Dans le contexte actuel, les raisons d’un contrôle préalable des appareils pour accéder aux services cloud de l’entreprise sont nombreuses : augmentation considérable du télétravail, utilisation de terminaux personnels dans un cadre professionnel, accès partagé à de nombreuses applications collaboratives.
De nombreux services cloud incluent des fonctionnalités qui permettent aux administrateurs de définir et déterminer l'accès selon les profils utilisateurs. Malheureusement, nombre de ces fonctionnalités sont inutilisées ou mal maitrisées, soit par la complexité induite, soit parce qu'elles sont délaissées au profit d'autres aspects du service. L’application d’une politique de sécurité selon le contexte de connexion est par exemple souvent ignorée.
L’un des aspects des services Cloud est la capacité de collaboration entre plusieurs utilisateurs, et leur force réside dans leur large compatibilité avec les différents terminaux. La plupart de ces services sont en effet accessibles via des applications, ou via les principaux navigateurs des différents systèmes d'exploitation. Pour y accéder, les utilisateurs (employés ou partenaires) peuvent utiliser des terminaux gérés par l’entreprise, des terminaux personnels, de confiance ou non, disposant des dernières mises à jour de sécurité ou d'anciens systèmes avec des dispositif de sécurité obsolètes.
Voici quelques-uns des scénarios à risque que les entreprises doivent prendre en considération :
- Un employé utilisant ou téléchargeant des informations confidentielles sur un terminal non sécurisé qui pourrait être infecté et utilisé pour exfiltrer des données.
- Un employé se connectant à partir de l'appareil d'un ami ou d'un membre de sa famille pour télécharger des informations ou modifier un document et qui pourrait entraîner la propagation de logiciels malveillants.
- Un partenaire commercial utilisant son terminal personnel qui pourrait télécharger des logiciels malveillants par inadvertance, son terminal n’étant pas sécurisé.
Les politiques visant à traiter ces cas et d'autres scénarios à risque pourraient inclure :
- L’autorisation pour les utilisateurs de visualiser mais pas de télécharger du contenu sur des appareils non gérés.
- L’interdiction de télécharger à partir d'appareils inconnus.
- La mise en œuvre des politiques DLP (la prévention des pertes de données) sur tous les appareils qui téléchargent des données lorsqu'ils sont en dehors de l’entreprise.
Les administrateurs du cloud doivent examiner chacun de ces scénarios et décider des politiques appropriées et les définir sur le service cloud. De nombreux critères et contrôles de sécurité permettent la contextualisation et la mitigation du risque :
- Dispositif géré / non géré
- Système d'exploitation utilisé
- Activité (upload, post, download)
- Présence de logiciel de sécurité
- Appareil BYOD gérés par des solutions de type MDM/MAM
- Adresse IP/géographie
- Utilisateur/groupe tel que défini dans le système d'authentification (LDAP, etc.)
- Domaine de l'utilisateur
Parmi les actions basées sur les conditions qui pourraient être soutenues figurent :
- Autoriser / refuser l'accès
- Vérifier la présence d’un certificat d’entreprise sur l'appareil
- Authentification renforcée (MFA) pour l'utilisateur
- Redirection du trafic pour inspection et application de politiques de sécurité en temps réel.
- Mettre en œuvre une politique spécifique de DLP
Tous les services cloud n'offrent pas des politiques basées sur chaque condition, ce qui est pris en charge vaut la peine d'être vérifié avant de souscrire à un service cloud particulier. Chaque cloud dispose de fonctionnalités pour définir ces services, bien qu'il soit souvent beaucoup plus facile de les définir une fois et de les étendre à tous les services cloud en utilisant une solution CASB telle que MVISION Cloud.
Pouvoir appliquer des politiques granulaires, comme autoriser des appareils non gérés à accéder à Exchange Online mais pas à SharePoint ou bloquer l'accès au portail O365 Admin à un appareil qui n'est pas sur le réseau de l'entreprise fait également partie des bonnes pratiques à adopter.
Le contrôle des dispositifs n'est qu'une ligne du modèle de responsabilité partagée Cloud Security 360° - Il y a neuf lignes au total, le document complet est disponible ici.
Par Nigel Hawthorn, McAfee