En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 30/01/2018
    3e édition du Congrès des DSI

    La troisième édition du Congrès des DSI se tiendra le 30 janvier prochain au Pré…

    en détail En détail...
Appels d'offres en cours
  • Designer de produits grand public
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente d'objets d'arts Africains
    <2000 €
    > En savoir plus
  • Développement d'une plateforme de mise en relation pour un assembleur de compétences au service des commerçants
    A déterminer €
    > En savoir plus
banniere_FIC2018_leaderboard

Contrôle des accès réseaux : comment ne pas affecter la sécurité informatique ?

ITrust_SOC_pave

Emmanuel Schupp, directeur général de Citrix France, analyse ici comment bien contrôler l’accès distant à un réseau d’entreprise. A l’ère du Cloud, les utilisateurs vont et viennent librement entre les ressources réseau de l’entreprise et une multitude de services Cloud publics, ce qui en fait un vrai cauchemar pour la sécurité des infrastructures.

Dans une salle de spectacle, votre billet vous donne accès à une certaine rangée de fauteuils, voire à une place numérotée. En entreprise, c’est différent : l’accès distant à un réseau d’entreprise requiert une connexion VPN permettant un accès complet aux infrastructures. Du point de vue de la sécurité, c’est un véritable cauchemar. A l’ère du Cloud, les utilisateurs vont et viennent librement entre les ressources réseau de l’entreprise et une multitude de services Cloud publics, grâce à cet outil d’accès universel qu’est le navigateur web. Du point de vue de l’utilisateur, c’est très pratique, mais cela ouvre la voie à une multitude de risques de sécurité. Heureusement, il existe un moyen afin de juguler cet effet « passoire » et ne permettre que des entrées spécifiques à chacun.

Doit-on s’affranchir du confort pour privilégier la sécurité ?

Comme tout expert en sécurité informatique vous le dira, les navigateurs web sont à la merci d’attaques exploitant des vulnérabilités dans leur propre code ou dans leurs modules complémentaires via divers vecteurs : attaques de type « Man In The Middle », piratage de session, certificats malveillants ou simple phishing. C’est toujours la même histoire : les utilisateurs tendent à privilégier le confort au détriment de la sécurité, et il est en effet très commode d’avoir accès dans son navigateur à tout ce qui est nécessaire au cours d’une journée de travail. Si l’on y ajoute la non-installation des correctifs dans les navigateurs et la présence d’extensions mal programmées comme Flash Player, cela ne fait qu’accroître les risques de fuites de données d’entreprise et d’atteinte à la vie privée des utilisateurs.

En outre, le risque est entretenu par les pratiques répandues des départements informatiques au sein des entreprises : il est ainsi désormais monnaie courante de voir les employés se servir d’équipements et d’applications grand public ou encore de services de partage des fichiers sans aucun contrôle rigoureux et centralisé. Dans les environnements de Shadow IT, ils emploient même ces outils sans qu’ils y soient officiellement autorisés ou non. Cette situation s’accompagne souvent d’un manque flagrant de visibilité du département informatique sur le trafic réseau. Pire encore, les utilisateurs se connectent à tout le réseau de l’entreprise (et pas seulement à telle ou telle application) via des liaisons VPN qui sont rattachées à des postes de travail et non à des personnes.

Si des environnements hautement sécurisés, par exemple dans le domaine militaire, sont protégés par le concept de moindres privilèges, c’est pour une bonne raison : octroyer aux utilisateurs un accès aux seules ressources dont ils ont absolument besoin. L’accès universel via un navigateur va totalement à l’encontre de cette approche. Par conséquent, pour les équipes informatiques, le défi consiste désormais à faire leur le principe de moindres privilèges sans pour autant compliquer excessivement l’accès aux ressources de l’entreprise pour les utilisateurs (qui, sinon, chercheront à contourner les restrictions), ni rendre l’architecture d’accès démesurément complexe et coûteuse.

Pour sortir de ce dilemme, il faut faire appel au concept d’accès contextuel, qui consiste en une limitation automatique et intelligente via une évaluation à base de règles déterminant qui a accès à quoi, où, quand et pourquoi. Ces restrictions automatisées doivent s’appliquer en temps réel, à l’ensemble des équipements, réseaux, applications et environnements Cloud. Cela permettra au département informatique de sécuriser les données sensibles de l’entreprise, de limiter l’accès à un groupe donné de terminaux dans des conditions données, de restreindre certaines actions (copier-coller, par exemple) et de mettre en place des workflows sûrs.

De l’intérêt d’un bon navigateur

Une première étape importante en direction de ce niveau relevé de sécurité consiste à s’attaquer à la plateforme d’accès universel : le navigateur. Le département informatique ne doit pas avoir à s’en remettre à un quelconque navigateur préinstallé sur un poste mais plutôt publier pour ses utilisateurs un navigateur hébergé sur un site central et sécurisé. Cette maîtrise du navigateur permet à l’informatique de contrôler tout type de terminal Cloud, notamment pour des aspects tels que la mise à jour du logiciel de navigation, l’usage sécurisé de la messagerie et des réseaux sociaux, la limitation des contenus actifs (Flash ou autres) ou encore l’harmonisation des navigateurs.

Ayant repris le contrôle du navigateur, l’informatique peut alors se concentrer sur la mise en place de workflows sécurisés pour tous les accès. Cela englobe en particulier l’authentification multi-facteur (MFA). Dans le cadre de meilleures pratiques, la MFA est associée à l’accès contextuel décrit plus haut : l’utilisateur peut ainsi consulter à tout moment de la documentation marketing accessible au public. Mais s’il souhaite accéder à des applications critiques ou à des données sensibles, il lui faut s’authentifier de manière plus stricte au moyen de ses empreintes digitales ou d’un jeton. Cela limite la gêne pour l’utilisateur aux situations où la sécurité est primordiale.

Aujourd’hui, les départements informatiques doivent revoir leur infrastructure d’accès et la réarchitecturer autour de workflows offrant un degré élevé de contrôle tout en limitant au minimum la gêne et la complexité pour les utilisateurs. La meilleure pratique dans ce sens réside dans la combinaison de ressources centralisées et d’une sécurité par accès contextuel. Cela revient à permettre aux utilisateurs d’accéder aux fauteuils d’orchestre mais pas aux coulisses. La qualité acoustique est du reste meilleure dans la salle, tandis que les coulisses seront nettement moins encombrées et bien plus sûres.

Contrôle des accès réseaux : comment ne pas affecter la sécurité informatique ?
Notez cet article

Laisser un commentaire

L’intelligence Artificielle, une vraie rupture en Cybersécurité

L'IA ne révolutionne pas seulement la perception de la cybersécurité au coeur des entreprises, elle redéfinit les règles du jeu pour l'ensemble des acteurs de la sécurité. Découvrez le livre blanc de 30 pages de iTrust

Découvrez le livre blanc de 30 pages de iTrust

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • APPLE BAISSE DE 50 DOLLARS LE PRIX DE LA BATTERIE DE L'IPHONE

    Après la révélation du bridage caché des des iPhone 6, 6S et SE, Apple a…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Stockage : Daniel Sazbon, du SNIA, livre ses prévisions pour l’année 2018

    Daniel Sazbon, président du Conseil d’Administration de SNIA Europe (The Storage Networking Industry Association), livre…

    > En savoir plus...
Etudes/Enquêtes
  • Applications choisies par les salariés = productivité en hausse

    Laisser les employés utiliser plus largement les applications de leur choix accroît leur productivité, selon…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Primobox_Demat RH_skycraper 1
Agenda
livres blancs
Les Livres
Blancs
banniere_FIC2018_skycrapper