Il existe plusieurs approches pour permettre aux collaborateurs de télétravailler : la connexion à distance de type VPN, qui revient à se retrouver sur le réseau de l’entreprise et qui permet d’accéder à toutes les ressources habituellement disponibles depuis le bureau, la connexion de type RDP, qui permet de se connecter à distance à une machine Windows, et l’usage d’une infrastructure de postes de travail virtuels (VDI), qui permet d’offrir des postes virtualisés hébergés dans le datacenter de l’entreprise, mais exécutés à distance par les utilisateurs depuis un client léger.
À cela s’ajoutent, bien entendu, les solutions dans le Cloud public, en mode SaaS, et en particulier la suite Microsoft Office 365.
Sur ces trois approches d’accès distant, les accès VPN ont été massivement sollicités lors de la vague imprévue de télétravail de mars, tandis que les accès RDP ont eu tendance à être privilégiés pour l’accès aux systèmes par les DSI, qui devaient continuer à les maintenir malgré tout.
Les infrastructures VDI, quant à elles, sont certainement la solution la plus adaptée au télétravail, mais encore faut-il avoir initié le projet assez tôt ! (Contrairement aux VPN qui équipaient déjà une majorité d’entreprises, et à l’accès RDP qui peut — hélas — être activé très simplement).
Mais même là, en mars 2020 de nombreux projets de VDI ont été lancés dans l’urgence, sans toujours prendre le temps d’analyser les enjeux sécurité.
Parmi les enjeux de sécurité essentiels à prendre en compte lors du déploiement d’un accès distant (quel qu’il soit), celui de la visibilité sur les usages est probablement le plus critique. Car il est impossible de répondre à un incident que l’on ne voit pas !
Pourtant, chaque approche a ses propres exigences en matière de visibilité, qui découlent directement des méthodes mises en œuvre par les attaquants pour l’exploiter.
Voici quelques points de contrôles pour chacune d’entre elles, qui aideront à mesurer le niveau de maturité de la sécurité des infrastructures de télétravail :
1 – La DSI est-elle en mesure de détecter les changements de configuration des accès VPN ?
2- Tout le monde utilise-t-il le VPN ? (en surveillant notamment le DNS)
3 – Des utilisateurs partagent-ils leur accès VPN ?
4 – La DSI connaît-elle tous les points d’entrée RDP sur le périmètre ?
5 – Les utilisateurs connectés actuellement en RDP le sont-ils uniquement sur des points d’entrée autorisés ?
6 – Les utilisateurs connectés actuellement sont-ils bien ceux à qui l’accès a été donné ? (Contrôlé via un second facteur d’authentification, ou grâce à l’analyse de sa configuration et de son comportement habituel)
7- DSI est-elle en mesure de détecter un pivot depuis une machine virtuelle VDI vers le datacenter (généralement l’une des premières actions de l’attaquant pour s’assurer une persistance) ?
8- La DSI est-elle en mesure de superviser l’action des utilisateurs une fois connectés ?
De détecter, par exemple, un utilisateur illégitime qui disséminerait des liens piégés, créerait de nouveaux groupes ou partagerait de l’information interne avec un tenant personnel créé par ailleurs ?
9- La DSI est-elle capable d’identifier les postes des utilisateurs distants qui ne sont pas encore équipés du client EDR (en surveillant par exemple la résolution DNS des postes vers la console de l’EDR)
10 – La DSI est-elle en mesure de lister l’ensemble des outils de connexion à distance qui s’exécutent dans l’environnement ?
Ces dix points de contrôle illustrent la nécessité de savoir qui fait quoi à travers l’infrastructure, et d’être en mesure de déterminer les comportements légitimes pour mieux identifier par la suite ceux jugés suspects.
Bien entendu, la seule surveillance de l’environnement, en particulier pour les grandes infrastructures, ne suffit pas. Une fois la visibilité acquise, encore faut-il être en mesure de répondre aux alertes… et rapidement !
Car lorsqu’un attaquant resté indétecté sur le réseau depuis plusieurs jours passe à l’action en déclenchant par exemple le chiffrement d’un rançongiciel, cela commence généralement dans la nuit et ne prend pas plus de quelques heures.
C’est pourquoi au-delà de ces dix points de contrôle, l’automatisation de la réponse sera un chantier essentiel pour tirer tous les bénéfices de la visibilité accrue.
Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent…
Une des thématiques émergentes en 2024 sera de ré-évaluer le socle constitué par le réseau…
Dans un environnement où les menaces sont de plus en plus aiguisées et où les…
Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du…
La cybersécurité est plus que concernée par les révolutions induites par l’informatique quantique. S’il est…
La cybersécurité est une discipline qui évolue constamment au gré des nouvelles menaces. Certains développeurs…