MFA : Télétravail & Cybersécurité

De nouvelles menaces

La période pandémique a induit une augmentation considérable de la pratique du télétravail, et celle-ci a ouvert un nouveau paradigme avec lequel les entreprises et leur équipe IT devront cohabiter durablement notamment sur les aspects de Cybersécurité. Ces nouvelle habitudes ont  également augmenté la surface d’exposition aux Cybermenaces.

De plus, les nouveaux usages autour du cloud, facilitant les échanges de données entre collaborateurs par abstraction de la localisation de ceux-ci ont pu aussi inciter des comportements différents des utilisateurs.

Par exemple, la réception d’un e-mail formaté comme lien de partage de fichier n’est pas rare, et peut amener le collaborateur à divulguer au travers de ce lien des informations permettant l’accès aux SI ou bien à exfiltrer des données.

La concomitance de ces deux phénomènes, le télétravail et les habitudes de partage de données, engendrent d’autres typologies d’attaques et rendent le SI plus vulnérable.

Une authentification à plusieurs facteurs

Il existe cependant des mesures simples et efficaces d’atténuation des risques, modifiant peu l’expérience utilisateur, aspect crucial pour l’adhésion et la réussite de ce type de projets de renforcement de la sécurité.

Le MFA, pour « Multi Factor Authentication », c’est-à-dire la combinaison d’au moins deux facteurs d’identification de l’utilisateur permet de réduire considérablement ces nouveaux risques.

Parmi les méthodes d’identifications nous trouvons :

• Ce que je connais – mon mot de passe,
• Ce que je possède – une application sur mon smartphone, un porte clef ou une clef usb,
• Ce que je suis – une empreinte digitale, un visage,…
• Où je suis – au bureau, chez moi ou ailleurs.

Lors de la connexion d’un utilisateur à un environnement, le système exige en plus du mot de passe habituel une ou plusieurs autres informations d’identification. Cette méthode permet de se protéger des attaques liées à la compromission des mots de passe.

Cette seconde source d’identification peut se matérialiser par un petit objet comme un porte clef ou une carte de crédit, ou bien une application dans son smartphone, la solution n’est pas contraignante pour le collaborateur.

Pour une adoption aisée par les utilisateurs cette solution doit être d’un usage simple, intuitif et ergonomique. Avec l’avènement des systèmes B2C basés sur le téléphone – application ou sms – le grand public a d’ores et déjà gouté si ce n’est assimilé l’utilisation du MFA pour protéger leurs assets personnels (banque, vente en ligne, …). L’utilisation étendue de ce modèle à l’entreprise grâce au support du mobile doit permettre de s’inscrire dans cette dynamique d’accroissement de la sécurité.

Le contrôle de conformité

En complément du MFA il est souhaitable d’ajouter un contrôle de conformité du poste du collaborateur. Ce contrôle permet de s’assurer de certaines caractéristiques du poste de l’utilisateur telle que la vérification de la base antivirale, l’appartenance au domaine ou une autre posture, et d’identifier et de mettre en quarantaine les postes compromis. Toutes les étapes de quarantaine et de remédiation pouvant être automatisées, la console hébergée et le service managé, l’administration et l’exploitation d’une telle plateforme devient aisée pour les services IT.

La gestion des exceptions

Il est néanmoins nécessaire pour les équipes IT de garder une solution pour la gestion des exceptions (oubli du téléphone, perte du téléphone, …), avec une possibilité de temporairement modifier le MFA (SMS ou e-mail) voire de le suspendre. La solution doit être autant technique que méthodologique, et les services IT doivent également prévoir la mise à disposition de ressources dédiées à l’exécution de ces processus d’urgence.

Il est de plus nécessaire d’adresser la surface d’exposition liée aux télémainteneurs et prestataires de services IT. De même, il faut se pencher sur les méthodes et les processus :

• Un accès ouvert à la demande,
• Le token MFA du télémainteneur est détenu par l’équipe interne et communiquer lors de la demande,
• Les mots de passe participent à la politique de rotation de mots de passe de l’entreprise.

Si cela ne permet pas d’obtenir un niveau de sécurité suffisant ou ne permet pas de contrôler suffisamment les accès des prestataires, un bastion peut être mis en place, pour les accès à privilèges externes mais également internes. Et il peut également être couplé à un MFA pour s’y authentifier.

Affuter la vigilance des utilisateurs

Il est également intéressant d’impliquer le collaborateur afin de l’aider à distinguer de potentielles attaques et d’attiser sa méfiance. Pour cela, il est possible de réaliser des campagnes de « faux phishing » en émettant des e-mails suspicieux et en observant par la suite le pourcentage de collaborateurs hameçonnés. Une fois la campagne terminée, une formation peut être proposée pour les collaborateurs afin de guider leur suspicion et de les amener à interroger leur équipe IT au moindre doute. Cette démarche présente bien-sûr un intérêt pour le SI de l’entreprise et également à titre personnel.

Votre partenaire

Si ces sujets vous intéressent et que vous souhaitez en discuter ou être conseillé sur la meilleure approche, la meilleure architecture dans votre système d’information, Syage est votre partenaire idéal et adéquat. Nous avons sélectionné des solutions chez les éditeurs de sécurité permettant de répondre à vos cas d’usage et avons éprouvé leurs solutions :

• Fortinet, grâce à la symbiose FortiAuthenticator et Forticlient permet de proposer une solution de contrôle d’accès, de gestion des tokens MFA automatisée et de contrôle de conformité.
• Cisco, grâce à Duo, une offre de MFA cloud-basée permettant un contrôle d’accès et une gestion des tokens MFA agnostique des équipements d‘accès.

Nos experts sont à votre disposition pour vous accompagner dans la mise en œuvre réussie de votre projet de sécurisation de votre système d’information.

Notre équipe sera également là tout au long de la vie de votre solution grâce à notre Centre de Service pour maintenir en condition de sécurité et exploiter votre solution à vos côtés.