L’adoption du travail hybride dans les entreprises entraîne des contraintes pour les équipes IT. Accessibles depuis l’extérieur, les terminaux des collaborateurs se retrouvent éparpillés dans des environnements divers dont la surface d’attaque s’avère mal définie et donc par définition complexe à sécuriser. Mais alors comment répondre à cette problématique de sécurité ?
Exploitation de vulnérabilités, déploiement de malwares, compromission de sessions… sont autant de menaces cyber auxquelles sont (davantage) exposés les terminaux distants, qui ne bénéficient pas du périmètre de sécurité de l’entreprise. En raison d’une protection faillible, les cyber-criminels réussissent à s’infiltrer et à rester sous les radars comme le rappelle Julien Paffumi, Product Portfolio Manager chez Stormshield : « un fichier malveillant téléchargé depuis un e-mail compromis ou depuis une clé USB peut passer au travers de l’analyse antivirus si les signatures ne sont pas à jour. Il en est de même pour une attaque exploitant une vulnérabilité d’application ou d’OS pour laquelle la mise à jour n’a pas été appliquée. Les données qui sont stockées dans ces équipements ainsi que les accès à des services SaaS peuvent également être compromis et exploités par les attaquants pour exfiltrer des données », augmentant ainsi l’ampleur de la compromission. Faut-il alors réduire le nombre d’actifs à l’extérieur de l’entreprise ? Le modèle Zero Trust serait-il la solution ? Éléments de réponse de nos experts.
Les défis de la protection des terminaux distants
Avec l’essor du travail à distance et la généralisation des outils en ligne, la gestion des terminaux distants et de leur sécurité se complexifie chaque jour un peu plus.
Le poste de travail fixe, dans les locaux de l’entreprise, n’est plus l’unique terminal d’accès aux actifs de l’organisation. La diversification des appareils (ordinateur portable, smartphone, tablette ou ordinateur de bureau) et des applications comprenant des systèmes d’exploitation différents, des logiciels métiers aux fonctionnements spécifiques, des paramètres de sécurité variables… multiplient de facto le référentiel à surveiller et à sécuriser. Pour Julien Paffumi, la complexité de protection des terminaux réside entre autres dans la gestion physique du périmètre dans lequel ils évoluent. « Lorsqu’ils sont utilisés en mobilité, les terminaux ne bénéficient pas de la maîtrise physique de leur environnement, comme depuis les locaux de l’entreprise ». Par définition, un terminal en mobilité ne bénéficie pas de la maîtrise physique de leur environnement (par opposition aux accès physiques sécurisés aux locaux de l’entreprise). Et ne passe pas automatiquement par un accès Internet sécurisé (par opposition à l’accès réseau de l’entreprise sécurisé par des firewalls). Car le terminal n’est pas forcément connecté en permanence en VPN et n’a ainsi pas forcément récupéré toutes les mises à jour de configuration, de logiciels, de signatures… Pas autant d'assurance que le terminal soit dans les conditions de sécurité optimale alors, par rapport à ce qui a été défini par l’entreprise.
Avec la sophistication des cyberattaques, cette problématique de maîtrise de l’environnement de travail doit être prise au sérieux par les entreprises.
Mais beaucoup d’organisations ne forcent pas l’utilisation d’un VPN en permanence pour les travailleurs distants et surveiller les terminaux en dehors du périmètre de l’entreprise s’avère complexe. Dans ce cas, « des solutions de gestion de parc pourraient être utilisées avec la possibilité de joindre le terminal même hors VPN, explique Julien Paffumi. Mais cela signifie potentiellement augmenter la surface d’attaque de l'organisation, car les agents à déployer sur les postes et les serveurs de gestions de parc sont joignables publiquement... Retour à la case VPN pour sécuriser les communications ! » Avec la sophistication des cyberattaques, cette problématique de maîtrise de l’environnement de travail doit être prise au sérieux par les entreprises. Google expérimente par exemple une solution drastique sous la forme d’un programme pilote auprès de 2 500 de ses salariés selon CNBC. Sur le même principe que la gestion des accès appelée Just-in-time (JIT) ou la durée de vie d’un droit octroyé à un utilisateur est égale au temps strictement nécessaire à l’exécution de la tâche, le média rapporte que les employés participants au programme se voient déconnectés d’internet si son utilisation n’est pas nécessaire. Cette stratégie a pour objectif de réduire la surface d’attaque des employés dans le but d’éviter la compromission et l’accès par un tiers aux outils internes.
L’importance de repenser la sécurité périmétrique
Pour s’adapter aux différents modes de travail, la sécurité périmétrique et des actifs doivent être repensées. Car les méthodes traditionnelles ne sont plus suffisantes pour prévenir les menaces sophistiquées. Selon Julien Paffumi, la sécurité périmétrique n’est pas pour autant morte « mais il faut considérer que le périmètre s’est étendu, avec d’un côté, un périmètre traditionnel physique et des moyens de protection on-premise ; et de l’autre, un périmètre virtuel qu’il faut réussir à recréer autour des terminaux en mobilité, par exemple avec un VPN. Mais il est nécessaire de renforcer ces postes en particulier quand ils ne sont pas initialement intégrés dans ce périmètre virtuel. Par exemple, quand le VPN n’est pas monté, il faut restreindre ce que le poste peut faire et ce qui est accessible sur ce poste ».
Une approche pour respecter ce paradigme : la stratégie Zero Trust. Ne faire confiance à aucun utilisateur, aucune machine ou aucune application, telle est l’approche du modèle de sécurité Zero Trust. En adoptant cette posture par défaut, l’entreprise considère tout élément comme malveillant jusqu’à preuve du contraire : « Le modèle Zero Trust se base sur une vision où le réseau auquel je suis connecté est déjà compromis et donc sur écoute des communications, ou hébergeant des menaces qui cherchent à s’étendre à d’autres actifs connectés, précise Julien Paffumi. Ce modèle permet également d’anticiper la possibilité que l’identifiant de la machine et/ou les identifiants de l’utilisateur puissent être volés et usurpés. Ainsi tout périphérique ou fichier, même venant d’une source a priori de confiance, sont potentiellement malveillants ». Mais accorder sa confiance est essentiel pour travailler et échanger « au moins de façon temporaire et en estimant avoir suffisamment de garanties à un instant T. Il faut donc challenger et réévaluer en continu la confiance à accorder, sur la base de multiples critères comme l’identification, la localisation, l'heure, l’état de mise à jour… ».
Pour vérifier l’authentification, l’autorisation et la sécurité de chaque équipement avant de donner accès aux ressources de l’entreprise, des mesures de sécurité complémentaires sont à mettre en place telles que l’authentification multi-facteur, la segmentation réseau, la surveillance continue et l'analyse comportementale. Et pour Mark Johnson, ingénieur avant-vente chez Stormshield, le durcissement des solutions de sécurité peut complémenter cette démarche de protection : « certaines cyberattaques ciblent les produits de cybersécurité eux-mêmes. L’enjeu est de parvenir à ouvrir une faille de sécurité sur l’agent de protection pour augmenter ses privilèges sur la machine infectée. La sécurité de ces produits doit alors être renforcée au cours du temps, pour garantir une protection optimale face aux nouvelles cyberattaques ». Il est alors question de renforcement et durcissement des produits de sécurité (hardening), une approche qui consiste à réduire la surface d’attaque des composants d’un système, d’un logiciel ou d’un produit dans le but de le rendre encore plus sécurisé. Sur ce point, les entreprises civiles peuvent prendre exemple sur le monde militaire. C’est pourquoi Mark Johnson conseille aux entreprises de privilégier « les produits certifiés par les organisations étatiques pour toujours plus de confiance ».
Les défis de la gestion des terminaux distants et les risques de compromission des terminaux non sécurisés nécessitent une approche de sécurité adaptée aux nouvelles réalités et usages dans le monde informatique. Modèle Zero Trust, durcissement des équipements, ou les deux : ne reste plus qu’à choisir.
