Télétravail et sécurité informatique

Télétravail et nomadisme numérique : la sécurité informatique en facteur-clé de succès

Comme nous avons pu le voir, le développement du télétravail et du nomadisme numérique s’accélèrent. Selon une étude Randstad, près de deux salariés français sur trois sont favorables à cette forme de travail : gain de temps, productivité et motivation en hausse, autonomie et responsabilisation. Le télétravail permet souvent un meilleur équilibre entre vie personnelle et vie professionnelle. Les employeurs sont de moins en moins frileux et prêts à avancer en ce sens. Mais au-delà des bonnes volontés, l’aspect technique est d’une importance cruciale pour la réussite du projet.

Pour s’engager sur cette voie, l’entreprise doit notamment fournir au salarié le matériel informatique et les logiciels nécessaires à l’exercice de ses fonctions. Cette mise à disposition est facilitée aujourd’hui par l’évolution technologique : des ordinateurs portables performants, des logiciels dans le cloud en mode SAAS pour encourager la collaboration, des outils de visioconférence légers et fonctionnels pour favoriser les échanges.

Choisir des solutions et garantir la sécurité informatique des données de l'entreprise

Le lieu de connexion du travailleur, qu’il soit nomade ou en situation de télétravail, est le premier environnement de risque : perte ou vol de matériel, compromission du matériel ou des informations contenues sur le matériel, accès illégitime au SI de l’entreprise, interception ou altération des informations (perte de confidentialité, d’intégrité). Les lieux complètement ouverts au public représentent le plus fort risque : cafés, hôtels, zones d’attente pour les transports en commun… Mais le domicile du « télétravailleur » ou l’espace de coworking présentent également un très haut niveau de risque, et quoiqu’il en soit toujours supérieur à celui encouru sur le site de l’entreprise.

Ensuite, intervient la protection de l’architecture globale d’un utilisateur nomade. Cette architecture se compose des éléments suivants :

  • L’utilisateur nomade
  • L’équipement d’accès ou poste de travail
  • Le canal d’interconnexion
  • La passerelle d’interconnexion ;
  • Les ressources accessibles par les équipements nomades dans le système d’information interne de l’entreprise
Architecture globale du nomadisme – Source Guide de recommandation sur le nomadisme numérique ANSSI
Architecture globale du nomadisme – Source : Guide de recommandation sur le nomadisme numérique ANSSI

Chaque élément doit faire l’objet d’une attention spécifique pour prévoir les mécanismes de protection adaptés et réduire les risques d’attaques potentielles.

L’utilisateur nomade : certaines catégories d’utilisateurs et certaines applications, du fait de leur sensibilité, doivent être exclues du périmètre du nomadisme. Chaque utilisateur devra être formé et sensibilisé pour limiter au maximum les situations de risque. Et idéalement, un équipement d’accès dédié sera attribué à un seul et unique utilisateur pour mieux maîtriser le risque.

L’équipement d’accès : que le terminal soit un ordinateur portable, une tablette ou un smartphone, Il est nécessaire de maîtriser complètement l’ensemble des équipements sur lesquels les utilisateurs nomades se connectent. Dans ce cadre, l’utilisation d’équipements personnels est à proscrire pour faciliter et fiabiliser le travail des équipes informatiques. Au-delà de cette première précaution indispensable, il est également nécessaire de prévoir les protections physiques pour limiter les vols et indiscrétions (filtre écran, verrou de ports, câble antivol) et de protéger au maximum les accès : contrôle d’intégrité au démarrage, chiffrement des disques, maîtrise de la connexion de supports amovibles, interdiction pour l’opérateur d’apporter des modifications aux moyens de connexion, verrouillage automatique de session en cas d’inactivité.

Le canal d’interconnexion : il s’agit du lien entre l’équipement d’accès et le SI de l’entreprise. Il est composé de :

  • Un client logiciel situé sur l’équipement d’accès (client VPN 16) ;
  • Un tunnel d’interconnexion VPN ;
  • Un équipement de terminaison VPN.
Schéma général de connexion VPN nomade – Source : Guide de recommandation sur le nomadisme numérique ANSSI
Schéma général de connexion VPN nomade – Source : Guide de recommandation sur le nomadisme numérique ANSSI

Tous les flux en provenance et à destination de l’équipement d’accès doivent être maîtrisés. Il est donc important d’utiliser des mécanismes robustes de chiffrement, d’authentification et d’intégrité pour la mise en place du canal d’interconnexion d’un équipement d’accès nomade. Il est également impératif que l’utilisateur nomade ne puisse pas utiliser sa connexion réseau locale pour d’autres flux que ceux nécessaires à l’établissement du tunnel VPN.

Les authentifications : L’objectif est de s’assurer d’une part que l’utilisateur nomade est bien connecté sur un poste maîtrisé par l’entité, et d’autre part de vérifier l’identité et les droits d’accès de l’utilisateur avant sa connexion au SI interne de l’entreprise. Plusieurs authentifications sont donc requises. En premier lieu l’utilisateur doit être authentifié sur son équipement d’accès, au démarrage de celui-ci.

Ensuite, l’équipement d’accès et l’utilisateur nomade doivent s’authentifier sur le SI de l’entité.

La DMZ correspond à un sous-réseau, séparé du réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet, et qui n'ont pas besoin d'accéder au réseau local. Les services susceptibles d'être accédés depuis Internet seront situés en DMZ, et tous les flux en provenance d'Internet sont redirigés par défaut vers la DMZ par le firewall. Le pare-feu bloquera donc les accès au réseau local à partir de la DMZ pour garantir la sécurité. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local. Il est donc conseillé de prévoir des équipements physiquement dédiés au nomadisme dans la DMZ entrante ou a minima un cloisonnement logique performant.

Les ressources du système d’information de l’entreprise :  il est important de ne pas exposer d'applications métiers directement sur Internet pour conserver la maîtrise de l’information et le besoin de confidentialité. La connexion aux différentes applications métiers ne doit être possible que depuis le tunnel VPN, y compris la messagerie et malgré une demande importante et insistante des utilisateurs. Il en est de même pour les applications internes déployées dans le Cloud.

Les risques sont donc à la fois nombreux et complexes à prévenir. Vous souhaitez mettre en place une organisation en télétravail ? Vous aimeriez préparer un plan d’action pour avoir une vue opérationnelle facile à suivre ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *