Télétravail : 10 questions pour évaluer la sécurité des infrastructures
Le mouvement sans précédent vers le télétravail lié à l'épidémie COVID-19 semble bien là pour rester. Mais alors qu'au 16 mars dernier la priorité était à l'efficacité plutôt qu'à la sécurité, si le télétravail doit se pérenniser à grande échelle, il est temps de faire revenir le curseur vers la sécurité.
Il existe plusieurs approches pour permettre aux collaborateurs de télétravailler : la connexion à distance de type VPN, qui revient à se retrouver sur le réseau de l'entreprise et qui permet d'accéder à toutes les ressources habituellement disponibles depuis le bureau, la connexion de type RDP, qui permet de se connecter à distance à une machine Windows, et l'usage d'une infrastructure de postes de travail virtuels (VDI), qui permet d'offrir des postes virtualisés hébergés dans le datacenter de l'entreprise, mais exécutés à distance par les utilisateurs depuis un client léger.
À cela s'ajoutent, bien entendu, les solutions dans le Cloud public, en mode SaaS, et en particulier la suite Microsoft Office 365.
Sur ces trois approches d'accès distant, les accès VPN ont été massivement sollicités lors de la vague imprévue de télétravail de mars, tandis que les accès RDP ont eu tendance à être privilégiés pour l'accès aux systèmes par les DSI, qui devaient continuer à les maintenir malgré tout.
Les infrastructures VDI, quant à elles, sont certainement la solution la plus adaptée au télétravail, mais encore faut-il avoir initié le projet assez tôt?! (Contrairement aux VPN qui équipaient déjà une majorité d'entreprises, et à l'accès RDP qui peut - hélas - être activé très simplement).
Mais même là, en mars 2020 de nombreux projets de VDI ont été lancés dans l'urgence, sans toujours prendre le temps d'analyser les enjeux sécurité.
La visibilité : le véritable enjeu
Parmi les enjeux de sécurité essentiels à prendre en compte lors du déploiement d'un accès distant (quel qu'il soit), celui de la visibilité sur les usages est probablement le plus critique. Car il est impossible de répondre à un incident que l'on ne voit pas?!
Pourtant, chaque approche a ses propres exigences en matière de visibilité, qui découlent directement des méthodes mises en oeuvre par les attaquants pour l'exploiter.
Voici quelques points de contrôles pour chacune d'entre elles, qui aideront à mesurer le niveau de maturité de la sécurité des infrastructures de télétravail :
Les accès VPN
1 - La DSI est-elle en mesure de détecter les changements de configuration des accès VPN??
2- Tout le monde utilise-t-il le VPN?? (en surveillant notamment le DNS)
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
3 - Des utilisateurs partagent-ils leur accès VPN??
Les connexions RDP
4 - La DSI connaît-elle tous les points d'entrée RDP sur le périmètre??
5 - Les utilisateurs connectés actuellement en RDP le sont-ils uniquement sur des points d'entrée autorisés??
6 - Les utilisateurs connectés actuellement sont-ils bien ceux à qui l'accès a été donné?? (Contrôlé via un second facteur d'authentification, ou grâce à l'analyse de sa configuration et de son comportement habituel)
L'infrastructure VDI
7- DSI est-elle en mesure de détecter un pivot depuis une machine virtuelle VDI vers le datacenter (généralement l'une des premières actions de l'attaquant pour s'assurer une persistance)??
Microsoft Office 365
8- La DSI est-elle en mesure de superviser l'action des utilisateurs une fois connectés??
De détecter, par exemple, un utilisateur illégitime qui disséminerait des liens piégés, créerait de nouveaux groupes ou partagerait de l'information interne avec un tenant personnel créé par ailleurs??
L'infrastructure globale
9- La DSI est-elle capable d'identifier les postes des utilisateurs distants qui ne sont pas encore équipés du client EDR (en surveillant par exemple la résolution DNS des postes vers la console de l'EDR)
10 - La DSI est-elle en mesure de lister l'ensemble des outils de connexion à distance qui s'exécutent dans l'environnement??
Ces dix points de contrôle illustrent la nécessité de savoir qui fait quoi à travers l'infrastructure, et d'être en mesure de déterminer les comportements légitimes pour mieux identifier par la suite ceux jugés suspects.
Bien entendu, la seule surveillance de l'environnement, en particulier pour les grandes infrastructures, ne suffit pas. Une fois la visibilité acquise, encore faut-il être en mesure de répondre aux alertes. et rapidement?!
Car lorsqu'un attaquant resté indétecté sur le réseau depuis plusieurs jours passe à l'action en déclenchant par exemple le chiffrement d'un rançongiciel, cela commence généralement dans la nuit et ne prend pas plus de quelques heures.
C'est pourquoi au-delà de ces dix points de contrôle, l'automatisation de la réponse sera un chantier essentiel pour tirer tous les bénéfices de la visibilité accrue.
, - .
Sur le même thème
Voir tous les articles Cybersécurité