La sécurisation des accès à distance permet aux utilisateurs et aux appareils d’accéder en toute sécurité aux ressources internes depuis l'extérieur du réseau de l’entreprise.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
La sécurisation des accès à distance (parfois appelée « accès à distance sécurisé ») comprend des technologies et des processus qui permettent de garantir que seuls les utilisateurs et les appareils autorisés accèdent aux ressources internes depuis l'extérieur du réseau de l'entreprise. Avec l'expansion du télétravail et du travail hybride, la sécurisation des accès à distance a gagné en importance.
De nombreuses entreprises ont mis en œuvre des fonctionnalités de sécurisation des accès à distance dans le cadre d'une transformation plus large de la sécurité. Par le passé, la sécurité des entreprises avaient souvent recours au modèle du « château entouré de douves »: toute personne à l'intérieur du réseau (le « château ») pouvait accéder librement aux données, aux applications et à d'autres ressources. La sécurité périmétrique (qui comprenait les « douves ») empêchait d'autres personnes d'entrer et empêchait l'accès aux ressources, à moins que les gardes ne décident d'abaisser le pont-levis.
Le quotidien des entreprises est désormais caractérisé par un grand nombre de collaborateurs travaillant en dehors de l'enceinte du château. Le déploiement de fonctionnalités de sécurisation des accès à distance dans le cadre d'un modèle de sécurité Zero Trust permet à ces entreprises de mieux prendre en charge les utilisateurs à distance, sans mettre en danger les applications et les données.
La sécurisation des accès à distance peut faire appel à plusieurs fonctionnalités, parmi lesquelles :
Les équipes informatiques ou de sécurité peuvent définir des politiques qui accordent aux utilisateurs l'accès à des ressources particulières en fonction de leurs rôles. Par exemple, un membre de l'équipe financière travaillant à domicile peut avoir accès au logiciel de comptabilité, mais pas au système de gestion de contenu (CMS) utilisé pour modifier le site web de l'entreprise. Les politiques d'accès basées sur les rôles suivent le principe du moindre privilège, selon lequel les utilisateurs ne doivent avoir accès qu'à ce dont ils ont absolument besoin pour effectuer leur travail, et rien de plus.
Ces politiques permettent de prévenir les menaces internes et peuvent limiter les dégâts en cas de violations par des acteurs malveillants externes ; si un voleur obtient les informations d'identification d'un employé, il ne pourra accéder qu'à une sélection limitée de ressources.
La sécurisation des accès à distance ne devrait pas se limiter à de simples noms d'utilisateur et mots de passe. La plupart des mises en œuvre de sécurité des accès à distance comprennent l'authentification multifacteur (MFA), qui impose aux utilisateurs une vérification de leur identité avec un ou deux facteurs d'authentification supplémentaires. Les utilisateurs peuvent avoir besoin d'utiliser un code à usage unique envoyé par texte, d'une clé USB physique ou d'une fonction de reconnaissance faciale. La MFA permet de garantir que les mots de passe volés ne permettent pas à eux seuls aux criminels d'accéder aux réseaux de l'entreprise.
La sécurisation de l'accès à distance peut également inclure des politiques d'authentification adaptative ou d'accès conditionnel. Par exemple, si une personne se connecte depuis un emplacement inhabituel, il peut lui être demandé de s'authentifier à nouveau avant de pouvoir accéder aux ressources. Si elle se rend dans un pays présentant un risque élevé de cyberattaques, il peut lui être interdit d'accéder à des systèmes très sensibles.
Certaines entreprises continuent d'employer des services traditionnels de réseau privé virtuel (VPN). Cependant, la sécurisation des accès à distance est mieux servie par la technologie d'accès réseau Zero Trust (ZTNA), un élément essentiel de tout modèle de sécurité Zero Trust. Les services VPN fonctionnent de manière similaire au modèle obsolète du « château entouré de douves » : une fois que les utilisateurs se connectent, ils ont le champ libre au sein d'un réseau d'entreprise. En revanche, le ZTNA ne donne aux utilisateurs et appareils connectés que les ressources qu'ils ont demandées et auxquelles ils sont autorisés à accéder.
Pour les utilisateurs distants, le fait de devoir se connecter à plusieurs applications séparément peut sérieusement ralentir les flux de travail. La fonctionnalité d'authentification unique (SSO) permet aux utilisateurs de se connecter une seule fois pour accéder à plusieurs logiciels en tant que service (SaaS) et sur l'application sur site.
Les outils qui surveillent et analysent le comportement des utilisateurs et des appareils, et signalent les comportements atypiques ou potentiellement dangereux peuvent être bénéfiques à la sécurisation des accès à distance. Par exemple, les entreprises peuvent adopter des fonctionnalités d'analyse comportementale des utilisateurs et des entités (UEBA), des plateformes Secure Service Edge (SSE), des systèmes de gestion des informations et événements de sécurité (SIEM) et des fonctionnalités étendues de détection et de réponse (XDR). Lorsqu'ils identifient des comportements atypiques, ces outils peuvent bloquer automatiquement l'accès aux ressources, alerter les administrateurs ou déclencher d'autres réponses.
La sécurisation des accès à distance est essentielle pour toute entreprise dont certains des utilisateurs accèdent à des ressources internes depuis l'extérieur du périmètre de sécurité de l'entreprise, par exemple des :
Les fonctionnalités de sécurité des accès à distance aident les entreprises à renforcer leur stratégie de sécurité globale, tout en favorisant une plus grande flexibilité dans le travail. Correctement mises en œuvre, elles permettent aux entreprises de :
L'efficacité d'une solution de sécurisation des accès à distance dépend en grande partie de sa mise en œuvre. Si une entreprise ne parvient pas à mettre en œuvre les fonctionnalités essentielles ou si elle n'envisage pas l'accès à distance selon un cadre de sécurité plus vaste, elle risque de subir des failles de sécurité, de frustrer les utilisateurs et d'ajouter de la complexité pour les administrateurs.
Les entreprises peuvent se heurter aux problèmes suivants :
Les entreprises qui continuent d'utiliser des services VPN traditionnels pour sécuriser les accès à distance laissent une trop grande partie de leur réseau exposée. Si un acteur malveillant vole les identifiants VPN d'un employé, il est en mesure d'accéder à l'ensemble du réseau de l'entreprise. Le modèle ZTNA constitue une meilleure solution que les VPN car il limite l'accès au réseau en fonction du rôle et des privilèges d'un employé.
La MFA peut être frustrante si les utilisateurs sont constamment invités à se soumettre à une vérification de leur identité et ce de plusieurs manières. Pour améliorer l'expérience utilisateur, les administrateurs peuvent mettre en œuvre une authentification adaptative afin de limiter la MFA à des situations particulières (par exemple lorsque les utilisateurs travaillent en dehors de leurs lieux habituels) et appliquer une connexion SSO pour réduire le nombre de demandes d'authentification.
Il arrive que des entreprises se procurent de nombreuses solutions ou services auprès de plusieurs fournisseurs. La gestion n'en est que plus complexe et les failles de sécurité plus probables. La mise en œuvre de fonctionnalités de sécurisation des accès à distance au sein d'une plateforme unique peut réduire, voire éliminer ces difficultés.
Les fonctionnalités de sécurisation des accès à distance sont conçues pour répondre aux besoins des utilisateurs et des appareils fonctionnant au-delà du périmètre du réseau de l'entreprise. De nombreuses organisations ont toutefois besoin de gérer l'accès des entités au sein du réseau également. La plupart des organisations ont tout intérêt à mettre en œuvre des outils capables de gérer les utilisateurs et les appareils, où qu'ils se trouvent.
Les fonctionnalités d'accès à distance contribuent à un modèle Zero Trust en vérifiant les personnes et les appareils qui opèrent en dehors du réseau de l'entreprise. Cependant, les fonctionnalités d'accès à distance ne suffisent pas pour une mise en œuvre complète du Zero Trust. Les entreprises doivent compléter la sécurisation des accès à distance par des fonctionnalités permettant de vérifier les entités au sein du réseau.
Le modèle ZTNA permet d'accorder aux utilisateurs et aux appareils un accès aux applications, qu'ils se trouvent à l'intérieur ou à l'extérieur du périmètre de l'entreprise. En plus de vérifier l'identité et le rôle de l'utilisateur, le ZTNA évalue l'appareil, la localisation de l'utilisateur, le moment et la fréquence des demandes, les applications et les données demandées, ainsi que d'autres facteurs.
Les solutions ZTNA offrent plusieurs fonctionnalités supplémentaires, également essentielles à la sécurisation des accès à distance. Par exemple, elles peuvent offrir des fonctionnalités d'authentification multifacteur, en plus d'une intégration avec les fournisseurs d'identité (IdP), les plateformes SSO ou les deux. Avec une solution ZTNA adaptée, les entreprises peuvent renforcer la vérification des entités, tout en simplifiant l'expérience utilisateur.
La gestion des identités et des accès (IAM) vérifie les identités des utilisateurs et contrôle leurs privilèges. Elle peut être assurée par un produit unique ou par une combinaison de processus, d'application, de services cloud et d'équipements.
Les IAM des identités et des accès sont une composante de la sécurisation des accès à distance. Cependant, si la sécurité des accès à distance se concentre sur les utilisateurs distants, l'IAM quant à elle peut être utilisé pour tous les utilisateurs, où qu'ils travaillent.
Le service ZTNA de Cloudflare permet aux entreprises de mettre en place des mesures de sécurisation des accès à distance dans le cadre de leur modèle de sécurité Zero Trust. Les employés en télétravail, les employés en déplacement, les sous-traitants et les partenaires peuvent se connecter en toute sécurité aux ressources de l'entreprise depuis n'importe quel endroit, que les ressources se trouvent dans les datacenters de l'entreprise ou dans le cloud. En savoir plus sur Cloudflare Access.