En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 26/06/2017
    OW2con’17

    OW2 anime une communauté open source mondiale dédiée à l'essor de logiciels libres et un…

    en détail En détail...
  • 03/07/2017
    Cloud Week 2017

    La Cloud Week 2017 se déroule du 3 au 7 juillet 2017 dans différents lieux…

    en détail En détail...
Celge_leaderboard

Contrôle des accès réseaux : comment ne pas affecter la sécurité informatique ?

Global Knowledge_VEEAM_pave

Emmanuel Schupp, directeur général de Citrix France, analyse ici comment bien contrôler l’accès distant à un réseau d’entreprise. A l’ère du Cloud, les utilisateurs vont et viennent librement entre les ressources réseau de l’entreprise et une multitude de services Cloud publics, ce qui en fait un vrai cauchemar pour la sécurité des infrastructures.

Dans une salle de spectacle, votre billet vous donne accès à une certaine rangée de fauteuils, voire à une place numérotée. En entreprise, c’est différent : l’accès distant à un réseau d’entreprise requiert une connexion VPN permettant un accès complet aux infrastructures. Du point de vue de la sécurité, c’est un véritable cauchemar. A l’ère du Cloud, les utilisateurs vont et viennent librement entre les ressources réseau de l’entreprise et une multitude de services Cloud publics, grâce à cet outil d’accès universel qu’est le navigateur web. Du point de vue de l’utilisateur, c’est très pratique, mais cela ouvre la voie à une multitude de risques de sécurité. Heureusement, il existe un moyen afin de juguler cet effet « passoire » et ne permettre que des entrées spécifiques à chacun.

Doit-on s’affranchir du confort pour privilégier la sécurité ?

Comme tout expert en sécurité informatique vous le dira, les navigateurs web sont à la merci d’attaques exploitant des vulnérabilités dans leur propre code ou dans leurs modules complémentaires via divers vecteurs : attaques de type « Man In The Middle », piratage de session, certificats malveillants ou simple phishing. C’est toujours la même histoire : les utilisateurs tendent à privilégier le confort au détriment de la sécurité, et il est en effet très commode d’avoir accès dans son navigateur à tout ce qui est nécessaire au cours d’une journée de travail. Si l’on y ajoute la non-installation des correctifs dans les navigateurs et la présence d’extensions mal programmées comme Flash Player, cela ne fait qu’accroître les risques de fuites de données d’entreprise et d’atteinte à la vie privée des utilisateurs.

En outre, le risque est entretenu par les pratiques répandues des départements informatiques au sein des entreprises : il est ainsi désormais monnaie courante de voir les employés se servir d’équipements et d’applications grand public ou encore de services de partage des fichiers sans aucun contrôle rigoureux et centralisé. Dans les environnements de Shadow IT, ils emploient même ces outils sans qu’ils y soient officiellement autorisés ou non. Cette situation s’accompagne souvent d’un manque flagrant de visibilité du département informatique sur le trafic réseau. Pire encore, les utilisateurs se connectent à tout le réseau de l’entreprise (et pas seulement à telle ou telle application) via des liaisons VPN qui sont rattachées à des postes de travail et non à des personnes.

Si des environnements hautement sécurisés, par exemple dans le domaine militaire, sont protégés par le concept de moindres privilèges, c’est pour une bonne raison : octroyer aux utilisateurs un accès aux seules ressources dont ils ont absolument besoin. L’accès universel via un navigateur va totalement à l’encontre de cette approche. Par conséquent, pour les équipes informatiques, le défi consiste désormais à faire leur le principe de moindres privilèges sans pour autant compliquer excessivement l’accès aux ressources de l’entreprise pour les utilisateurs (qui, sinon, chercheront à contourner les restrictions), ni rendre l’architecture d’accès démesurément complexe et coûteuse.

Pour sortir de ce dilemme, il faut faire appel au concept d’accès contextuel, qui consiste en une limitation automatique et intelligente via une évaluation à base de règles déterminant qui a accès à quoi, où, quand et pourquoi. Ces restrictions automatisées doivent s’appliquer en temps réel, à l’ensemble des équipements, réseaux, applications et environnements Cloud. Cela permettra au département informatique de sécuriser les données sensibles de l’entreprise, de limiter l’accès à un groupe donné de terminaux dans des conditions données, de restreindre certaines actions (copier-coller, par exemple) et de mettre en place des workflows sûrs.

De l’intérêt d’un bon navigateur

Une première étape importante en direction de ce niveau relevé de sécurité consiste à s’attaquer à la plateforme d’accès universel : le navigateur. Le département informatique ne doit pas avoir à s’en remettre à un quelconque navigateur préinstallé sur un poste mais plutôt publier pour ses utilisateurs un navigateur hébergé sur un site central et sécurisé. Cette maîtrise du navigateur permet à l’informatique de contrôler tout type de terminal Cloud, notamment pour des aspects tels que la mise à jour du logiciel de navigation, l’usage sécurisé de la messagerie et des réseaux sociaux, la limitation des contenus actifs (Flash ou autres) ou encore l’harmonisation des navigateurs.

Ayant repris le contrôle du navigateur, l’informatique peut alors se concentrer sur la mise en place de workflows sécurisés pour tous les accès. Cela englobe en particulier l’authentification multi-facteur (MFA). Dans le cadre de meilleures pratiques, la MFA est associée à l’accès contextuel décrit plus haut : l’utilisateur peut ainsi consulter à tout moment de la documentation marketing accessible au public. Mais s’il souhaite accéder à des applications critiques ou à des données sensibles, il lui faut s’authentifier de manière plus stricte au moyen de ses empreintes digitales ou d’un jeton. Cela limite la gêne pour l’utilisateur aux situations où la sécurité est primordiale.

Aujourd’hui, les départements informatiques doivent revoir leur infrastructure d’accès et la réarchitecturer autour de workflows offrant un degré élevé de contrôle tout en limitant au minimum la gêne et la complexité pour les utilisateurs. La meilleure pratique dans ce sens réside dans la combinaison de ressources centralisées et d’une sécurité par accès contextuel. Cela revient à permettre aux utilisateurs d’accéder aux fauteuils d’orchestre mais pas aux coulisses. La qualité acoustique est du reste meilleure dans la salle, tandis que les coulisses seront nettement moins encombrées et bien plus sûres.

Notez cet article

Laisser un commentaire

Contrôler les accès des prestataires externes à votre SI

18% des principales brèches de sécurité sont attribuées à un prestataire. Améliorer la visibilité et le contrôle sur les accès à privilèges avant, pendant et après l’intervention de prestataires est un enjeu majeur de sécurité informatique.

Lire le livre blanc

Sondage

Attaques cyber: les DSI prennent-elles trop de temps pour mettre en place les mises à jour Windows ?

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Gestion de crise en cas d’incident de sécurité: quelle marche à suivre pour les responsables de traitement ?

    Garance Mathias, Avocat à la Cour (http://www.avocats-mathias.com), fait le point pratique sur le sujet. Mathias…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • 2017 : sommes-nous prêts pour l’Intelligence Artificielle ?  (tribune)

    "Le Gouvernement vient de lancer son projet « France IA » avec l’intention de faire de la…

    > En savoir plus...
Etudes/Enquêtes
  • Les cyberattaques contre la finance multipliées par 5 !

    Le secteur public et la finance sont les deux premières cibles des cyberattaques. Le nombre de cyberattaques…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Déploiement de petites salles serveurs et de micro-datacenters

    > Voir le livre
  • Un regard neuf sur la gestion des coûts de stockage des données archivées

    > Voir le livre
GlobalKnowledge_Devops_skycraper