Les solutions de gestion des identités et des accès (IAM) protègent les données de l'entreprise même lorsque les employés ne sont pas présents dans les locaux.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !
Copier le lien de l'article
Dans un environnement de travail sur site, les équipes informatiques de l'entreprise sont généralement responsables de la sécurité du réseau et des dispositifs permettant d'y accéder. En outre, les équipes de sécurité contrôlent les accès aux bureaux et aux infrastructures internes.
Toutefois, avec l'essor de l'informatique en cloud, le travail à distance est de plus en plus répandu. Les opérations réalisées dans le cloud peuvent l'être n'importe où, puisque celui-ci est accessible par Internet et non via un réseau interne. Si une entreprise a recours au cloud, ses équipes peuvent travailler partout dans le monde. Le télétravail est également de plus en plus répandu, même dans les entreprises qui ne sont pas passées au cloud. De nombreuses entreprises permettent à leurs employés d'accéder à leur poste de travail à distance, soit par Internet, soit par l'intermédiaire d'un réseau privé virtuel (VPN).
Le télétravail contribue souvent à rendre les entreprises plus efficaces et plus flexibles, mais il peut aussi poser un certain nombre de problèmes en ce qui concerne la protection des données internes confidentielles. Voici quelques-uns des principaux problèmes qui se posent :
Les postes de travail des employés peuvent être vulnérables. Les services informatiques ne peuvent pas assurer directement la maintenance des ordinateurs portables, des ordinateurs de bureau et des autres appareils qu'utilisent les travailleurs à distance. Les employés utilisent souvent leurs propres appareils.
L'autorisation d'accès aux données repose sur la vérification de l'identité, que les acteurs malveillants peuvent falsifier dans le cadre d'attaque par usurpation de compte. Les attaques par phishing, par bourrage d'identifiants (Credential Stuffing), et par tentative de connexion par force brute ne sont que trop répandues, et toutes peuvent permettre de pirater le compte d'un employé.
Les données peuvent transiter par des réseaux non sécurisés. L'utilisation d'Internet implique l'existence d'un risque d'interception des données en transit par des acteurs malveillants lorsque ces dernières parcourent les différentes connexions réseau. Ce risque augmente lorsque les collaborateurs en télétravail utilisent des réseaux Wi-Fi non sécurisés ou vulnérables (par exemple, si l'un d'entre eux se sert de son ordinateur portable professionnel dans un café qui propose le Wi-Fi gratuit ou si son réseau Wi-Fi personnel est protégé par un mot de passe trop faible).
| Difficulté liée à la sécurité | Description du risque | Solution/atténuation |
| Vulnérabilité des points de terminaison | Les services informatiques ne peuvent pas assurer directement la maintenance des ordinateurs portables et des appareils utilisés par les collaborateurs à distance | Protection des points de terminaison, anti-logiciel malveillant, isolement de navigateur à distance (RBI) |
| Vérification d’identité | Phishing, bourrage d’identifiants, tentative de connexion par force brute | Authentification multifactorielle (MFA) |
| Réseaux non sécurisés | Les données transitent par le réseau Wi-Fi public, où elles risquent d’être interceptées | Des SWG pour bloquer les sites malveillants et chiffrer le trafic |
| Gestion des accès | De nombreuses applications SaaS entraînent une prolifération et des politiques de sécurité incohérentes | L'authentification unique (SSO) |
| Limites de sécurité des VPN | Les modèles de sécurité de type « château entouré de douves » sont vulnérables | Accès réseau Zero Trust (ZTNA) |
Diverses technologies de gestion des identités et des accès (IAM) peuvent contribuer à limiter ces risques et à préserver la sécurité des employés travaillant à distance tout en protégeant les données confidentielles de l'entreprise.
Passerelle de web sécurisée : les passerelles web sécurisées sont déployées entre les collaborateurs internes d'une entreprise et l'Internet non sécurisé. Elles filtrent les contenus à risque présents dans le trafic web afin d'arrêter les menaces et d'éviter les pertes de données ; elles peuvent, par exemple, empêcher le personnel de consulter les sites web HTTP non chiffrés qui transmettent des données en texte clair sur le web.Elles peuvent également bloquer les utilisateurs à risque ou non autorisés.Les passerelles web sécurisées permettent de protéger à la fois le personnel travaillant sur site et à distance.
Les passerelles Web sécurisées utilisent le filtrage DNS ou le filtrage URL pour bloquer les sites Web malveillants, la protection anti-malware pour empêcher la compromission des points de terminaison, la prévention des pertes de données pour détecter les fuites de données, et d'autres formes de prévention des menaces. Cloudflare Gateway, par exemple, utilise l' isolation du navigateur pour protéger les points d'extrémité des employés contre les JavaScript malveillants.
Contrôle d'accès : Les solutions de contrôle de l'accès permettent de surveiller les utilisateurs et de gérer leur accès aux systèmes et aux données, ce qui permet d'éviter les fuites de données. La mise en place d'une solution de contrôle des accès permet de faire en sorte que les employés n'aient pas un accès trop étendu aux systèmes de l'entreprise, et qu'aucun tiers non autorisé n'y ait accès.
Authentification unique (SSO) : Les employés travaillant à distance utilisent souvent des applications SaaS au lieu d'applications installées sur leurs appareils, et ils accèdent à ces applications via un navigateur. Toutefois, le fait de se connecter à chacune de ces applications séparément les pousse à utiliser des mots de passe moins sûrs et complique la gestion de l'accès pour les services informatiques. Le SSO permet aux employés de se connecter à toutes leurs applications SaaS en une fois à partir d'un seul écran de connexion. Cela facilite le contrôle par mot de passe puisque celui-ci a lieu à un seul endroit, et permet aux services informatiques d'ajouter ou de supprimer des accès aux applications à partir d'un point unique, selon les besoins.
Authentification multi-facteurs (MFA) : Il est essentiel de disposer d'un système d'authentification des utilisateurs efficace pour mettre en place une politique de sécurité en matière de travail à distance, car il est impossible de vérifier l'identité d'un employé par sa présence physique dans le bureau. Même les mots de passe les plus sûrs peuvent être compromis, mais la MFA réduit le risque de vol de compte même si un attaquant obtient le mot de passe d'un employé. En imposant au moins un autre moyen d'authentification en plus du mot de passe, la MFA fait qu'un attaquant doit utiliser au moins deux méthodes au lieu d'une pour prendre le contrôle d'un compte. Cette étape supplémentaire réduit considérablement les risques d'attaques.
Par exemple, si le compte de messagerie professionnel de Bob exige que ce dernier saisisse à la fois un mot de passe et un code sur un porte-clés électronique pour se connecter, un pirate devrait à la fois voler numériquement son mot de passe et physiquement son porte-clés pour pouvoir s'emparer de son compte. Il est peu probable qu'une attaque de ce type réussisse.
Cloudflare Zero Trust est une plateforme conçue pour contribuer à préserver la sécurité des équipes distantes. La solution déploie le réseau périphérique mondial de Cloudflare devant les applications internes, même celles qui se trouvent sur site. Cloudflare Zero Trust permet aux entreprises de déployer des solutions de sécurité Zero Trust afin de protéger leurs données et de s'assurer qu'aucun utilisateur ne puisse y accéder sans autorisation.
Cloudflare Gateway fait également partie de la suite de produits Cloudflare Zero Trust. Cloudflare Gateway permet d'avoir une bonne visibilité sur le trafic Internet, de filtrer les sites Web à risque ou interdits grâce au filtrage par DNS et d'utiliser l'isolation de navigateur à distance pour lutter contre les codes malveillants qui s'exécutent dans le navigateur. Cloudflare Gateway et Cloudflare Zero Trust sont deux solutions de sécurité réseau qui ont été conçues pour effectuer toutes ces opérations sans nuire aux performances.
Lorsque les employés travaillent à distance, leurs appareils peuvent être vulnérables, car les équipes informatiques ne peuvent pas les gérer directement. En outre, la vérification de l'identité des utilisateurs devient plus difficile et ouvre la porte à diverses attaques par usurpation de compte, telles que le phishing et le bourrage d'identifiants. La transmission de données sur des réseaux non sécurisés présente également un risque, surtout si les employés utilisent le WiFi public ou des mots de passe faibles pour le réseau domestique.
Les organisations peuvent atténuer ces risques en mettant en œuvre des technologies de gestion des identités et des accès (IAM). Il peut s'agir de passerelles web sécurisées, de solutions de contrôle des accès, de fonctionnalités d'authentification unique (SSO) et d'authentification multifacteur (MFA).
Une passerelle web sécurisée agit comme un intermédiaire entre les employés et Internet, séparant les contenus nuisibles du trafic web pour prévenir les cybermenaces et les violations de données. Elle peut également empêcher les employés d'adopter des comportements en ligne à risque. Ces passerelles protègent à la fois le personnel sur site et les collaborateurs en télétravail à l'aide de techniques telles que le filtrage DNS, le filtrage d'URL, la protection anti-logiciel malveillant et la prévention des pertes de données.
Une authentification forte des utilisateurs est cruciale pour le télétravail, car la présence physique au bureau ne peut pas vérifier l'identité d'un employé. Même si un attaquant obtient le mot de passe d'un employé, la MFA réduit considérablement le risque de compromission de compte en exigeant une forme de vérification supplémentaire. Les attaques ont ainsi beaucoup moins de chance de réussir.
Le SSO simplifie l'accès pour les télétravailleurs qui utilisent fréquemment diverses applications basées sur le cloud. Au lieu de mémoriser plusieurs mots de passe, les employés peuvent se connecter à toutes leurs applications depuis un seul écran. Cela simplifie l'application de la politique de mots de passe pour l'informatique et permet une gestion plus facile de l'accès aux applications.
La plateforme Zero Trust de Cloudflare est conçue pour sécuriser les équipes distantes en étendant le réseau périphérique mondial de Cloudflare aux applications internes, y compris à celles hébergées sur site. Cela permet aux entreprises d'adopter un modèle de sécurité Zero Trust, apportant la garantie qu'aucun utilisateur, peu importe sa localisation, n'accède sans autorisation aux données sensibles.
Cloudflare Gateway fait partie intégrante de la suite de produits Cloudflare Zero Trust. Il fournit une visibilité sur le trafic Internet, bloque les sites web dangereux ou interdits grâce au filtrage DNS et utilise l'isolement du navigateur à distance pour protéger les appareils des employés contre le code malveillant rencontré dans les navigateurs web. Ces fonctionnalités sont fournies sans compromettre les performances.