Télétravail : comment assurer la sécurité des équipements connectés (part 2)
Publié le 21/10/2021
Auteur : Arnaud Dufournet, Chief Marketing Officer
Un an et demi après le choc du premier confinement et la mise place massif du télétravail pour les salariés, le mode de travail dit « hybride » est désormais bien ancré dans les entreprises. Après l’urgence de la prise en charge du travail à distance pendant la pandémie, elles ont pris conscience de certaines limites de leurs systèmes existants. Par conséquent, elles réfléchissent maintenant à la manière de faire évoluer leur architecture de sécurité. Toutes souhaitent préserver les avantages du travail hybride tant en termes de productivité que d’attractivité, tout en réduisant les risques d’attaque.
Quels principaux défis à relever ?
Nous l’avons vu dans l’article précédent, le nomadisme et le télétravail en particulier, touchent toutes les tailles d’organisation, qu’elles soient publiques ou privées. Pour rendre leurs ressources disponibles 24 heures sur 24 et 7 jours sur 7 tout en offrant une expérience utilisateur optimisée et sécurisée, elles cherchent à présent à pérenniser leurs infrastructures d’accès à distance.
Au-delà du souci de pérenniser, les RSSI font face à deux autres enjeux majeurs. Le premier est la conformité réglementaire. Ces dernières années, les réglementations nationales et internationales (voir notre WebTV à ce sujet) ont proliféré. Par exemple le règlement européen sur les données personnelles (RGPD) impose à toute organisation publique ou privée qui collecte ce type de données, d’en assurer la protection. Avec le télétravail, les collectivités territoriales comme les mairies, manipulent de plus en plus à distance les données personnelles de leurs administrés. Les RSSI doivent donc veiller à la sécurité des connexions distantes pour prévenir tout risque d’interception ou altération de ces données.
La loi de programmation militaire (LPM) et la directive européenne NIS contraignent les opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) à sécuriser les accès à leur SI en utilisant des solutions de chiffrement des communications.
La révision de la directive NIS va encore élargir le nombre d’organisations concernées puisque de nouvelles activités et secteurs seront inclus.
A ce sujet, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a prévenu le mois dernier au FIC qu’il pourrait y avoir plusieurs milliers d’OSE en France avec la version 2 de la directive NIS.
Les enjeux financiers sont également de plus en plus lourds, en particulier pour les PME. Un chiffre sidérant illustre bien cela : 60 % des PME victimes d’attaques déposent le bilan dans les six mois. Un cas d’école emblématique est celui du groupe Lise Charmel. La célèbre marque de lingerie a subi une attaque par rançongiciel début novembre 2019 et s’est retrouvée devant le tribunal de commerce pour demander un redressement judiciaire à la fin février 2020.
Les coûts directs d’une attaque se voient rapidement : activité stoppée entrainant une baisse du chiffre d’affaires, arrêt de la facturation, coût de la remédiation et de la reprise d’activité … mais il y a aussi les coûts invisibles : la perte de confiance des clients et des fournisseurs, la prime d’assurance qui s’envole … Certains vont jusqu’à estimer que les dégâts immatériels représenteraient plus de 40 % du montant de la facture totale d’une attaque.
Sécuriser les communications distantes
En 2018, l’ANSSI avait déjà publié un guide sur le nomadisme numérique alertant sur les risques liés au télétravail et donnant des recommandations pratiques pour sécuriser les SI. Le chiffrement des communications, à commencer par les flux d’administrations, fait partie des mesures à prendre, de même que privilégier les solutions disposant d’un visa ANSSI. Même son de cloche du côté de la CNIL qui recommande l’usage d’un VPN pour les connexions distantes et la sécurisation des données personnelles.
Cybermalveillance.gouv.fr a également réalisé un petit guide pratique contenant des consignes similaires. Ce guide insiste en outre sur l’importance d’accompagner les collaborateurs en télétravail et de les sensibiliser sur les menaces.
Car la première des vulnérabilités demeure l’humain. Le général Marc Watin-Augouard, le fondateur du FIC, l’a encore rappelé sur BFM TV juste avant l’ouverture du salon : « 85% des cyberattaques sont liées à une erreur humaine, comme l’ouverture d’une pièce jointe ».
Qu’avons-nous appris de 2020 ?
Les VPN faisant partie des technologies les plus utilisées en 2020 pour protéger les télétravailleurs, il y a beaucoup d’enseignements intéressants à tirer des déploiements. Voici les principaux écueils rencontrés.
Premier constat : le niveau de sécurité des produits. Tous les VPN ne se valent pas. Certains VPN, en particulier ceux utilisant le protocole SSL/TLS, ont relevé des vulnérabilités sévères qui ont été exploitées par les pirates pour attaquer les télétravailleurs. Les équipements (routeurs, firewall …) ont été aussi mis à rude épreuve.
Leur dimensionnement a souvent été sous-estimé pour absorber le surcroît de trafic provenant des VPN des collaborateurs distants. Ces derniers se sont alors plaints de problèmes de connexion et de pertes de débit. Troisième écueil que nous avons souvent constaté : la difficulté à configurer et déployer rapidement les VPN, surtout quand il s’agit de protéger un parc de plusieurs milliers de poste.
Enfin, terminons par les collaborateurs eux-mêmes dont les RSSI ont pu mesurer à quel point leurs connaissances informatiques étaient limitées. La maitrise d’applications collaboratives comme Zoom s’est révélée beaucoup plus rapide que pour les solutions de cybersécurité comme les VPN.
Les critères de choix d’un VPN ?
Fort de ces enseignements, quels sont les critères importants pour bien choisir son VPN d’entreprise ? Chez TheGreenBow, nous pensons qu’il y a trois principaux critères à considérer.
- Niveau de sécurité : c’est le critère non négociable, surtout pour les organisations ayant des SI classés DR (Diffusion Restreinte). Bien sûr, choisir la version la plus à jour du produit pour disposer d’un algorithme de chiffrement à l’état de l’art et d’un système d’authentification robuste. Les VPN IPsec disposant d’un visa de sécurité sont ceux offrant le niveau de sécurité le plus élevé.
- Interopérabilité : elle vous permet de garder la maîtrise sur vos choix en équipements. Nombreuses sont les entreprises qui ont des équipements hétérogènes. Il est alors important que le VPN s’interface avec tous. Pour ceux qui privilégient les solutions souveraines de bout en bout, l’interopérabilité est également clé. Les Clients VPN TheGreenBow s’intègrent par exemple avec des pare-feux Atos, Stormshield ou Mistral.
- Simplicité d’utilisation : pour les utilisateurs finaux d’abord. Pas de sécurité sans adoption de la solution cyber. Le VPN doit être le plus transparent pour eux c’est-à-dire requérant le minimum d’interactions. Pour l’administrateur également. Le Client VPN doit lui permettre de configurer facilement sa politique de sécurité. Et le déploiement doit rester simple.
TheGreenBow s’est engagé depuis de nombreuses années dans un processus de certification de ses Clients VPN pour fournir le niveau de sécurité le plus élevé possible à ses clients. Vous pouvez découvrir nos produits ici ou dans notre boutique en ligne. Enfin n’hésitez pas à nous faire part de vos projets d’amélioration de votre infrastructure d’accès à distance en nous contactant ici.
