La transformation numérique est la nouvelle réalité. Alors que les organisations s'aventurent dans le monde post-Covid, elles cherchent à combler le fossé entre les processus et les flux de travail qui fonctionnaient autrefois et ceux qui doivent être adaptés pour s'adapter à la nouvelle norme. La « nouvelle norme » implique une complexité qui appelle l’automatisation des politiques de sécurité. Les équipes réseau et sécurité sont désormais confrontées à des applications fonctionnant au-delà du périmètre, au déplacement des utilisateurs hors du périmètre et à une augmentation de l'hétérogénéité du réseau. Cela a abouti à un réseau plus fragmenté et à une augmentation significative du nombre de pare-feu ou de solutions de type pare-feu que les entreprises doivent gérer.
La Covid-19 a provoqué un changement radical dans le fonctionnement des entreprises. Sur la base d'une enquête auprès de grandes organisations, début mars, de nombreuses entreprises ont dû multiplier par 5 à 7 la taille de leurs équipes distantes en quelques jours.
Cette situation a empêché les entreprises de suivre toutes leurs pratiques de sécurité ou même de tirer parti de certaines technologies récemment acquises. La plupart des services informatiques se sont appuyés sur des technologies existantes et bien établies pour permettre l'accès à distance. Les entreprises ont déployé leurs solutions VPN distantes existantes sur site, tandis que d'autres ont utilisé les solutions VPN d'accès à distance proposées par leurs fournisseurs de pare-feu. De plus, bon nombre d'entre elles utilisaient des technologies VDI pour une petite partie de leurs employés. Pour activer le trafic, les administrateurs devaient rapidement mettre à jour les périphériques de sécurité réseau et les pare-feux avec les nouveaux pools d'adresses IP de leurs employés. En outre, certaines organisations ont mis en place des passerelles VPN supplémentaires pour répondre à la capacité de trafic requise.
VPN : la technologie n° 1 pour permettre l'accès
Les modifications apportées à l'infrastructure se sont déroulées très rapidement. La plupart des organisations ont modifié leur configuration VPN pour augmenter le pool IP ou ont créé des pools supplémentaires pour répondre aux besoins d'accès de tous les utilisateurs. En déployant un petit nombre de pools d'adresses IP d'accès à distance, tous les télétravailleurs ont obtenu le même accès réseau interne aux ressources. Ce qui était surprenant, cependant, était que même les organisations qui s'étaient mises à niveau vers les pare-feux de nouvelle génération (NGFW) ne les utilisaient pas pour offrir une meilleure sécurité et un meilleur contrôle aux utilisateurs distants se connectant via VPN.
1Contrôles bypass pour activer rapidement l'accès
Les modifications étant apportées rapidement, le moyen le plus simple d’activer un accès rapide consistait à accorder l’accès, quels que soient le rôle et le niveau d’autorisation « normal » d’un employé. De plus, la plupart des changements mis en œuvre n'ont pas suivi les procédures de changement et l'évaluation standard et n'ont pas été entièrement documentés. Enfin, de nombreux changements ont été effectués manuellement, entraînant une probabilité plus élevée d'erreur humaine et de mauvaise configuration.
En conséquence, le contrôle d'accès a été laissé aux autorisations et à l'authentification des utilisateurs spécifiques à l'application. Pour s'adapter aux changements du télétravail, les procédures de sécurité ont été affaiblies, tandis que les surfaces d'attaque ont augmenté.
Trois étapes fondamentales à réaliser
Sur la base de discussions avec plusieurs RSSI et hauts responsables de la cybersécurité, l'approche la plus réussie dans tous les domaines consiste à définir d'abord, puis à adhérer soigneusement à un cadre solide et exploitable basé sur trois pratiques distinctes.
Sécurisation de votre réseau pour la main-d'œuvre distante :
2Identifier, évaluer et hiérarchiser les risques
Pour améliorer la sécurité, les organisations conviennent généralement que la première priorité est d'identifier et d'évaluer les lacunes de sécurité et de hiérarchiser les risques. Les modifications apportées rapidement doivent être réévaluées pour réduire les risques, éviter les problèmes d'audit et rétablir la conformité.
- Identifiez les modifications apportées, par qui, la raison du changement et la visibilité du type d'accès au réseau dont disposent désormais les télétravailleurs.
- Déterminez si toutes les modifications d'accès étaient nécessaires. Pour les zones ou les actifs à haut risque, déterminez s'il existe une justification commerciale pour l'accès et si des règles d'accès sont utilisées.
- Évaluez le risque de changements. Mesurez les règles d'accès par rapport à la politique de sécurité de l’organisation pour déterminer l'impact sur la conformité.
3Exécutez des correctifs rapides
- Réévaluez les modifications d'accès à risque pour déterminer si toutes les modifications étaient nécessaires, pour évaluer s'il existe une justification à l'accès et si toutes les règles d'accès sont réellement utilisées. Cela garantit que les changements qui impliquent des actifs/zones sensibles passent par les processus d'analyse, de vérification et d'approbation des risques que vous avez définis.
- Renforcez les politiques d'accès à distance en exécutant l'optimisation ou le nettoyage des règles.
- Remplacez les règles trop permissives.
- Désactivez les règles inutilisées ou redondantes qui peuvent avoir été mises en œuvre à la hâte.
- Créez une stratégie de segmentation d'accès à distance de base pour différencier les utilisateurs distants en fonction des rôles/groupes/emplacements.
4Planifier l'avenir
Créez des politiques de segmentation plus granulaires en tirant parti de la technologie d'identité des utilisateurs. Cela permet d'appliquer des politiques de sécurité réseau basées sur l'identité et le contexte et moins sur les adresses IP, pour permettre l'accès des utilisateurs de n'importe où.
Appliquez des processus de recertification appropriés à toutes les règles de pare-feu modifiées pour vous assurer que les règles de pare-feu sont régulièrement recertifiées et sont toujours nécessaires à l'organisation.
Presque chaque changement d'accès au réseau implique une implémentation complexe dans plusieurs pare-feux, commutateurs et routeurs multifournisseurs, ainsi que des groupes de sécurité. L'exécution de ces tâches manuellement rend impossible la gestion des tickets en temps opportun sans exposer le réseau à des risques potentiels. Même si seulement 60 % des modifications sont automatisées, cela se traduira par des économies de temps et de coûts substantielles.
Aujourd'hui, dans ces circonstances uniques, plus que jamais, les organisations doivent faire plus avec moins : gérer les pénuries de ressources, réagir rapidement et faire face aux changements et aux problèmes dans un environnement en évolution rapide.
Il devient essentiel d'avoir des processus clairs, bien documentés et reproductibles avec une intervention manuelle minimale. En mettant en œuvre des pratiques éprouvées et hautement sécurisées pour accélérer les processus de changement dès aujourd'hui, votre organisation sera préparée et prête à gérer la prochaine crise.
Par Stéphane Hauray chez Tufin