| Risque cyber
Lumière sur le Shadow IT
Malgré la fin de la crise sanitaire, de nombreuses entreprises ont choisi de continuer d’exercer la totalité ou une partie de leur activité en télétravail. L’avenir semble donc toujours tendre vers l’évolution du nomadisme des collaborateurs et l’extension des parcs informatiques. La vision de la sécurité d’une organisation ne peut plus se limiter aux applications et matériels reconnus et encadrés par l’entreprise elle-même.
Business vs Sécurité
Depuis de nombreuses années, la sécurisation de l’environnement informatique et la sécurisation des informations semblent maîtrisées : mettre en place un pare-feu pour filtrer les flux en provenance et à destination d’Internet, héberger ses serveurs métiers et applicatifs au sein de son data center et/ou de son siège social, rediriger les flux web vers son proxy – pour y appliquer sa politique de sécurité, déployer automatiquement sa solution antivirus sur l’ensemble des postes de travail, configurer l’authentification sur ses prises réseaux murales et sur son hotspot Wi-Fi, mettre à disposition des utilisateurs une solution VPN pour se connecter à distance au réseau de l’entreprise, etc. Et, aujourd’hui, tous ces efforts ne sont pas à jeter à la poubelle, bien au contraire ! La sécurité périphérique reste toujours la pièce maîtresse vitale dans la sécurisation d’un système d’information (SI) – et le restera tant que nous ne connaîtrons pas de révolution technologique.
Néanmoins, la maîtrise de cette sécurisation se complexifie avec notamment l’arrivée d’une multitude d’offres Software as a Service (SaaS) – telles que Gmail, Google Drive, Teams pour l’espace de messagerie, Microsoft Office 365, la visioconférence avec par exemple Zoom, etc. En effet, si l’entreprise ne met pas à disposition de solutions efficaces et user-friendly face au panel de solutions SaaS déjà existantes, ses salariés peuvent être amenés à recourir à plusieurs alternatives accessibles facilement et gratuitement via leur navigateur web, créant une brèche pour leur données personnelles et la sécurisation des Systèmes d’Information. Ces solutions SaaS sont aujourd’hui autant présentes dans le cadre privé que professionnel des utilisateurs. Au-delà des problématiques de sécurité imposées par ces solutions, une interrogation sur le coût engendré par la non-utilisation des licences financées par l’entreprise est à garder en tête.
Les entreprises et organisations d’aujourd’hui font également face à un autre challenge : maîtriser les équipements utilisés pour travailler. Citons, par exemple, les collaborateurs qui privilégieraient leur ordinateur personnel pour des raisons de confort et de facilité d’accès (Bring Your Own Device – BYOD). La standardisation du télétravail n’en est pas moins concernée car de nouvelles habitudes de travail et d’organisation ont vu le jour sur les smartphones personnels des salariés devenant des failles potentielles : consultation de ses e-mails, d’un document interne dans les transports en commun, échange sur une messagerie avec un collègue pour avoir son feedback sur la dernière réunion client, etc. Il est devenu plus délicat que jamais de ne pas se perdre dans la complexité et la diversité de sécurisation qu’engendrent ces nouveaux comportements que l’on peut regrouper sous le terme de Shadow IT.
Sortir de l’ombre
Pour réussir ce challenge 2.0, les utilisateurs ne sont pas les seuls privilégiés : les administrateurs et experts en sécurité disposent eux aussi de nouvelles solutions de sécurisation. À commencer par le principe de zéro confiance – nommé Zero Trust Network Access (ZTNA) – pour gagner en visibilité sur les applications on-premise et/ou hébergées (chez Azure, AWS ou GCP par exemple) de l’entreprise. Il s’agit, ici, de valider l’accès en local ou à distance aux applications – en demandant systématiquement une authentification poussée : lieu de connexion, adresse IP, conformité de l’équipement qui se connecte, token… Exit donc la possibilité aux usagers de se connecter avec leurs smartphones personnels sur des applications internes. Contrairement aux VPNs qui donnent accès à une plage réseau entière, une solution ZTNA limite la zone d’accès de l’utilisateur à la seule application concernée. Ce cloisonnement protège d’une potentielle attaque par compromission de compte utilisateur (exposition d’un seul service, évite les mouvements latéraux des acteurs malveillants). De plus, les VPNs souffrent de leur architecture dite centralisée (congestion réseau en fonction d’un nombre important d’utilisateurs connectés), là où le ZTNA offrira de meilleures performances – car indépendant d’un tunnel chiffré.
Un autre outil baptisé Secure Web Gateway (SWG) peut être mis en place pour gagner en visibilité sur l’ensemble du trafic des périphériques (smartphones, tablettes, PC) de l’entreprise. Il peut être déployé sous la forme d’un proxy et/ou d’un logiciel installé sur le poste de travail. Le SWG intercepte l’ensemble des requêtes web de l’utilisateur pour y appliquer des politiques de filtrage définies par la structure. Bien que ce rôle soit porté par le pare-feu interne de l’entreprise, le filtrage du SWG permet d’appliquer une politique de filtrage (URL par exemple) sur le trafic dit Shadow IT. Puisque l’ensemble de ce trafic qui ne passe pas par le réseau interne de l’entreprise est intercepté, d’autres mécanismes de sécurisation peuvent y être ajoutés comme le Data Loss Prevention (DLP) afin de prévenir toute fuite de données sensibles. L’envoi d’un document confidentiel vers un e-mail non professionnel, par exemple, pourra ainsi être détecté et stoppé.
Concernant les applications SaaS de l’entreprise, les solutions Cloud Access Security Brocker (CASB) permettent la connexion via des plugins à de nombreux acteurs SaaS du marché – pour gagner en visibilité et en contrôle sur celles-ci. Grâce à l’ensemble de ces outils, regroupés par le Gartner sous l’appellation de Secure Access Service Edge (SASE), il est possible de faire sortir de l’ombre :
- L’ensemble des données sur les périphériques dits corporate (SWG) ;
- L’ensemble des données entrantes et sortantes des applications on-premise et/ou hébergés chez un Cloud Provider (ZTNA) ;
- L’ensemble des données sur les applications SaaS de l’entreprise (CASB).
Faire sortir de l’ombre ces données permet d’en améliorer la maîtrise et garantir la sécurité de l’entreprise. Mais il est avant tout important de comprendre les différents besoins utilisateurs et cerner les raisons pour lesquelles ceux-ci se tournent parfois vers des solutions non validées présentant des failles potentielles ou inconnues des équipes de sécurité informatique. Pour que la sécurité soit un enjeu commun, il est crucial de mettre en place une véritable sensibilisation informatique à l’attention de l’ensemble des utilisateurs !
Vincent Guariniello
Consultant Sécurité Opérationnelle