Télétravail : 10 questions pour évaluer la sécurité des infrastructures

Il existe plusieurs approches pour permettre aux collaborateurs de télétravailler : la connexion à distance de type VPN, qui revient à se retrouver sur le réseau de l’entreprise et qui permet d’accéder à toutes les ressources habituellement disponibles depuis le bureau, la connexion de type RDP, qui permet de se connecter à distance à une machine Windows, et l’usage d’une infrastructure de postes de travail virtuels (VDI), qui permet d’offrir des postes virtualisés hébergés dans le datacenter de l’entreprise, mais exécutés à distance par les utilisateurs depuis un client léger.

À cela s’ajoutent, bien entendu, les solutions dans le Cloud public, en mode SaaS, et en particulier la suite Microsoft Office 365.

Sur ces trois approches d’accès distant, les accès VPN ont été massivement sollicités lors de la vague imprévue de télétravail de mars, tandis que les accès RDP ont eu tendance à être privilégiés pour l’accès aux systèmes par les DSI, qui devaient continuer à les maintenir malgré tout.

Les infrastructures VDI, quant à elles, sont certainement la solution la plus adaptée au télétravail, mais encore faut-il avoir initié le projet assez tôt ! (Contrairement aux VPN qui équipaient déjà une majorité d’entreprises, et à l’accès RDP qui peut — hélas — être activé très simplement).
Mais même là, en mars 2020 de nombreux projets de VDI ont été lancés dans l’urgence, sans toujours prendre le temps d’analyser les enjeux sécurité.

La visibilité : le véritable enjeu

Parmi les enjeux de sécurité essentiels à prendre en compte lors du déploiement d’un accès distant (quel qu’il soit), celui de la visibilité sur les usages est probablement le plus critique. Car il est impossible de répondre à un incident que l’on ne voit pas !
Pourtant, chaque approche a ses propres exigences en matière de visibilité, qui découlent directement des méthodes mises en œuvre par les attaquants pour l’exploiter.

Voici quelques points de contrôles pour chacune d’entre elles, qui aideront à mesurer le niveau de maturité de la sécurité des infrastructures de télétravail :

Les accès VPN

1 – La DSI est-elle en mesure de détecter les changements de configuration des accès VPN ?

2- Tout le monde utilise-t-il le VPN ? (en surveillant notamment le DNS)

3 – Des utilisateurs partagent-ils leur accès VPN ?

Les connexions RDP

4 – La DSI connaît-elle tous les points d’entrée RDP sur le périmètre ?

5 – Les utilisateurs connectés actuellement en RDP le sont-ils uniquement sur des points d’entrée autorisés ?

6 – Les utilisateurs connectés actuellement sont-ils bien ceux à qui l’accès a été donné ? (Contrôlé via un second facteur d’authentification, ou grâce à l’analyse de sa configuration et de son comportement habituel)

L’infrastructure VDI

7- DSI est-elle en mesure de détecter un pivot depuis une machine virtuelle VDI vers le datacenter (généralement l’une des premières actions de l’attaquant pour s’assurer une persistance) ?

Microsoft Office 365

8- La DSI est-elle en mesure de superviser l’action des utilisateurs une fois connectés ?
De détecter, par exemple, un utilisateur illégitime qui disséminerait des liens piégés, créerait de nouveaux groupes ou partagerait de l’information interne avec un tenant personnel créé par ailleurs ?

L’infrastructure globale

9- La DSI est-elle capable d’identifier les postes des utilisateurs distants qui ne sont pas encore équipés du client EDR (en surveillant par exemple la résolution DNS des postes vers la console de l’EDR)

10 – La DSI est-elle en mesure de lister l’ensemble des outils de connexion à distance qui s’exécutent dans l’environnement ?

Ces dix points de contrôle illustrent la nécessité de savoir qui fait quoi à travers l’infrastructure, et d’être en mesure de déterminer les comportements légitimes pour mieux identifier par la suite ceux jugés suspects.

Bien entendu, la seule surveillance de l’environnement, en particulier pour les grandes infrastructures, ne suffit pas. Une fois la visibilité acquise, encore faut-il être en mesure de répondre aux alertes… et rapidement !

Car lorsqu’un attaquant resté indétecté sur le réseau depuis plusieurs jours passe à l’action en déclenchant par exemple le chiffrement d’un rançongiciel, cela commence généralement dans la nuit et ne prend pas plus de quelques heures.
C’est pourquoi au-delà de ces dix points de contrôle, l’automatisation de la réponse sera un chantier essentiel pour tirer tous les bénéfices de la visibilité accrue.

Recent Posts

Environnements hybrides et multi-clouds : un défi et une chance pour la cybersécurité

Pour sécuriser les environnements hybrides et multi-clouds, il faut commencer par clarifier le partage des…

10 heures ago

Dans la « nouvelle-réalité » du travail, le RSSI doit faire rimer cybersécurité, innovation et adaptation au changement !

Cette année, bon nombre des changements survenus durant la pandémie en termes de culture du…

2 jours ago

Comment le modèle SASE définit l’avenir de la sécurité réseau

Inventé par Gartner, l’acronyme SASE (Secure Access Service Edge) est l'une des évolutions les plus…

1 semaine ago

Comment planifier une migration réussie au cloud

Lors du choix, la considération la plus critique et souvent la plus complexe est de…

2 semaines ago

Gestion des identités et des accès : l’importance de l’expérience client en environnements mixtes

La mise en œuvre d’une stratégie d’identité permet de clarifier les actions engagées par l’entreprise,…

2 semaines ago

La cyberfraude est avant tout une fraude, commise par un canal numérique

En matière de cybersécurité, c’est l’information qui compte, et non le support. L’objectif doit être…

2 semaines ago