Accueil Expert Contrôle des accès réseaux : comment ne pas affecter la sécurité informatique...

Contrôle des accès réseaux : comment ne pas affecter la sécurité informatique ?

Emmanuel Schupp, directeur général de Citrix France, analyse ici comment bien contrôler l’accès distant à un réseau d’entreprise. A l’ère du Cloud, les utilisateurs vont et viennent librement entre les ressources réseau de l’entreprise et une multitude de services Cloud publics, ce qui en fait un vrai cauchemar pour la sécurité des infrastructures.

Dans une salle de spectacle, votre billet vous donne accès à une certaine rangée de fauteuils, voire à une place numérotée. En entreprise, c’est différent : l’accès distant à un réseau d’entreprise requiert une connexion VPN permettant un accès complet aux infrastructures. Du point de vue de la sécurité, c’est un véritable cauchemar. A l’ère du Cloud, les utilisateurs vont et viennent librement entre les ressources réseau de l’entreprise et une multitude de services Cloud publics, grâce à cet outil d’accès universel qu’est le navigateur web. Du point de vue de l’utilisateur, c’est très pratique, mais cela ouvre la voie à une multitude de risques de sécurité. Heureusement, il existe un moyen afin de juguler cet effet « passoire » et ne permettre que des entrées spécifiques à chacun.

Doit-on s’affranchir du confort pour privilégier la sécurité ?

Comme tout expert en sécurité informatique vous le dira, les navigateurs web sont à la merci d’attaques exploitant des vulnérabilités dans leur propre code ou dans leurs modules complémentaires via divers vecteurs : attaques de type « Man In The Middle », piratage de session, certificats malveillants ou simple phishing. C’est toujours la même histoire : les utilisateurs tendent à privilégier le confort au détriment de la sécurité, et il est en effet très commode d’avoir accès dans son navigateur à tout ce qui est nécessaire au cours d’une journée de travail. Si l’on y ajoute la non-installation des correctifs dans les navigateurs et la présence d’extensions mal programmées comme Flash Player, cela ne fait qu’accroître les risques de fuites de données d’entreprise et d’atteinte à la vie privée des utilisateurs.

En outre, le risque est entretenu par les pratiques répandues des départements informatiques au sein des entreprises : il est ainsi désormais monnaie courante de voir les employés se servir d’équipements et d’applications grand public ou encore de services de partage des fichiers sans aucun contrôle rigoureux et centralisé. Dans les environnements de Shadow IT, ils emploient même ces outils sans qu’ils y soient officiellement autorisés ou non. Cette situation s’accompagne souvent d’un manque flagrant de visibilité du département informatique sur le trafic réseau. Pire encore, les utilisateurs se connectent à tout le réseau de l’entreprise (et pas seulement à telle ou telle application) via des liaisons VPN qui sont rattachées à des postes de travail et non à des personnes.

Si des environnements hautement sécurisés, par exemple dans le domaine militaire, sont protégés par le concept de moindres privilèges, c’est pour une bonne raison : octroyer aux utilisateurs un accès aux seules ressources dont ils ont absolument besoin. L’accès universel via un navigateur va totalement à l’encontre de cette approche. Par conséquent, pour les équipes informatiques, le défi consiste désormais à faire leur le principe de moindres privilèges sans pour autant compliquer excessivement l’accès aux ressources de l’entreprise pour les utilisateurs (qui, sinon, chercheront à contourner les restrictions), ni rendre l’architecture d’accès démesurément complexe et coûteuse.

Pour sortir de ce dilemme, il faut faire appel au concept d’accès contextuel, qui consiste en une limitation automatique et intelligente via une évaluation à base de règles déterminant qui a accès à quoi, où, quand et pourquoi. Ces restrictions automatisées doivent s’appliquer en temps réel, à l’ensemble des équipements, réseaux, applications et environnements Cloud. Cela permettra au département informatique de sécuriser les données sensibles de l’entreprise, de limiter l’accès à un groupe donné de terminaux dans des conditions données, de restreindre certaines actions (copier-coller, par exemple) et de mettre en place des workflows sûrs.

De l’intérêt d’un bon navigateur

Une première étape importante en direction de ce niveau relevé de sécurité consiste à s’attaquer à la plateforme d’accès universel : le navigateur. Le département informatique ne doit pas avoir à s’en remettre à un quelconque navigateur préinstallé sur un poste mais plutôt publier pour ses utilisateurs un navigateur hébergé sur un site central et sécurisé. Cette maîtrise du navigateur permet à l’informatique de contrôler tout type de terminal Cloud, notamment pour des aspects tels que la mise à jour du logiciel de navigation, l’usage sécurisé de la messagerie et des réseaux sociaux, la limitation des contenus actifs (Flash ou autres) ou encore l’harmonisation des navigateurs.

Ayant repris le contrôle du navigateur, l’informatique peut alors se concentrer sur la mise en place de workflows sécurisés pour tous les accès. Cela englobe en particulier l’authentification multi-facteur (MFA). Dans le cadre de meilleures pratiques, la MFA est associée à l’accès contextuel décrit plus haut : l’utilisateur peut ainsi consulter à tout moment de la documentation marketing accessible au public. Mais s’il souhaite accéder à des applications critiques ou à des données sensibles, il lui faut s’authentifier de manière plus stricte au moyen de ses empreintes digitales ou d’un jeton. Cela limite la gêne pour l’utilisateur aux situations où la sécurité est primordiale.

Aujourd’hui, les départements informatiques doivent revoir leur infrastructure d’accès et la réarchitecturer autour de workflows offrant un degré élevé de contrôle tout en limitant au minimum la gêne et la complexité pour les utilisateurs. La meilleure pratique dans ce sens réside dans la combinaison de ressources centralisées et d’une sécurité par accès contextuel. Cela revient à permettre aux utilisateurs d’accéder aux fauteuils d’orchestre mais pas aux coulisses. La qualité acoustique est du reste meilleure dans la salle, tandis que les coulisses seront nettement moins encombrées et bien plus sûres.