Pour de nombreux collaborateurs, la routine de travail du matin est bien différente aujourd’hui. Au lieu de se rendre au bureau, ils préparent leur café, « font la route » jusqu’à leur espace de travail à domicile et se connectent à un réseau privé virtuel (VPN) pour accéder aux ressources et applications de l’entreprise.
Le VPN est l’une des solutions les éprouvées pour sécuriser l’accès à distance, même si elle est un peu risquée. Risquée car, si le VPN n’est pas correctement mis en œuvre et géré, les cybercriminels peuvent exploiter certaines faiblesses afin d’obtenir un accès à privilèges aux systèmes et données sensibles. En fait, certaines organisations choisissent de nouveaux moyens pour connecter leurs équipes à distance, qui éliminent le recours aux VPN ou aux agents et contribuent à rationaliser les opérations et les flux de travail des utilisateurs.
Pour les entreprises utilisant des VPN, il est important que la pile VPN fasse l’objet de correctifs réguliers, en utilisant un chiffrement adéquat et en surveillant en permanence les modèles de trafic et l’utilisation. Il est encore plus important de s’assurer que les utilisateurs se connectant au VPN sont authentifiés avec un degré de certitude élevé. Il faut également vérifier que les appareils sont validés et que les privilèges et droits associés sont conformes au principe du moindre privilège. Tous ces aspects ne ressemblent-ils pas aux principes fondateurs de la sécurité Zero Trust ?
Examinons cinq bonnes pratiques de mise en œuvre d’un VPN dans le contexte de ces trois piliers de la sécurité Zero Trust.
La plupart des solutions VPN prennent en charge différents types de mécanismes d’authentification, selon le type de VPN (site à site, utilisateur distant). La prise en charge de la MFA peut s’effectuer via RADIUS. Dans ce cas, le serveur VPN devient un client RADIUS d’un serveur RADIUS, qui à son tour est capable d’effectuer une authentification à plusieurs facteurs. Par exemple, le logiciel CyberArk Idaptive Connector peut servir de serveur RADIUS ou de proxy AD pour effectuer une authentification AD et présenter un deuxième facteur sous forme d’authentifiant mobile : OATH OTP, ou e-mail.
La figure suivante illustre les différentes étapes de l’authentification RADIUS entre le client RADIUS et le connecteur CyberArk Idaptive, qui agit en qualité de serveur RADIUS (entre autres).
Une autre manière d’intégrer un VPN avec un IDP externe pour l’authentification consiste à utiliser SAML. Cette méthode n’est pas prise en charge par tous les fournisseurs de VPN, mais si elle est prise en charge, il n’est pas nécessaire d’installer un client VPN de bureau sur les points d’extrémité. Vous trouverez ci-dessous une illustration du fonctionnement de la solution Global Protect de Palo Alto Network.
Si vous recherchez une solution VPN, posez-vous les questions suivantes :
Les attributs spécifiques aux fournisseurs (VSA) sont nécessaires si vous souhaitez accorder aux utilisateurs des autorisations pour plusieurs types d’accès. Par exemple, en fonction du rôle de l’utilisateur, ce dernier peut bénéficier d’un niveau de privilège particulier, limitant ainsi l’accès. Les VSA peuvent être utilisés en combinaison avec des attributs définis par RADIUS. Par exemple, ce lien montre les VSA de Cisco.
Souvent, une entreprise utilise plusieurs fournisseurs de VPN en prenant en charge un mélange de protocoles pour l’authentification et le contrôle d’accès. Le serveur RADIUS/IDP doit pouvoir prendre en charge différents profils d’authentification, notamment pour les différents serveurs VPN (clients RADIUS). Par exemple, si des ressources sensibles sont accessibles à partir d’un serveur VPN, un profil d’authentification utilisant une authentification plus forte peut être appliqué pour ce réseau par rapport à autre serveur VPN permettant d’accéder à des ressources moins critiques.
Même en cas d’utilisation d’un seul serveur VPN, le fournisseur d’authentification doit être en mesure de détecter les anomalies comportementales de l’utilisateur et de présenter différents défis en fonction des risques associés à l’utilisateur. Cette capacité est particulièrement importante dans le scénario actuel, où la plupart des collaborateurs, si ce n’est tous, vont devoir télétravailler pendant un certain temps.
Étant donné que les utilisateurs sont distants et qu’ils utilisent potentiellement leurs propres appareils (BYOD), il est important de n’accorder l’accès qu’aux appareils dont les utilisateurs ont été vérifiés par MFA dans le cadre de la connexion à l’appareil.
Pour plus d’informations sur la sécurisation de votre personnel à distance, visitez notre Centre de ressources pour la distanciation du risque.
]]>Réfléchissez. Bon nombre des applications que vous utilisez sur votre ordinateur portable ne vous demandent aucun code d’accès, en particulier si votre entreprise n’a pas de politique MFA robuste. Les mots de passe de vos applications peuvent être mis en cache dans votre navigateur pour plus de commodité, mais cela en fait également une cible facile pour le vol d’identifiants. Si votre entreprise utilise l’authentification par certificat ou iWA pour plus de praticité, la plupart des applications peuvent être directement accessibles à partir d’un appareil de confiance, sans aucune demande d’authentification. Sachant que même une entreprise de taille moyenne peut utiliser plus de 100 applications SaaS, imaginez l’ampleur des dommages qu’il est possible de causer en accédant à quelques applications.
Même si le monde évolue vers le stockage dans le Cloud, certains collaborateurs aiment stocker des copies de fichiers importants et sensibles sur One Drive, Box ou Dropbox. Les employés qui sont constamment en déplacement, comme les commerciaux, aiment conserver des informations critiques localement, car ils n’ont pas toujours accès au Cloud. Ces fichiers peuvent contenir des prospects, des informations financières, des informations sur les partenaires, du code, des secrets commerciaux, etc. Dans le pire des cas, un employé négligent peut avoir stocké ses mots de passe dans une feuille de calcul.
Outre les données sensibles de l’entreprise, un ordinateur portable moyen peut renfermer plusieurs fichiers contenant certaines informations personnelles du propriétaire, comme son adresse, son numéro de téléphone, son e-mail, son numéro de sécurité sociale et ses informations de compte bancaire ou de carte de crédit. Entre de mauvaises mains, ces informations financières vitales peuvent être utilisées pour usurper l’identité du collaborateur.
De plus, les clients de messagerie comme Outlook sont généralement dans un état « toujours ouvert », ce qui pose un véritable risque. Les adresses e-mail des collaborateurs peuvent être utilisées pour réinitialiser les mots de passe de différents services, et les messages eux-mêmes contiennent souvent des informations sensibles sur l’employeur. Grâce à l’ingénierie sociale, les attaquants peuvent utiliser l’e-mail d’un collaborateur pour obtenir des informations sensibles sur d’autres personnes de l’entreprise.
En somme, la perte de son ordinateur portable par l’un de vos collaborateurs peut avoir des conséquences catastrophiques. En l’absence d’une politique robuste de mot de passe, il est probable que le mot de passe soit faible et qu’il ne résiste pas à une attaque par force brute simple.
Les acteurs internes malveillants ciblent également les ordinateurs portables non sécurisés. Ils tentent de dérober des informations précieuses sur leurs collègues ou certains cadres supérieurs, ou ils cherchent à obtenir un accès à privilèges aux systèmes de l’entreprise et aux données auxquelles ils n’ont pas accès. Les menaces internes sont de plus en plus fréquentes et peuvent être particulièrement dangereuses : en effet, elles passent souvent inaperçues pendant des semaines, des mois, voire des années.
Il est donc absolument essentiel que les ordinateurs portables de travail (et même personnels) soient protégés par une solution MFA puissante au niveau de l’écran de démarrage et de l’écran de verrouillage. Sinon, il subsisterait une faille dangereuse dans la sécurité numérique de votre entreprise.
Pour résoudre ce problème, les agents Cloud CyberArk Idaptive prennent en charge la MFA forte pour l’écran de démarrage et de verrouillage des appareils Windows et macOS, avec diverses fonctionnalités :
Les points d’extrémité présentent des risques de sécurité importants pour les entreprises numériques actuelles, en particulier face à la forte croissance du télétravail. Les cybercriminels expérimentés peuvent exploiter les vulnérabilités des points d’extrémité pour voler des informations confidentielles ou perturber les services informatiques. En adoptant une approche de défense en profondeur de la sécurité des points d’extrémité (instauration d’un mélange solide de contrôles de sécurité allant de la MFA à la gestion des accès à privilèges), vous pouvez renforcer votre stratégie générale de sécurité et réduire votre exposition.
Pour en savoir plus sur la protection des utilisateurs distants, des points d’extrémité et des actifs critiques, visitez notre Centre de ressources sur la distanciation du risque.
]]>L’emplacement physique des utilisateurs est moins important pour la conduite de nos activités. Une étude réalisée en 2019 a montré que 62 % des personnes interrogées travaillaient à domicile au moins une partie du temps. Dans cette même étude, 82 % des personnes ayant télétravaillé au moins une partie du temps ont déclaré qu’elles prévoyaient de maintenir ou d’augmenter la part du télétravail dans leur emploi du temps. En outre, plus de la moitié (51 %) des personnes qui n’avaient jamais télétravaillé avaient envie de commencer à le faire.
N’oublions pas que ces chiffres ne tiennent pas compte des nombreux fournisseurs distants qui travaillent comme des employés en réalisant des tâches essentielles pour l’entreprise. Ces utilisateurs ont souvent besoin d’accéder aux systèmes critiques de la même manière qu’un employé de l’entreprise. Bien sûr, cette plus grande flexibilité offerte aux collaborateurs augmente les risques de sécurité. Pour fournir un accès, les entreprises font souvent appel à des méthodes peu sûres et inefficaces, qui reposent en général sur des VPN pour octroyer un accès sécurisé.
Toutefois, les privilèges des travailleurs distants ne sont pas tous égaux. Certains peuvent simplement avoir besoin d’accéder à la messagerie et à quelques applications professionnelles, tandis que d’autres peuvent nécessiter l’accès à des applications critiques telles que les applications de gestion de la paie et des ressources humaines, ou encore à des données commerciales et marketing. Les fournisseurs tiers de services informatiques responsables de l’assistance ont besoin d’un niveau d’accès large, identique à celui des fournisseurs informatiques internes.
Aujourd’hui, nous allons examiner de plus près les cinq principaux types de travailleurs à distance, qui ont souvent besoin de privilèges élevés sur les systèmes. Nous verrons comment la gestion des accès à privilèges (PAM) avec CyberArk Alero peut aider les entreprises à fournir un accès à la fois sécurisé et simple aux systèmes critiques gérés par CyberArk.
1. Employés à distance du service informatique ou de la sécurité
On compte parmi ces utilisateurs les administrateurs de domaine, les administrateurs réseau et d’autres personnes qui accèdent généralement aux systèmes internes critiques sur site, mais peuvent être amenés à le faire à distance. Lorsque les employés du service informatique ou de sécurité travaillent à l’extérieur, cela pose des problèmes pour la gestion quotidienne des administrateurs de sécurité.
Il est donc essentiel d’identifier précisément les niveaux d’accès requis par ces employés et de mettre en œuvre le principe du moindre privilège afin de s’assurer qu’ils n’accèdent qu’à ce dont ils ont besoin. Les solutions traditionnelles comme les VPN ne sont pas en mesure fournir le niveau d’accès granulaire requis pour chaque application. L’attribution de ce type d’accès granulaire est vitale, car elle permet d’éviter les situations dangereuses, comme lorsqu’un administrateur Windows dispose d’un accès aux comptes racine.
L’intégration des outils de sécurité avec le service d’annuaire pour fournir un accès automatisé et spécifique doit être mise en place à l’avance. Ainsi, en cas d’augmentation imprévue du télétravail, il ne subsiste aucune faille dans les fonctions informatiques ou de sécurité, et le travail à domicile peut s’effectuer en toute sécurité.
2. Fournisseurs tiers de matériel et de logiciels Les fournisseurs
tiers de matériel et de logiciels, y compris les prestataires de services informatiques et d’assistance technique sous contrat, fournissent souvent des services et une maintenance à distance qui requièrent des privilèges élevés. Les fournisseurs de ce type ont généralement besoin d’un accès de niveau administrateur pour effectuer des tâches sur plusieurs serveurs ou bases de données Windows ou Linux. Ils sont également appelés à apporter des correctifs, des mises à jour système et plus encore.
En somme, ces intervenants agissent en tant qu’administrateurs de domaine. Par conséquent, leur accès peut faire des ravages sur l’environnement s’il n’est pas correctement surveillé et provisionné. Toutefois, l’identification de ces utilisateurs et de leurs niveaux individuels d’accès à distance doit être réalisée au cas par cas par des administrateurs, ce qui peut prendre beaucoup de temps. Il est important de s’assurer que tous ces utilisateurs sont identifiés et disposent d’un niveau d’accès correct.
3. Fournisseurs de la chaîne d’approvisionnement
Lorsque l’accompagnement de la production et de la livraison de produits n’est pas le cœur d’activité d’une entreprise, elle fait souvent appel à des fournisseurs spécialisés dans sa chaîne d’approvisionnement. Ces utilisateurs distants ont souvent accès au réseau afin de surveiller les stocks dans les entreprises de vente au détail ou de fabrication. Ils peuvent également avoir accès à des données sensibles liées à la production prévisionnelle, au contrôle qualité et à d’autres systèmes critiques qui peuvent être liés aux systèmes de contrôle industriel (ICS) et aux technologies opérationnelles (OT), ou encore aux processus de la chaîne d’approvisionnement sur site.
On ne pense pas souvent à ces fournisseurs dans un premier temps, parce qu’il ne s’agit pas d’administrateurs à proprement parler. Pourtant, les fournisseurs de la chaîne d’approvisionnement disposent d’un accès qui peut être exploité par des attaquants ou créer un problème grave en cas de mauvaise utilisation interne.
4. Sociétés de services Les sociétés de services responsables d’activités dans des domaines comme le droit, les relations publiques ou la paie peuvent avoir besoin d’accéder à des applications commerciales spécifiques pour être efficaces.
Il est important d’identifier ces utilisateurs et d’appliquer le principe du moindre privilège pour s’assurer qu’ils n’ont pas accès à des éléments situés hors de leur champ d’action, et qu’ils ne conservent pas leur accès plus longtemps que nécessaire. Les entreprises de services juridiques n’ont pas vocation à avoir accès aux informations de paie, et cela peut augmenter le risque.
Les applications critiques pour l’entreprise telles que la gestion de la relation client (CRM), la planification des ressources de l’entreprise (ERP), les consoles Cloud, etc. sont importantes pour la continuité des activités et les opérations, mais les données contenues dans ces applications peuvent être très dangereuses. L’identification des personnes qui ont accès à ces applications est très importante. Il est vital de minimiser la capacité des attaquants à se déplacer latéralement d’une application métier à l’autre afin d’éviter les fuites de données majeures et de poursuivre l’activité habituelle.
5. Consultants externes
Les consultants en gestion et en informatique ont parfois besoin d’un accès à privilèges pour travailler sur les projets dont ils sont responsables. Toutefois, ils ne doivent disposer de cet accès que pendant la période pour laquelle ils ont été engagés. Ces fournisseurs sont temporaires par nature et n’ont souvent besoin d’un accès que pour quelques jours, semaines ou mois pour faire leur travail. Toutefois, dans cet intervalle, les consultants externes reçoivent souvent un large accès à certains secteurs de l’entreprise.
L’identification au plus vite de ces consultants et du type d’accès dont ils ont besoin (à quoi et pendant combien de temps) contribue à réduire les risques et à protéger l’entreprise. En outre, l’accès des consultants externes doit être étroitement surveillé et sécurisé lorsqu’il est actif et il doit être automatiquement supprimé dès qu’ils ont fini leur mission.
Imaginez la situation suivante. Un consultant est engagé pour trois semaines. Il reçoit un mauvais feedback et se sent lésé. Si son accès n’est pas déprovisionné automatiquement, ce consultant peut conserver des privilèges élevés après la fin de sa mission. Il peut alors les utiliser pour causer un préjudice irréparable à l’entreprise par vengeance. Cette situation peut sembler improbable, mais il ne s’agit là que d’un exemple du préjudice qu’il est possible de subir à cause d’un accès à privilèges s’il n’est pas régulièrement surveillé et mis à jour.
De plus en plus d’entreprises s’appuient sur des utilisateurs distants dans le cadre de leurs activités quotidiennes, mais il est important de bien comprendre les différents types d’utilisateurs qui se connectent aux systèmes depuis l’extérieur. Surtout, il est vital de bien gérer, surveiller et sécuriser ces accès.
Cette tâche peut sembler insurmontable, mais CyberArk Alero est un produit SaaS qui aide les organisations à fournir et à provisionner des accès sécurisés pour les utilisateurs distants accédant aux systèmes critiques gérés par CyberArk. Il peut être facilement déployé pour n’importe quel nombre d’utilisateurs distants sans utiliser de VPN, d’agents, ni de mots de passe.
]]>À Impact Live 2020, nous avons passé beaucoup de temps à discuter des stratégies pour maintenir une solide posture de cybersécurité à l’ère du télétravail. Aujourd’hui, les utilisateurs ont besoin de flexibilité pour faire leur travail efficacement et doivent être en mesure d’accéder aux systèmes d’entreprise à tout moment et en tout lieu. Cependant, cette nouvelle méthode de travail pose de nouveaux défis en matière de sécurité, et ces défis nécessitent des solutions modernes.
Voici sept meilleures pratiques pour aider les télétravailleurs à rester productifs en toute sécurité sans nuire aux opérations ou aux pratiques commerciales établies.
Concilier sécurité et commodité est une lutte pour les entreprises à l’ère du travail à distance. Avec de nombreux employés travaillant à distance sans date de fin en vue, la réponse à ce dilemme est plus importante que jamais. En suivant ces meilleures pratiques, les entreprises peuvent fournir à leur personnel distant un accès sécurisé qui n’interfère pas avec la productivité ou les pratiques commerciales.
Vous n’avez pas pu vous rendre à Impact Live ? Pas de problème. Inscrivez-vous à Impact Live on demand pour consulter toutes les sessions à votre convenance.
]]>