance si elle ne surveille pas en permanence tous les serveurs d’accès à distance et l’ensemble des activités qui y sont liées. Ces serveurs constituant des points d’entrée clés au sein de l’organisation, ils constituent des cibles évidentes pour les pirates. Leur sécurité est donc primordiale.

Surveillez en permanence tous les serveurs d’accès à distance à l’aide de technologies de sécurité et veillez à ce que des analystes soient disponibles pour intervenir immédiatement en cas d’attaque potentielle ou d’activité suspecte. Surveillez et analysez attentivement l’activité d’accès à distance elle-même afin d’identifier les anomalies et autres signes de compromission.

Par exemple, si une utilisatrice tente de se connecter depuis un coin reculé du monde quelques heures seulement après s’être trouvée au siège, cela constitue un indice fort que son compte a pu être compromis. Ou si un utilisateur commence à télécharger de gros volumes de fichiers depuis les serveurs internes vers son ordinateur portable, cela pourrait indiquer une menace interne visant à exfiltrer des données ou un attaquant utilisant un ordinateur portable compromis pour récolter des informations sensibles à partir des systèmes internes.

Dans tous les cas, une activité inattendue nécessite une enquête plus approfondie afin qu’elle puisse être stoppée dès que possible, en particulier si elle est malveillante.

Karen Kent est cofondatrice de Trusted Cyber Annex. Elle propose des services de recherche et de publication dans le domaine de la cybersécurité aux entreprises et a précédemment occupé le poste d’informaticienne senior au NIST.