Nombre d’entreprises, prises de court, n’ont pas eu le temps de mettre en place des stratégies de cyberdéfense en télétravail. Voici quelques conseils pour mettre en place une politique Zero Trust du pauvre.
La sécurité en télétravail est la plus grande préoccupation de services informatiques, RSSI et autres sentinelles sécuritaires dans les entreprises. Livrés à eux-mêmes, les télétravailleurs doivent adopter de bonnes pratiques, respecter les consignes et rituels sécuritaires et prier pour qu’une mauvaise manip ne vienne pas tout compromettre.
Dans un tel contexte, une légère paranoïa peut être salutaire en empêchant les gestes imprudents, comme un clic inconsidéré sur un lien empoisonné. Elle devra toutefois être renforcée par des mécanismes d’accès durcis, et c’est là qu’intervient une stratégie Zero Trust. C’est le niveau entreprise de la paranoïa et il est bienvenu en ces temps où l’on n’ose plus ouvrir un email par peur qu’il nous explose à la figure.
Comme son nom l’indique, une politique zero trust signifie que l’entreprise ne fait confiance à rien, entendre par là à aucun appareil, ni à personne. C’est radical et ça permet de couvrir toutes les causes possibles de compromission : malveillance, imprudence, distraction, témérité, crétinisme et on en passe. Donc avant d’être un ensemble d’outils et de procédures, zero trust est une philosophie, nihiliste certes, puisque zéro, mais terriblement efficace lorsqu’elle est scrupuleusement respectée. Son seul point faible est le vol. Le vol d’identifiants et le vol de dispositifs physiques de protection des accès (clés USB, cartes à puces…).
Une protection des accès multiniveaux et multiprotocoles
Une stratégie zero trust combine plusieurs technologies pour s’assurer que la personne demandant un accès est bien ce qu’elle prétend être, et qu’elle dispose bien des droits qu’elle prétend avoir en demandant l’accès. Cette combinaison permet de créer plusieurs niveaux d’accès avec des droits différents. Une hiérarchie destinée à segmenter les accès en fonction des cas d’utilisation. Gartner définit le marché de l’AM comme des fournisseurs de solutions qui utilisent des moteurs de contrôle d’accès pour fournir une authentification centralisée, un SSO, une gestion de session et une application des autorisations pour des applications cibles dans des cas d’utilisation multiple (B2E, B2B et B2C).
Même si votre entreprise ne fait pas partie de celles qui ont déjà mis en place une stratégie zero trust, il est possible de cumuler un certain nombre de couches sécuritaires pour atteindre un niveau de sécurité acceptable et que voici :
- identifier toutes les applications données et accès qui doivent être sécurisés,
- attribuer des identifiants d’accès à chaque employé et seulement aux services, applications et données auxquelles il est habilité à accéder,
- utiliser plusieurs technologies d’authentification si possible, biométrique, identifiants…,
- sécuriser les API via des contrôles d’accès et des autorisations,
- Si vous avez des clients ou des fournisseurs qui accèdent à des services ou des applications, faire de même pour chacun de leurs employés,
- tenir un registre des identités, mis à jour en fonction des évolutions
- …
La combinaison de ces précautions avec des VPN, des pare-feu permettent de rendre les accès plus sûrs qu’une classique protection périmétrique et par mots de passe. C’est un pis-aller en ces temps d’urgence, mais la meilleure des protections est la prudence et un peu de paranoïa.