Accueil Télétravail : la nouvelle frontière de l’accès distant

Télétravail : la nouvelle frontière de l’accès distant

Ces derniers mois, le travail a connu une transformation sans précédent. Sous la pression de la pandémie de Covid-19, le télétravail a pris une place beaucoup plus importante. Les entreprises ont dû ouvrir des accès à leur système d’information. Il est temps de penser à l’avenir de ces accès distants.

 

L’épidémie de Covid-19 a fait bouger les lignes. Le télétravail, qui restait en France un épiphénomène s’est généralisé à l’occasion des diverses périodes de confinement. Ce sont des millions de salariés qui, du jour au lendemain, ont été priés de travailler depuis leur domicile pour des raisons sanitaires et face à cette situation inédite, les entreprises sont allées au plus simple et ont ouvert des accès distants via VPN, de la même façon qu’elles le faisaient pour leurs travailleurs nomades et cadres. Les éditeurs de solution de sécurité ont accompagné les entreprises en levant temporairement les contraintes de licences, leur permettant d’installer par dizaines de milliers les clients VPN sur de nouveaux postes, la régularisation des licences n’intervenant que dans un deuxième temps, une fois l’urgence traitée.

D’après une enquête de la Dares (Direction de l’Animation de la recherche, des Études et des Statistiques) sur la période 2017/2019, seulement 3 % des salariés étaient occasionnellement en télétravail, cette part serait passée à 24% en mars 2020 d’après un sondage Odoxa. Si la norme semble désormais s’établir à 2 jours travaillés dans les locaux de l’entreprise pour 3 jours de télétravail, la Dares estime à 12% la part des salariés qui étaient encore en télétravail en septembre 2020.

Le VPN, une architecture mature, mais pas sans inconvénients

Solution relativement simple et robuste, les liens VPN ont permis de connecter les collaborateurs à distance de manière relativement sûre, car si des attaques restent possibles sur des liaisons chiffrées, la technologie est aujourd’hui mature. Il reste bien évidemment toujours des failles à venir et à corriger sur les passerelles VPN et sur les logiciels clients mais, depuis la découverte puis le patching de la faille « Heart Bleed » dans la bibliothèque OpenSSL, le déploiement de versions récentes des logiciels permet d’écarter l’essentiel des attaques sur ces liens.

Le déploiement massif de clients VPN a néanmoins entraîné des conséquences, notamment en termes de performance. Les entreprises disposant de passerelles VPN ou de firewall dimensionnés au plus juste ont été confrontées à une chute des performances d’accès. Pour certaines ce fut l’accès Internet qui a été congestionné par toutes ces connexions inhabituelles. Outre une chute de productivité aux heures les plus actives de la journée, beaucoup de collaborateurs ont préféré accéder aux applications Cloud de l’entreprise directement sur Internet, sans transiter par le VPN afin de bénéficier d’un meilleur débit et de temps de latence réseau restreints. La conséquence de ce raccourci pris par les collaborateurs est que ceux-ci ne bénéficient plus de l’ombrelle de sécurité apportée par l’entreprise, notamment la protection antimalware alors que l’épidémie de Covid-19 provoquait dans le même temps une avalanche de tentatives d’attaques par ransomware et phishing. Autre conséquence de ce comportement, les collaborateurs échappaient au contrôle réalisé par le CASB (Cloud Access Security Broker) sur les accès aux applications Cloud, avec des conséquences possibles en termes d’exposition au risque de fuite de données, mais aussi quant à la conformité.

Le Cloud, une autre approche de la sécurité des accès

Face à cette évolution à la fois sociétale mais aussi technique, avec une informatique de plus en plus exploitée dans le Cloud public, un changement de paradigme est en train de s’opérer dans cette gestion des accès distants. Le nouveau modèle en train de s’imposer s’appelle le Zero Trust Network Access (ZTNA). Celui-ci s’inscrit pleinement dans l’approche SASE (Secure Access Service Edge) qui allie des briques ZTNA à un réseau de type SD-WAN.

Parmi les grands principes d’une architecture

« Zero Trust », accorder des droits d’accès à une ressource doit être réalisé de manière totalement dynamique. Un droit n’est octroyé à un utilisateur ou à une application qu’en fonction de multiples facteurs dont l’identité de l’utilisateur ou de l’application qui réclame un accès, la ressource demandée mais aussi des éléments tels que la localisation géographique ou le comportement de l’utilisateur.

L’architecture ZTNA telle que la définit le Gartner.

Mettre en place un accès de type ZTNA nécessite donc de multiples briques technologiques qui agissent de concert pour s’assurer de la sécurité des accès. Cela implique les briques de gestion des identités et des accès pour valider l’identité de l’utilisateur au moment où celui-ci veut accéder à une ressource, les firewalls pour contrôler les échanges et notamment réaliser l’inspection des flux SSL, les IPS pour détecter d’éventuelles attaques. La sécurisation des applications Cloud nécessite pour l’entreprise d’avoir une visibilité de l’activité des collaborateurs sur les services SaaS. C’est le rôle de la brique CASB qui va vérifier dynamiquement l’activité de l’utilisateur sur ces services hébergés hors de l’entreprise.

La part du Cloud étant croissante dans les systèmes d’information, l’idée de traiter cette problématique de gestion des accès dans le Cloud a fait son chemin. Cela a donné naissance aux solutions de type passerelles de sécurité Web (SWG). Utiliser une passerelle Internet pour centraliser la gestion de l’ensemble des accès aux ressources SaaS résout le problème de montée en charge des passerelles VPN. Il est beaucoup plus simple de provisionner de nouvelles ressources dans le Cloud et l’exemple de la pandémie a démontré la validité de l’approche. Depuis, les fournisseurs de passerelles SWG ont étoffé la couverture fonctionnelle de leurs offres. Celles-ci permettent non seulement de gérer les accès aux applications Cloud, mais aussi celles des utilisateurs en situation de télétravail ou nomadisme vers les applications internes de leur entreprise. Outre le volet authentification, ces plateformes sont de plus en plus universelles et offrent des fonctions de WaaF, de CASB, d’IPS, de DLP, de Sandbox, etc. Externaliser ainsi de plus en plus de briques de sécurité pour aller, pas après pas vers une informatique 100% sécurisée semble être le cours de l’histoire. Avec les passerelles SWG, le VPN semble avoir trouvé son successeur dans le Cloud. 

 

Les 7 grands principes d’une architecture
Zero Trust (ZTA) selon le NIST

  1. Toute source de données et service délivré par l’IT est considéré comme une ressource,
  2. Toute communication doit être sécurisée quelle que soit son emplacement sur le réseau,
  3. Les droits accordés sur une ressource ne sont validés que pour une seule session,
  4. L’octroi des droits d’accès est réalisé de manière dynamique en fonction de multiples facteurs,
  5. L’entreprise doit surveiller en temps réel l’intégrité de son système d’information et l’intégrité et l’efficacité de son infrastructure de sécurité,
  6. L’authentification et l’autorisation de toutes les ressources sont dynamiques et strictement appliquées avant que l’accès ne soit autorisé,
  7. L’entreprise doit recueillir autant d’informations que possible sur l’état de ses assets, de son infrastructure réseau et des communications afin d’améliorer sa posture de sécurité.