Depuis la pandémie et l’adoption générale du télétravail qui a favorisé la multiplication des cyberattaques les fournisseurs de solutions de sécurité ont dû faire en sorte que les équipements informatiques fonctionnent à tout moment, même en environnement « hostile ».
Si désormais, certains salariés sont de retour au bureau, ce n’est pas le cas de tous. Partout dans le monde, la pandémie a constitué un tournant majeur en déconstruisant le rythme traditionnel des horaires de bureau. La flexibilité est devenue le mode opératoire des salariés qui ne se contentent plus de travailler chez eux et de dépendre uniquement de leur box internet personnelle. Ils peuvent désormais passer une partie de leur journée de travail au parc ou dans un café, voire suivre un programme « vacances-travail » (aussi appelé « working holiday ») si l’opportunité se présente. En contrepartie, les équipes chargées de protéger les équipements informatiques des entreprises doivent toujours garder à l’esprit que des appareils périphériques se trouvent désormais en « territoire hostile » et sont donc constamment en proie à des menaces extérieures.
Avant l’arrivée de la pandémie, pour améliorer leur système de sécurité, les organisations optaient très souvent pour une approche « push left », c’est-à-dire à revenir aux étapes originelles du cycle de vie des solutions logicielles. Cette approche s’appuie sur la phase de développement logiciel, sachant que les différentes étapes du processus de développement se déroulent de gauche à droite, en commençant par la gauche. Depuis plusieurs années, les stratégies de sécurité les plus complètes reposent sur une défense menée en profondeur en partant du principe que toutes les technologies ne sont pas adaptées à la détection d’un type spécifique de menace. Il est donc préférable de les déployer par couches, ces dernières correspondent souvent directement à la distance à laquelle se trouve un élément dans la chaîne de frappe. Ainsi, en détectant une menace à la frontière du réseau au moyen d’un pare-feu, d’une adresse électronique ou de filtres web, il sera possible de la neutraliser avant qu’elle ne vienne compromettre les opérations de l’entreprise.
Concernant les équipements des salariés travaillant au bureau, il est possible de contrôler ces moyens de défense de manière centralisée et de leur fournir une protection optimale. Toutefois, la question reste de savoir s’il sera possible de garantir le même niveau de protection aux travailleurs à distance, quel que soit l’endroit où ils se trouvent. Car la vieille croyance selon laquelle les équipements informatiques utilisés en interne et les appareils utilisés à l’extérieur des bureaux bénéficient de la même protection n’est pas seulement obsolète, elle est surtout extrêmement dangereuse. Est-il réellement possible de surveiller et de répondre aux menaces détectées sur leurs équipements lorsque ces derniers ne sont pas au bureau ? Bon nombre de personnes, notamment celles sans plan de secours, ont constaté qu’un tel type de gestion est loin d’être aussi efficace qu’espéré.
Bien que le monitoring constant du réseau présente de nombreux avantages, tels que la réduction des frais généraux des endpoints et la capacité à tenir les menaces à distance des équipements sensibles et critiques, lorsqu’il est possible d’en avoir le contrôle, il faut impérativement s’assurer que tous les salariés puissent bénéficier de ce niveau de protection, y compris les télétravailleurs.
Il faut donc s’assurer que cette protection soit accessible à tous, tout en favorisant le monitoring, la détection et la mise en déroute des attaques ciblant les équipements à distance. Si la plupart des entreprises se sont déjà tournées, à raison, vers des solutions d’EDR/XDR (ou prévoient de le faire dans un avenir proche, elles doivent garder à l’esprit que ces solutions ne sont pas toujours très complètes.
À l'ère du travail à distance, les télétravailleurs insuffisamment protégés peuvent rencontrer de nombreux problèmes –tels que la copie d’URL infectées, des téléchargements malveillants, ou encore des attaques de réseaux – qui, auparavant, auraient été traités par les machines gardant le « fort »- c’est-à-dire l’entreprise. Lorsque les télétravailleurs se trouvent « à l’extérieur du fort », ils se retrouvent dépourvus d’éléments essentiels, tels que le filtrage HTTPS et l’inspection du contenu web, des composants déjà intégrés aux pares-feux de nouvelle génération. Ainsi, en ajoutant ces technologies à la procédure de protection avant exécution, à la détection comportementale, aux modèles de machine learning (ou ML), aux pare-feu clients, à la DLP, au contrôle des applications et à la solution XDR, il est possible d’obtenir une pile complète de défenses que les attaquants devront surmonter, malgré le fait que les endpoints eux-mêmes soient désormais « en liberté ».
Par ailleurs, si les entreprises souhaitent opter pour des initiatives telles que l’accès au réseau « Zero Trust » et les rendre efficaces, elles devront non seulement protéger les applications avec lesquelles tous les collaborateurs interagissent, mais également les appareils périphériques qui s’y connectent. Si le fait d’instaurer des procédures de vérifications simples comme la mise à jour du système d’exploitation et l’installation d’un logiciel de sécurité peuvent constituer un bon début, il est nécessaire de se rappeler que tous les types de protections ne se valent pas.
Étant donné que la plupart des appareils sont constamment connectés à Internet, il est possible de tirer pleinement parti du potentiel de l’informatique dématérialisée pour assurer une protection et un monitoring omniprésents. Les fournisseurs de solutions de sécurité modernes doivent donc partir du principe que l’appareil périphérique ou le portable du salarié est constamment situé dans un environnement hostile.
Par Chester Wisniewski, Field CTO – Applied Research chez Sophos
Tribunes par thématique Cybersécurité Protéger ses équipements informatiques dans un monde hostile et remote-first