theNet by CLOUDFLARE

Sécuriser durablement le travail décentralisé au sein de l'entreprise

Dépasser les solutions à court terme en matière de sécurisation du télétravail

La pandémie a contraint les entreprises à renforcer les dispositifs de sécurité protégeant leurs collaborateurs en télétravail, notamment par l'adoption généralisée de l'authentification à deux facteurs et des outils d'accès à distance, comme les VPN.

Si ces mesures peuvent permettre de renforcer la sécurité des entreprises, elles ne constituent pas à elles seules un dispositif de gestion du télétravail. Face aux contraintes imposées par la pandémie, les services informatiques et les équipes chargées de la sécurité n'ont bien souvent pas disposé du temps ou du budget nécessaire pour élaborer des stratégies à long terme permettant de gérer la connexion des employés travaillant à distance aux applications hébergées en interne (environnements de cloud hybride, applications SaaS et Internet confondus). Les entreprises ont donc procédé à des investissements et des modifications de fortune.

Malheureusement, les mesures à court terme peuvent présenter des lacunes en matière de visibilité et de sécurité. Les ordinateurs des employés en télétravail et les solutions cloud constituent donc des cibles intéressantes et vulnérables pour les pirates informatiques.

Découvrez les cinq solutions temporaires les plus courantes mises en place par les entreprises pendant la pandémie, ainsi que les problèmes à long terme qu'elles entraînent. Nous discuterons ensuite des moyens de dépasser ces solutions en adoptant une nouvelle stratégie de sécurisation du personnel, plus efficace à long terme.


Les mesures temporaires les plus courantes en matière de sécurisation du télétravail

1. Recours plus systématique aux VPN

Au début de la pandémie, de nombreuses entreprises ont eu recours à des réseaux privés virtuels (VPN) pour permettre à leurs employés en télétravail d'accéder en toute sécurité au réseau de l'entreprise.

S'ils peuvent constituer une solution efficace en matière d'accès à distance, les VPN sont conçus pour un scénario d'utilisation spécifique : les connexions périodiques et de courte durée pour un petit nombre de systèmes. Particulièrement peu adaptés à l'utilisation constante par un personnel travaillant exclusivement à distance, ces outils comportent ainsi de nombreuses limitations, notamment les suivantes :

  • Performances médiocres : l'infrastructure VPN est généralement destinée à couvrir une petite partie des effectifs d'une entreprise, dont les frais généraux augmentent proportionnellement au nombre d'utilisateurs. Les demandes d'accès des employés en télétravail peuvent ainsi submerger le VPN et l'infrastructure de sécurité de cette dernière et entraîner une dégradation des performances, voire des pannes.

  • Délais d'expiration des sessions : les délais d'expiration des connexions VPN font partie des fonctionnalités de sécurité nécessaires. Ils s'avèrent toutefois peu pratiques pour les employés en télétravail qui utilisent le VPN comme principale solution d'accès au réseau de l'entreprise.

  • Contrôles des accès : comme les VPN ne disposent pas de mécanismes de contrôle des accès intégrés, les utilisateurs disposent d'un accès direct à l'intégralité du réseau de l'entreprise, quel que soit leur rôle. Les pare-feu peuvent offrir une alternative, mais beaucoup d'entre eux appliquent des règles fondées sur les adresses IP, inadaptées aux niveaux élevés de mobilité des appareils ou aux applications cloud qui changent constamment d'adresse IP. Les pare-feu de nouvelle génération permettent de contrôler les accès en fonction des utilisateurs, mais se trouvent généralement dépourvus de la souplesse suffisante pour gérer simultanément plusieurs fournisseurs d'identité différents. En outre, leur intégration aux fournisseurs d'identité reposant sur le cloud peut s'avérer difficile.

  • Aucun contrôle des identités : la seule raison d'être des VPN consiste à établir une connexion chiffrée entre deux points. Le recours à des solutions supplémentaires, comme les infrastructures à clé publique, s'avère nécessaire pour s'assurer que la connexion VPN provient bien d'un appareil approuvé.

  • Manque de visibilité : les VPN de nombreuses entreprises ne se limitent pas à un proxy de couche 7. Ces dernières manquent par conséquent de visibilité sur les interactions spécifiques des utilisateurs au niveau de ces connexions. Il s'agit là d'une carence non négligeable.

Les VPN constituent, au mieux, une solution temporaire de gestion du télétravail. Les entreprises qui investissent dans le développement de la capacité et de la redondance de leur VPN physique afin de soutenir une période de télétravail prolongée doivent prendre des mesures pour compenser les limitations et les problèmes de sécurité engendrés par ces équipements.

2. VPN à tunnel fractionné

Comme nous l'avons vu, une augmentation brutale de l'utilisation du VPN peut se révéler capable de surcharger les serveurs de ce dernier et entraîner de la latence sur le réseau pour les utilisateurs finaux. Certaines entreprises ont, par conséquent, adopté la solution du tunnel fractionné (« Split Tunneling »), qui consiste à acheminer de manière sécurisée le trafic destiné au réseau vers le VPN, tout en envoyant directement le trafic Internet vers sa destination.

Si les VPN à tunnel fractionné peuvent réduire la latence, cette réduction s'effectue au détriment de la sécurité, notamment par la perte de toute visibilité sur le trafic Internet issu des ordinateurs des employés en télétravail pour l'entreprise. Le risque d'infection de ces appareils par des logiciels malveillants non détectés s'avère donc bien réel, de même que celui de vol des données sensibles qui s'y trouvent.

En outre, le traitement du trafic par l'intermédiaire d'un VPN à tunnel fractionné implique que les appareils distants ne sont plus protégés par les mécanismes de défense périmétriques, augmentant d'autant le risque de compromission des systèmes au moyen d'attaques par phishing (hameçonnage) et par exploitation de logiciels non mis à jour. Si un appareil distant et à la connexion VPN activée se révèle corrompu, un pirate peut en profiter pour accéder aux ordinateurs figurant sur le réseau de l'entreprise. En outre, lorsque l'utilisateur se connecte directement à une application SaaS, l'appareil distant corrompu peut tenter d'exfiltrer les données mises en cache dans le navigateur web.

3. Séparation de l'accès à distance et de la sécurité

Par le passé, l'infrastructure d'une entreprise se situait intégralement sur site, de sorte que la sécurité s'y trouvait également déployée. L'essor du cloud computing, des applications SaaS et du télétravail a bouleversé ce modèle.

Afin de faciliter l'accès à distance et de renforcer leur sécurité, certaines entreprises ont entrepris de transférer leurs applications et leurs données vers le cloud. Toutefois, ces mesures se produisent souvent en différé. Vous trouverez ci-dessous deux exemples d'erreurs courantes :

  • Transférer les dispositifs de contrôle du proxy de la passerelle web sécurisée dans le cloud, en se limitant parfois aux applications autorisées via une solution CASB (Cloud Application Security Broker, agent de sécurité des accès au cloud), mais en conservant l'accès à distance aux VPN.

  • Transférer l'accès à distance dans le cloud, avec ou sans client VPN (ou assimilé), sans transférer en même temps la passerelle web sécurisée (ou l'intégralité du pare-feu) dans le cloud.

En séparant les fonctionnalités d'accès à distance et de sécurité, les entreprises nuisent soit aux performances du réseau, soit à sa sécurité. Le trafic transitant par le client d'accès à distance peut ainsi potentiellement échapper aux inspections de sécurité. Les employés en télétravail peuvent donc se retrouver exposés aux attaques par phishing (hameçonnage) et aux sites web malveillants. Le trafic peut également faire l'objet d'une redirection (backhaul) vers la pile de sécurité de l'entreprise, avec pour effet de renforcer la sécurité au détriment de la productivité des employés et des performances des applications.

4. Mise à jour des points de terminaison distants

La permission accordée aux employés en télétravail d'utiliser leurs appareils personnels (une pratique courante au début de la pandémie) soulève plusieurs problèmes potentiels de confidentialité et de sécurité. L'application des politiques et la mise en œuvre de solutions de sécurité des points de terminaison s'avèrent, par exemple, plus difficiles avec les appareils personnels. De nombreuses entreprises ont ainsi choisi de fournir à leurs effectifs en télétravail des ordinateurs appartenant à l'entreprise, configurés de manière à respecter les politiques de l'entreprise et disposant déjà des logiciels de sécurité nécessaires préinstallés.

La distribution d'ordinateurs portables à ces collaborateurs ne résout toutefois qu'une partie des problèmes de sécurité liés à ce mode d'exercice. Les entreprises ont également besoin d'une infrastructure et de politiques permettant de diffuser les mises à jour apportées aux politiques et aux logiciels sur ces appareils distants. D'une manière générale, la diffusion des mises à jour logicielles à l'échelle de l'entreprise se révèle assez lente. De même, les appareils distants reçoivent traditionnellement les correctifs plus lentement que les équipements situés sur place. En l'absence d'infrastructure permettant de diffuser les mises à jour logicielles aux employés en télétravail, la situation constitue un vecteur d'attaque potentiel contre ces derniers.

5. Solutions de sécurité autonomes

La transition vers le télétravail entraîne de nouveaux problèmes en matière de sécurité et de contrôle pour les entreprises. En réaction, les équipes de sécurité se sont mis à la recherche (souvent auprès des meilleurs fournisseurs de leur catégorie) d'outils capables de répondre à des scénarios d'utilisation spécifiques, qu'elles ont ensuite déployés à l'échelle de l'entreprise. Ces outils comprennent, entre autres, l'accès Zero Trust Network Access (ZTNA) pour sécuriser les accès à distance, le CASB pour sécuriser les accès SaaS et les passerelles web sécurisées (associées à des fonctionnalités DNS et de pare-feu) pour sécuriser les accès à Internet.

Les équipes de sécurité se retrouvent ensuite avec une vaste panoplie d'outils de sécurité autonomes, indépendants et redondants entre les mains. Ce constat contribue ainsi au phénomène de saturation rencontrée par la plupart des équipes de sécurité en matière d'alertes, ainsi qu'à la création de lacunes de sécurité et de visibilité à l'endroit où les différents outils atteignent les limites de leurs capacités. Ces défauts de visibilité constituent ainsi, pour les pirates, la porte d'entrée vers les systèmes de l'entreprise.


La mise en place d'une infrastructure de télétravail sécurisée et pérenne

Si une entreprise continue de recourir à une ou plusieurs des solutions temporaires décrites ci-dessus, la résolution des failles de sécurité et de visibilité qui en résultent rendra sa stratégie plus pérenne et plus efficace sur le long terme.

Étudiez ces cinq recommandations pour commencer :

Déplacer les services de sécurisation des accès à distance vers le cloud

Un service de sécurisation des accès à distance permet de garantir que l'ensemble du trafic d'une entreprise est bien chiffré pendant son transit, qu'il demeure visible et que cette dernière peut effectuer des inspections de sécurité ou appliquer des politiques. Toutefois, plus les applications migrent vers le cloud, plus les solutions d'accès à distance sur site (comme les VPN et les pare-feu physiques) se révèlent susceptibles de nuire aux performances des applications.

L'exécution des solutions d'accès à distance directement dans le cloud, en parallèle de l'application, élimine la nécessité d'acheminer le trafic vers le réseau local de l'entreprise pour inspection. Ce mode d'exécution permet d'améliorer les performances et de réduire la latence du trafic pour les utilisateurs distants. De même, comme la solution s'exécute dans le cloud, elle présente plus de flexibilité et d'évolutivité que les solutions physiques traditionnelles.

Abandonner les VPN

Les VPN constituent une technologie de contrôle des accès à distance conçue pour un modèle de sécurité périmétrique dépassé. Ils permettent aux utilisateurs authentifiés de bénéficier d'un accès total aux ressources de l'entreprise, en enfreignant ainsi les principes du moindre privilège et de la sécurité Zero Trust. Dans le cadre d'une politique Zero Trust, les utilisateurs se voient accorder des autorisations d'accès au cas par cas et pour des ressources spécifiques.

Certaines tentatives de modernisation des VPN ont tenté de faire migrer ces derniers vers le cloud. Cette approche permet de résoudre la problématique de la centralisation de l'infrastructure VPN au niveau du réseau local de l'entreprise, mais pas le problème plus général : les VPN ne sont pas conçus pour les entreprises décentralisées modernes et doivent donc être remplacés par des solutions prenant en charge les modèles de sécurité Zero Trust de manière native.

Adopter une solution de sécurité Zero Trust pour contrôler l'accès aux applications internes et SaaS

La généralisation de l'hébergement des applications internes dans le cloud entraîne un étalement de la surface d'attaque. Chaque application accessible aux collaborateurs en télétravail (et plus généralement exposée à Internet) constitue un vecteur d'attaque potentiel.

La limitation des risques nécessite la mise en place d'une politique Zero Trust régissant l'accès aux applications. Ainsi, plutôt que de permettre à un utilisateur authentifié d'accéder à l'intégralité de l'environnement et des applications de l'entreprise, les autorisations d'accès doivent être accordées au cas par cas, en fonction des politiques de contrôle des accès.

La réussite de cette opération repose sur la mise en place de mesures de contrôle des accès sur l'ensemble du réseau de l'entreprise. Cette approche requiert également l'emploi d'un vaste réseau mondial et la capacité de contrôler les accès aux applications cloud, qu'elles soient hébergées en interne ou de type SaaS.

Mettre en place la navigation Zero Trust pour les applications et l'accès à Internet

Statistiquement, les appareils des employés en télétravail se montrent moins sécurisés que leurs homologues sur site. En outre, la diffusion des correctifs s'effectue traditionnellement plus lentement sur les appareils distants et les solutions de sécurité de l'entreprise ne protègent les appareils personnels des collaborateurs que pour les connexions effectuées via le VPN de cette dernière. Le personnel en télétravail s'avère donc plus exposé aux exploitations de navigateur et autres cybermenaces.

La navigation Zero Trust permet de réduire les risques informatiques grâce à la mise en place d'un protocole d'isolation des navigateurs fondé sur le cloud. Ainsi, plutôt que de les laisser s'exécuter sur l'appareil de l'utilisateur, les scripts intégrés aux pages web s'exécutent sur des instances de navigateur à usage unique.

La solution cloud parcourt les sites à la place de l'utilisateur et lui envoie une réplique de la page. Cette dernière doit être rendue de manière à présenter un haut degré de performances et de sécurité (c'est-à-dire sans ajouter de latence, sans perturber le fonctionnement des sites et sans laisser passer de code potentiellement malveillant). La navigation Zero Trust confère aux entreprises la visibilité et le contrôle nécessaires pour identifier et bloquer les tentatives de violation de données et les autres cyberattaques.

Protéger les effectifs en télétravail grâce au Zero Trust

Face à l'augmentation de la complexité du réseau et de la surface d'attaque des entreprises, les équipes chargées de la sécurité ont besoin de solutions leur permettant de protéger ces dernières. Mettez fin aux pertes de données et au phishing (hameçonnage), tout en bloquant les logiciels malveillants, grâce à Cloudflare Zero Trust, la solution Zero Trust la plus performante du marché en matière d'accès aux applications et de navigation sur Internet. Conçu pour les employés en télétravail, ce service de sécurité à long terme intègre les fonctionnalités suivantes :

  • Un accès Zero Trust aux applications : la solution Cloudflare Access applique le principe du Zero Trust aux applications SaaS et hébergées en interne. Elle redirige l'intégralité du trafic entrant vers le réseau périphérique mondial de Cloudflare à des fins d'inspection de sécurité ou d'application des politiques.

  • Navigation web sécurisée : les services Cloudflare Gateway et Cloudflare Browser Isolation permettent de sécuriser la navigation des équipes en détectant et en bloquant les attaques par phishing (hameçonnage), les logiciels malveillants et les autres attaques reposant sur l'exploitation des navigateurs, ainsi qu'en appliquant des règles Zero Trust à l'ensemble des activités de navigation.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.


Points clés

Cet article vous permettra de comprendre les points suivants :

  • Les 5 solutions à court terme les plus fréquemment mises en œuvre pendant la pandémie

  • Les problèmes à long terme résultant de ces solutions de fortune

  • 5 recommandations relatives à la mise en place d'une infrastructure de télétravail sécurisée


Ressources associées


Approfondir le sujet

Découvrez comment protéger le personnel en télétravail sur la durée grâce à .

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !