Le télétravail est « la règle pour toutes les activités qui le permettent » a rappelé la Ministre du Travail, Elisabeth Borne, lors d’une réunion avec les partenaires sociaux lundi 1er février 2021. Ce qui était vu hier comme une exception réservée à certains s’est imposé par obligation pour l’ensemble des salariés, et fait désormais partie intégrante de tout environnement de réseau d'entreprise en devenir. Les avantages du travail à distance sont évidents en termes de bien-être et de productivité. Les employeurs visionnaires mettent désormais en avant la possibilité de travailler à distance afin d’attirer les meilleurs talents.
Seulement, la plupart des équipes informatiques ont basé la sécurité de leurs infrastructures sur une protection des réseaux et de l’information à l’intérieur de l’entreprise. Avec cet essor soudain du télétravail, les entreprises ont eu recours aux technologies VPN pour permettre à leurs employés d’accéder aux réseaux de l’entreprise depuis l’extérieur, en dehors de l’environnement LAN.
Malheureusement, c’est également une opportunité pour les cybercriminels qui ont développé de nouvelles attaques sophistiquées afin de profiter de l’essor du travail à distance pour accéder aux réseaux et aux données sensibles. Le nombre de cyber attaques ciblant des collaborateurs en télétravail via des emails malveillants, par phishing, et via la compromission de leurs terminaux, a atteint des niveaux records. En avril 2020, la NASA alertait ses salariés, via une note de service, sur une augmentation massive des attaques ciblées contre l’agence. Des noms de domaines suspects sont apparus afin de tromper les utilisateurs des systèmes de visioconférence les plus utilisés.
Un environnement de travail classique à domicile se résume généralement à un réseau local permettant divers usages, auquel se connectent différents terminaux professionnels, des objets connectés pas du tout sécurisés ou des appareils personnels et des comptes partagés. Cela offre une base idéale pour l’exfiltration potentielle des données d’entreprise et d’autres activités cybercriminelles malveillantes. La surface d’attaque s’est fatalement étendue avec la généralisation du travail à distance. La guerre contre la cybercriminalité doit relever de nouveaux défis, la sécurité des réseaux distants et la gestion du risque devenant les priorités absolues.
Guide pour sécuriser le travail à distance
Voici quelques conseils pour sécuriser le travail à distance et protéger, par extension, les entreprises :
Eduquer : l’élément le plus important pour assurer la sécurité des données confidentielles est la sensibilisation des utilisateurs en situation de télétravail. Informer les collaborateurs, non seulement sur ce qu’ils doivent faire mais également sur les raisons de le faire. Un guide de bonnes pratiques est utile, avec notamment des informations sur la double authentification et l’identification au niveau du VPN pour accéder aux applications et logiciels contenant des informations sensibles. Peut également être fourni un document sur la politique d’utilisation acceptable, indiquant quels sites web, applications et réseaux sont autorisés pour accéder aux données, afin d’éviter des attaques potentielles.
Gérer les accès : l’attention doit également porter sur la politique de gestion des accès, définissant qui a le droit d’accéder au réseau. Une politique universelle consistant à donner à tous les utilisateurs les mêmes droits d’accès aux ressources disponibles sur le réseau, qu’ils en aient besoin ou non, expose à des risques potentiels. Il faut trouver le bon équilibre entre la gestion des accès utilisateurs et un accès distant efficace et sécurisé aux ressources hébergées dans l’entreprise, dans les environnements cloud hybrides, et aux applications, grâce à une politique de sécurité. Le fait de travailler avec partenaire fournisseur de services managés, qui peut aider à définir et mettre en œuvre des politiques granulaires, peut contribuer à adopter la bonne attitude de sécurité pour les travailleurs distants.
Si le travail à distance ne peut pas se faire par la stricte utilisation d’un VPN, ouvrir les services directement sur Internet est une solution mais comporte un risque, celui d’être piraté par des hackers. Toute nouvelle application accessible via Internet doit être étudiée, sécurisée et testée avant son utilisation qui sera planifiée. Inlassablement, les entreprises doivent trouver le bon équilibre entre la cybersécurité et le besoin d’accéder facilement à des applications dans le cloud ou via Internet.
Trouver l’équilibre entre productivité et sécurité : l’entreprise doit continuer à fonctionner, même de façon différente. Pour ce faire, il faut maintenir la sécurité de l’expérience des utilisateurs, en particulier lorsque ceux-ci sont répartis dans le monde entier, sur plusieurs continents. Il faut étudier la manière dont les collaborateurs distants vont accéder localement à leurs applications et données clés, avec un impact minimal sur la latence, en utilisant une plateforme d’accès distant sécurisée à l’échelle mondiale. La flexibilité sera également à prendre en considération afin de pouvoir augmenter le nombre d’utilisateurs distants en fonction des besoins, via un modèle simple, par utilisateur.
A l’avenir - priorité à la sécurité du télétravail
Ne pouvant pas contrôler les réseaux Wi-Fi auxquels se connectent les gens à leur domicile ou dans les lieux publics, les équipes informatiques doivent créer des infrastructures de sécurité qui permettent le travail à distance sécurisé sur n’importe quel réseau. L’appréhension de la sécurité doit passer d’une confiance inconditionnelle dans l’utilisateur au niveau zéro de confiance.
C’est ainsi que les entreprises peuvent planifier leur transition vers le cloud, afin de permettre à leur collaborateurs d’accéder à leurs données, où qu’elles se trouvent. Une solution d’accès réseau « zéro-trust » (ZTNA) permet aux travailleurs distants d’accéder aux ressources de l’entreprise en fonction de l’identité de l’utilisateur final et de l’appareil utilisé, de la posture de sécurité et de ses droits d’accès. Cela génère une sécurité d’accès efficace tout en donnant aux utilisateurs la liberté de choisir les terminaux utilisés, notamment leurs propres appareils (BYOD), ainsi que les applications.
Pour finir, la stratégie SASE (Secure Access Service Edge) permet au télétravail de franchir une étape supplémentaire. SASE considère l’entreprise comme un réseau distribué de terminaux connectés. Les collaborateurs peuvent accéder aux ressources rapidement et efficacement, où qu’ils soient. Dans le même temps, les responsables informatiques peuvent maintenir une approche zéro-trust sur l’ensemble de leur réseau. Les environnements tels que le SD-WAN fonctionnent parfaitement avec SASE, sans changement significatif.
Travailler avec un fournisseur de services managés possédant la double expertise Réseau et Sécurité permet de répondre à la fois aux besoins des travailleurs distants et à la fois aux exigences de sécurité.