Les solutions de gestion des identités et des accès (IAM) protègent les données de l'entreprise même lorsque les employés ne sont pas présents dans les locaux.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Dans un environnement opérationnel sur site, les équipes informatiques d'une entreprise sont généralement responsables de la sécurité du réseau et des équipements utilisés pour accéder à celui-ci. Par ailleurs, les équipes de sécurité contrôlent les accès aux bureaux et aux infrastructures internes.
Toutefois, avec l'essor de l'informatique en cloud, le travail à distance est de plus en plus répandu. Les opérations réalisées dans le cloud peuvent l'être n'importe où, puisque celui-ci est accessible par Internet et non via un réseau interne. Si une entreprise a recours au cloud, ses équipes peuvent travailler partout dans le monde. Le télétravail est également de plus en plus répandu, même dans les entreprises qui ne sont pas passées au cloud. De nombreuses entreprises permettent à leurs employés d'accéder à leur poste de travail à distance, soit par Internet, soit par l'intermédiaire d'un réseau privé virtuel (VPN).
Le télétravail contribue souvent à rendre les entreprises plus efficaces et plus flexibles, mais il peut aussi poser un certain nombre de problèmes en ce qui concerne la protection des données internes confidentielles. Voici quelques-uns des principaux problèmes qui se posent :
Les postes de travail des employés peuvent être vulnérables. Les services informatiques ne peuvent pas assurer directement la maintenance des ordinateurs portables, des ordinateurs de bureau et des autres appareils qu'utilisent les travailleurs à distance. Les employés utilisent souvent leurs propres appareils.
L'autorisation d'accès aux données repose sur la vérification de l'identité, que les acteurs malveillants peuvent falsifier dans le cadre d'attaque par usurpation de compte. Les attaques par phishing, par bourrage d'identifiants (Credential Stuffing), et par tentative de connexion par force brute ne sont que trop répandues, et toutes peuvent permettre de pirater le compte d'un employé.
Les données peuvent circuler sur des réseaux non sécurisés. Le recours à Internet signifie qu'il existe un risque que des pirates interceptent des données en transit lorsqu'elles circulent sur différents réseaux. Ce risque augmente lorsque des employés travaillant à distance utilisent des réseaux WiFi non sécurisés ou vulnérables - par exemple, si l'un d'entre eux se sert de son ordinateur portable professionnel dans un café qui propose du WiFi gratuit, ou si son réseau WiFi personnel est protégé par un mot de passe trop faible.
Diverses technologies de gestion des identités et des accès (IAM) peuvent contribuer à limiter ces risques et à préserver la sécurité des employés travaillant à distance tout en protégeant les données confidentielles de l'entreprise.
Passerelle de web sécurisée : les passerelles web sécurisées sont déployées entre les collaborateurs internes d'une entreprise et l'Internet non sécurisé. Elles filtrent les contenus à risque présents dans le trafic web afin d'arrêter les menaces et d'éviter les pertes de données ; elles peuvent, par exemple, empêcher le personnel de consulter les sites web HTTP non chiffrés qui transmettent des données en texte clair sur le web.Elles peuvent également bloquer les utilisateurs à risque ou non autorisés.Les passerelles web sécurisées permettent de protéger à la fois le personnel travaillant sur site et à distance.
Les passerelles Web sécurisées utilisent le filtrage DNS ou le filtrage URL pour bloquer les sites Web malveillants, la protection anti-malware pour empêcher la compromission des points de terminaison, la prévention des pertes de données pour détecter les fuites de données, et d'autres formes de prévention des menaces. Cloudflare Gateway, par exemple, utilise l' isolation du navigateur pour protéger les points d'extrémité des employés contre les JavaScript malveillants.
Contrôle d'accès : Les solutions de contrôle de l'accès permettent de surveiller les utilisateurs et de gérer leur accès aux systèmes et aux données, ce qui permet d'éviter les fuites de données. La mise en place d'une solution de contrôle des accès permet de faire en sorte que les employés n'aient pas un accès trop étendu aux systèmes de l'entreprise, et qu'aucun tiers non autorisé n'y ait accès.
Authentification unique (SSO) : Les employés travaillant à distance utilisent souvent des applications SaaS au lieu d'applications installées sur leurs appareils, et ils accèdent à ces applications via un navigateur. Toutefois, le fait de se connecter à chacune de ces applications séparément les pousse à utiliser des mots de passe moins sûrs et complique la gestion de l'accès pour les services informatiques. Le SSO permet aux employés de se connecter à toutes leurs applications SaaS en une fois à partir d'un seul écran de connexion. Cela facilite le contrôle par mot de passe puisque celui-ci a lieu à un seul endroit, et permet aux services informatiques d'ajouter ou de supprimer des accès aux applications à partir d'un point unique, selon les besoins.
Authentification multi-facteurs (MFA) : Il est essentiel de disposer d'un système d'authentification des utilisateurs efficace pour mettre en place une politique de sécurité en matière de travail à distance, car il est impossible de vérifier l'identité d'un employé par sa présence physique dans le bureau. Même les mots de passe les plus sûrs peuvent être compromis, mais la MFA réduit le risque de vol de compte même si un attaquant obtient le mot de passe d'un employé. En imposant au moins un autre moyen d'authentification en plus du mot de passe, la MFA fait qu'un attaquant doit utiliser au moins deux méthodes au lieu d'une pour prendre le contrôle d'un compte. Cette étape supplémentaire réduit considérablement les risques d'attaques.
Par exemple, si le compte de messagerie professionnel de Bob exige que ce dernier saisisse à la fois un mot de passe et un code sur un porte-clés électronique pour se connecter, un pirate devrait à la fois voler numériquement son mot de passe et physiquement son porte-clés pour pouvoir s'emparer de son compte. Il est peu probable qu'une attaque de ce type réussisse.
Cloudflare Zero Trust est une plateforme conçue pour contribuer à préserver la sécurité des équipes distantes. La solution déploie le réseau périphérique mondial de Cloudflare devant les applications internes, même celles qui se trouvent sur site. Cloudflare Zero Trust permet aux entreprises de déployer des solutions de sécurité Zero Trust afin de protéger leurs données et de s'assurer qu'aucun utilisateur ne puisse y accéder sans autorisation.
Cloudflare Gateway fait également partie de la suite de produits Cloudflare Zero Trust. Cloudflare Gateway permet d'avoir une bonne visibilité sur le trafic Internet, de filtrer les sites Web à risque ou interdits grâce au filtrage par DNS et d'utiliser l'isolation de navigateur à distance pour lutter contre les codes malveillants qui s'exécutent dans le navigateur. Cloudflare Gateway et Cloudflare Zero Trust sont deux solutions de sécurité réseau qui ont été conçues pour effectuer toutes ces opérations sans nuire aux performances.