Télétravail :
5 gestes barrières pour une bonne politique cybersécuritaire
De plus en plus d’entreprises composent désormais avec le télétravail, une approche multicloud et des outils collaboratifs dispersés. Ce bouleversement du modèle traditionnel du système d’information (SI) exige des RSSI et des DSI le déploiement de solutions adaptées et performantes afin de réduire les risques en matière de cybersécurité.
- Cloisonnez l’accès aux ressources du SI.
Comment ? Par l’adoption d’un Principe du Moindre Privilège (PMP).
Dans le détail. Au sein de l’entreprise, les ressources utilisées par les collaborateurs diffèrent selon leur profil métier, leur niveau hiérarchique, leur département, leurs horaires ou encore la nature de leur contrat. Limiter les autorisations d’accès aux seules catégories d’informations – sensibles – indispensables à l’exercice d’une activité permet d’améliorer considérablement le niveau de sécurité de l’organisation. Dans le jargon, cette bonne pratique cybersécuritaire, qui s’accompagne de la mise en œuvre d’une politique de confidentialité en interne, s’appelle le Principe du Moindre Privilège (PMP ou PoLP, Principle of Least Privilege). Celui-ci peut s’appliquer aux personnes comme aux systèmes et services qui exigent des permissions pour effectuer une tâche. Passer par une solution de gestion et de sécurisation centralisées des identifiants à privilèges (de type IAM, Identity and Access Management) en garantit le bon fonctionnement.
- Activez l’authentification unique multifacteur.
Comment ? Par l’installation d’un logiciel d’authentification unique d’entreprise (eSSO, enterprise Single Sign-On).
Dans le détail. « Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé », recommande la plateforme Cybermalveillance.gouv.fr. Hélas, suivre scrupuleusement ce conseil avisé ne suffit plus aujourd’hui pour éviter les intrusions. Pour un niveau de protection élevé sans perte de confort pour l’utilisateur, mieux vaut déployer une solution d’authentification unique d’entreprise (eSSO). Celle-ci autorise la connexion à toutes les applications pour lesquelles le collaborateur a les droits, et élimine les futures demandes de mot de passe au cours de la session. Pour une sécurité renforcée, l’authentification doit être à deux facteurs (2FA), voire multifactorielle (MFA).
- Sécurisez les terminaux (endpoints).
Comment ? Par tous les moyens : antivirus (professionnel), pare-feu (firewall), mises à jour de sécurité, VPN (Virtual Private Network)…
Dans le détail. Ordinateurs de bureau, portables, tablettes, smartphones, serveur, imprimante… connectés au SI sont autant de terminaux, ou endpoints, qui obligent à la plus grande vigilance. Contre les attaques virales connues, et parfois le hameçonnage (phishing) et les rançongiciels (ransomware), équipez-les en solutions antivirales professionnelles (ou EPP, Endpoint Protection Platform). De même, systématisez les connexions sécurisées à l’aide d’un réseau privé virtuel (VPN) à double authentification : celui-ci crée un tunnel chiffré pour les données et préserve l’identité de l’utilisateur en masquant l’adresse IP. Procédez également, dès que possible, aux mises à jour de sécurité des appareils et logiciels afin de corriger les failles éventuelles. Enfin, hébergez les données sur un cloud. Et, pour être alerté en temps réel d’une intrusion, recourez à une solution de surveillance des sessions à distance (RDP, Remote Desktop Protocol).
- Tracez les accès et gérez les incidents
Comment ? Par la mise en place d’un système de journalisation (enregistrement des « fichiers journaux » ou logs).
Dans le détail. Pour détecter un accès frauduleux ou déterminer l’origine d’un incident, évaluer son étendue et y remédier, il convient d’enregistrer certaines actions réalisées sur le SI, et d’en conserver l’historique sous forme de journaux de bord appelés logs. Ces « événements pertinents » ne doivent pas se limiter aux seuls accès des utilisateurs. Pour un maximum d’efficacité, il faut, d’une part, tracer finement les accès aux ressources du SI (surveiller les flux entrants et sortants) ainsi que les échecs de connexion aux systèmes, et, d’autre part, traquer les incongruités (connexions simultanées, depuis l’étranger, à des heures inhabituelles…). Pour ce faire, il est nécessaire de déployer un système de journalisation associé, dans l’idéal, à un SIEM (Security Information Event Management), une solution capable de charger, convertir, uniformiser, corréler et interpréter les logs issus de sources hétéroclites.
- Sensibilisez et responsabilisez les collaborateurs
Comment ? Par le dialogue, une communication didactique et des directives claires, et l’adoption d’une charte de bonnes pratiques.
Dans le détail. Il est fondamental de « sensibiliser les utilisateurs aux risques, formaliser les responsabilités de chacun et préciser les précautions à prendre dans une charte ayant valeur contraignante », prévient la Commission nationale de l’informatique et des libertés (Cnil). Si l’entreprise doit sécuriser son SI, le collaborateur aussi doit s’impliquer. Sans surprise, le respect de bonnes pratiques de base, comme « subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur » (Cnil) ou n’utiliser son matériel professionnel qu’à des fins professionnelles, limite grandement les risques. C’est d’autant plus important qu’une entreprise peut être tenue pour responsable des infractions commises pour son compte, et elle peut elle-même engager la responsabilité du salarié ou de son dirigeant.
Le must : le Zero Trust ?
Attention, « les récentes évolutions des technologies et des usages remettent en question le modèle traditionnel de défense périmétrique » des organisations, prévient l’Agence nationale de la sécurité des systèmes d’information (Anssi). Concrètement, « les pare-feux, le cloisonnement (physique ou logique) ou les VPN, rencontrent des limites ». Fort de ce constat, des entreprises se tournent vers une approche en devenir : le Zero Trust Network Access (ZTNA). « Concept d’architecture dédié au renforcement de la sécurité d’accès aux ressources et aux services », le ZTNA consiste à ne jamais faire confiance en cas de demande d’accès au SI par un utilisateur. Ainsi, quiconque souhaite se connecter doit nécessairement inspirer confiance, avec une authentification à deux facteurs, par exemple. Au gré des interactions avec le SI, le degré de confiance augmente ou, au contraire, diminue. Il permet alors, grâce aux récentes avancées de l’IA, de définir en temps réel la quantité et la qualité des accès accordés. Assurément prometteur. À ce jour, toutefois, « le recours à ces solutions est ardu, faute de maturité », poursuit l’Anssi.
Lire la publication de l’Anssi : https://www.ssi.gouv.fr/agence/publication/le-modele-zero-trust/
