Qu’est-ce que la sécurité du travail à distance ?

La sécurité du travail à distance fait référence à la protection de l’accès aux applications Web, personnelles, gérées par l’entreprise et de loisirs. Sécuriser les travailleurs distants et leurs applications implique d’identifier les systèmes de type Shadow IT, de réduire les risques en filtrant les URL et les catégories Web, de mettre en œuvre une protection contre les malwares, ainsi que de configurer un système de prévention des pertes de données, entre autres techniques.

En d’autres termes : La sécurité du travail à distance consiste à défendre les applications sensibles et à préserver un niveau de performances applicatives acceptable, dans le contexte d’un accès distant plus fréquent par les collaborateurs. Les travailleurs distants s’attendent à bénéficier d’un accès instantané et de performances rapides, mais offrir les deux nécessite d’échapper à de nombreuses menaces (comme un accès distant non sécurisé).

Explorez les autres sujets liés à la sécurité du travail à distance :

Si la sécurité du travail à distance traditionnelle tourne autour des réseaux VPN et des périmètres réseau, l’adoption durable du télétravail chez certains collaborateurs nécessite des pratiques et des outils de cybersécurité plus sophistiqués.

La sécurité des travailleurs distants d’aujourd’hui est fondée sur trois grands piliers :

  1. Un accès sécurisé à l’ensemble des applications SaaS, notamment aux logiciels de collaboration et aux suites de productivité, au sein des environnements de travail distant, que ces applications soient utilisées à des fins professionnelles ou personnelles.
  2. Une protection contre les menaces et les risques liés à l’accès au Web en général, notamment les comptes de messagerie personnelle ou de stockage sur le cloud, ainsi que les visites sur YouTube, les forums de discussion ou les sites Web sportifs pendant les sessions de télétravail.
  3. Une gestion applicative des logiciels d’entreprise hébergés sur site et dans des clouds, tels que AWS, Microsoft Azure et Google Cloud Platform, par exemple au travers d’un accès réseau Zero Trust au sein d’une architecture SASE (Secure Access Service Edge).

Quelles sont les contraintes d’une stratégie moderne de sécurité du travail à distance

Vers 2005, la population des télétravailleurs a commencé à se développer rapidement, jusqu’à augmenter de 159 % en 2019 selon FlexJobs. La pandémie de COVID-19 a accéléré davantage la croissance du télétravail et, avec elle, la nécessité d’une protection plus fiable, évolutive et flexible contre les risques de sécurité associés.

Le concept de télétravail universel signifie la fin du périmètre réseau classique comme modèle de cybersécurité, dans le cadre duquel un premier accès distant est accordé via VPN, puis toute activité ultérieure au sein du WAN d’entreprise est considérée comme sûre. Plus particulièrement, les télétravailleurs ont besoin d’accéder aux données et aux applications où qu’ils se trouvent, et souvent depuis plusieurs appareils.

Néanmoins, les approches de la sécurité du travail à distance fondées sur un périmètre ne permettent pas de sécuriser le volume et la variété de ces demandes d’accès distant :

  • En plus des applications sur site, les collaborateurs doivent désormais pouvoir accéder aux applications SaaS au sein de clouds publics. Ces applications font peser une pression énorme sur le périmètre de sécurité et les liaisons WAN MPLS. Le trafic SaaS s’écoulant sur un WAN traditionnel jusqu’aux utilisateurs VPN doit d’abord transiter par un datacenter, un processus qui dégrade les performances et oblige les télétravailleurs à éteindre leur VPN. Mais autoriser un accès aussi direct au cloud les expose à de nombreuses menaces de cybersécurité.
  • Les collaborateurs distants utilisent des appareils personnels, plutôt que le matériel de l’entreprise, ce qui complique la gestion des terminaux. Les réseaux d’entreprise ne peuvent pas partir du principe que toute demande d’accès distant est légitime à moins que plusieurs mesures de sécurité à distance aient été mises en œuvre, car les demandes en question peuvent émaner d’une multitude de types d’appareils non gérés. En outre, les utilisateurs au sein de VPN sont libres de se déplacer latéralement au sein d’un réseau, propageant ainsi les malwares. Des modèles d’accès contextuel « juste à temps » et « juste suffisant » sont nécessaires.
  • Les VPN ne sont pas scalables. Face à la croissance du télétravail et à la hausse du nombre d’utilisateurs faisant confiance aux VPN, les besoins en matériel de sécurité au sein du datacenter des entreprises sont plus importants que jamais. Mettre à l’échelle cette architecture matérielle est un processus complexe, lent et coûteux. Un volume croissant de trafic applicatif chiffré et haut débit, vers les applications cloud et le Web en général, aggrave encore plus le problème.

Une troisième problématique associée aux VPN souligne la difficulté de mettre en œuvre une stratégie moderne de sécurité du travail à distance : concrètement, il s’agit d’offrir une protection des applications et des données à toute épreuve, des performances acceptables, ainsi qu’un accès rationalisé des utilisateurs légitimes au sein du WAN de l’entreprise.

Face à la hausse des risques de sécurité associés à des malwares et à des menaces internes, les solutions de sécurité à distance doivent :

  • Aller au-delà de la structure des VPN, trop permissive et « prétendument sûre ».
  • Remplacer les WAN en étoile par une architecture SASE associée à un SD-WAN capable de sécuriser et de rediriger le trafic applicatif vers le cloud sans avoir à le faire transiter.
  • Réduire les menaces émanant de ces sources, à savoir de l’accès SaaS et Web, qui ne sont pas sous le contrôle direct de l’équipe informatique, à l’aide de mécanismes SASE de type Secure Web Gateway et Cloud Access Security Broker.
  • Mettre en œuvre les principes de l’accès réseau Zero Trust, tels que la segmentation réseau et l’isolation du trafic, afin de réduire la surface d’attaque et protéger les données et les utilisateurs partout, sur tous les appareils et dans toutes les applications. L’accès réseau Zero Trust est une facette importante de l’architecture SASE.
  • De cette façon, l’architecture SASE sécurise le trafic vers les sites Web et SaaS, et préserve également les performances applicatives ainsi que l’expérience, puisque des architectures de transit de type MPLS ne sont plus nécessaires.
  • Faciliter la protection par l’intermédiaire d’agents logiciels sur des points de terminaison gérés des collaborateurs distants exécutant un système d’exploitation courant (Microsoft Windows, MacOs, Chrome OS, Linux, iOS et Android).
  • Améliorer l’authentification unique (SSO) en la rendant plus contextuelle et compatible avec un éventail plus large d’applications.

Ensemble, ces mesures assurent la protection des données et des utilisateurs contre de nombreuses menaces de cybersécurité qui, sans elles, passeraient inaperçues auprès des télétravailleurs et des applications qu’ils utilisent.

Les plus grands risques de sécurité pour les collaborateurs distants

Face à l’étendue et à la portée des risques de cybersécurité, intégrer des mesures de sécurité pour les télétravailleurs allant au-delà des VPN et de l’architecture de transit est essentiel. Certaines de ces menaces les plus importantes incluent les suivantes :

Hameçonnage

Les attaques de type hameçonnage constituent un moyen direct mais efficace d’extraire des données sensibles, telles que des identifiants de connexion, sur des canaux de communication courants de type chat ou messagerie. Dans un contexte de travail à distance, les e-mails d’hameçonnage portant sur des modifications des politiques des entreprises sont particulièrement courants. Des escroqueries liées à des récompenses ou des questions « urgentes » telles que les impôts restent également populaires.

Par exemple, un collaborateur peut recevoir un e-mail en apparence important, lui indiquant que son entreprise met à jour sa politique de télécommunication dans le cadre du « retour au bureau ». Mais lorsqu’il l’ouvre et clique sur un lien censé l’amener à une page contenant plus de détails, son compte est compromis. À l’aide d’un VPN, le pirate peut se déplacer latéralement au sein du réseau et causer d’autres dégâts. Une évaluation continue et contextuelle des risques de sécurité est nécessaire.

Faible sécurité des mots de passe

Bien que les mots de passe soient indispensables à la cybersécurité telle que nous la connaissons, leur création et leur gestion sont la source d’innombrables problèmes. Les collaborateurs recyclent souvent les mêmes mots de passe faibles pour leurs comptes, s’exposant potentiellement à une fuite de leurs données si un seul de leurs identifiants de connexion est compromis.

Pire encore : ils réutilisent les mots de passe de leurs comptes personnels sur leurs comptes professionnels. En 2020, l’utilisateur moyen utilisait 8 fois le même mot de passe parmi ses comptes personnels et professionnels, de sorte qu’une violation de ses comptes de messagerie privée pouvait avoir de graves répercussions sur la sécurité de leurs données sur leur lieu de travail. Le seul périmètre d’utilisation des applications SaaS et Web fait des mots de passe faibles une menace majeure pour la sécurité du travail à distance.

Appareils personnels non gérés et accès distant

Dans l’ancien monde des périmètres de sécurité, l’équipe informatique pouvait étendre ce périmètre à un ensemble d’appareils gérés et vérifiés, tels que les PC détenus par l’entreprise, et autoriser l’accès VPN émanant d’eux. Ce paradigme vole en éclats dans l’univers du télétravail, au sein duquel les collaborateurs utilisent généralement un appareil personnel non géré, tel que leur téléphone ou leur ordinateur portable.

Une personne ayant installé un client VPN sur son appareil personnel pourrait alors accéder aux applications de l’entreprise, mais divers risques de sécurité se présenteraient. L’appareil personnel en question pourrait ne pas être correctement réparé ou exécuter une version antérieure du logiciel. Il pourrait alors ouvrir la voie à de nouvelles vulnérabilités au sein du réseau, une fois l’accès distant accordé.

Accès direct non sécurisé aux applications cloud et SaaS

Parce que la combinaison des VPN et des WAN en étoile met à mal les performances et l’expérience, il n’est pas rare qu’un télétravailleur cherche des alternatives « ayant l’air » meilleures, mais étant pourtant moins sécurisées. Aussi problématiques que soient les VPN, cette approche consistant à n’utiliser aucune protection est bien plus risquée.

Les travailleurs distants courent le risque qu’une attaque de malware entraîne une fuite de données sensibles, coûtant des sommes astronomiques à leurs entreprises, sous la forme de violations de données ou de campagnes de ransomwares.

Sécuriser les données et les applications dans les environnements distants

Afin de réduire les risques auxquels les télétravailleurs doivent faire face en matière de sécurité des appareils et des données, les entreprises doivent protéger les applications d’entreprise sur site et dans le cloud, tout en sécurisant simultanément l’accès SaaS et Web. À cette fin, les meilleures solutions de sécurité pour les télétravailleurs doivent être étroitement intégrées au sein d’une architecture single-pass qui réduit la latence et optimise les performances.

SASE

À un niveau fondamental, l’architecture SASE sécurise encore plus l’accès réseau sans compromettre les performances. Elle connecte les utilisateurs à tous types d’applications (y compris aux applications SaaS, gérées en interne ou virtualisées, ainsi qu’aux sites Web), par le biais d’un ensemble de mécanismes de sécurité de type Secure Web Gateway, Cloud Access Service Brokers et Sandbox. L’architecture SASE permet à un télétravailleur de se connecter de façon sécurisée à n’importe quelle application, depuis n’importe quel appareil et en tout lieu, sans qu’il ne soit nécessaire de configurer tout un tas de pares-feux au sein de chaque site.

En parallèle, intégré à l’architecture SASE, l’accès réseau Zero Trust ne fait confiance à personne par défaut et assure plutôt une surveillance et une validation en continu de l’identité de tous les utilisateurs, via des mécanismes tels que l’authentification multifacteur. L’approche Zero Trust est idéale pour la sécurité du travail à distance, car :

  • Les utilisateurs doivent être explicitement autorisés via une authentification multifacteur, et les appareils font sans cesse l’objet d’une évaluation des risques en fonction de critères tels que les niveaux de correctifs.
  • Un télétravailleur ne bénéficie que du niveau minimum d’accès distant dont il a besoin pour son travail, contrairement à l’accès étendu accordé au travers d’un VPN.
  • La micro-segmentation du trafic restreint l’accès des utilisateurs et des appareils personnels à risque, limitant les mouvements latéraux au sein du réseau.

Secure Internet Access

Les entreprises doivent faire face à la hausse du trafic applicatif émanant des télétravailleurs, et le moyen le plus simple pour cela consiste à aller au-delà de l’approche traditionnelle de la sécurité du travail à distance orientée sur le matériel. Une solution comme Citrix Secure Internet Access assure une sécurité complète du travail à distance, au sein d’un service évolutif unique.

La hausse du trafic (émanant aussi bien d’applications d’entreprise, SaaS ou Web en général) fait peser une charge plus lourde sur les appliances matérielles qui, à leur tour, doivent faire l’objet d’une coûteuse mise à niveau régulière, ou subissent une baisse des performances lorsque le trafic chiffré est inspecté. Au lieu de cela, sécuriser l’accès à Internet au travers de logiciels offre une meilleure solution, notamment grâce aux fonctionnalités suivantes :

  • Les nombreux flux de renseignements sur les menaces qui, entre eux, permettent d’identifier un large éventail de risques. Des flux supplémentaires peuvent aisément être intégrés via un design API ouvert.
  • Une architecture « single-pass » qui déchiffre et inspecte une seule fois le trafic, livrant des performances bien meilleures que les architectures enchaînées à des services comptant plusieurs points d’inspection.
  • Une protection complète incluant la prévention des fuites de données, une défense contre les malwares, des fonctions Secure Web Gateway et bien d’autres, afin de bloquer l’éventail de menaces qui se cachent au sein du trafic applicatif aujourd’hui.

Analytique

La visibilité sur le trafic est essentielle lors de l’évaluation des risques émanant des télétravailleurs, et pesant sur ceux-ci. À cette fin, une solution analytique permet de fournir une visibilité en profondeur sur les points de donnée tels que les noms d’utilisateur, l’horodatage et les adresses IP source, en plus d’avoir recours à l’intelligence artificielle pour identifier les utilisateurs et les activités à haut risque. 

Authentification multifacteur et authentification unique

L’authentification multifacteur est l’une des solutions les plus fiables pour bloquer les cyberattaques automatisées, ainsi que limiter les dommages causés par le vol et le recyclage de mots de passe. L’authentification unique (SSO) rationalise l’expérience de connexion et simplifie la gestion de l’identité et de l’accès pour l’équipe informatique. Des intégrations avec les fournisseurs d’identité simplifient la configuration de l’authentification multifacteur et de l’authentification unique.

Solutions Citrix pour la sécurité du travail à distance

Citrix propose des solutions de sécurité du travail à distance complètes et toujours à jour, faciles à mettre en œuvre par les équipes de sécurité :

  • Citrix Secure Internet Access est un service de sécurité cloud qui permet de sécuriser les télétravailleurs, quel que soit leur emplacement et l’appareil qu’ils utilisent. Remplaçant entièrement les piles de sécurité matérielles, il intègre plus de 10 flux de renseignements sur les menaces pour offrir une protection robuste contre les malwares.
  • Citrix Secure Workspace Access offre des fonctions d’authentification multifacteur et d’authentification unique qui permettent aux petites entreprises de fournir un accès distant à leurs collaborateurs, sans les risques ni les complications de la gestion traditionnelle des mots de passe. Il permet également un accès sans VPN aux applications cloud et SaaS, dans le cadre d’une approche Zero Trust de la cybersécurité, pensée pour minimiser la surface d’attaque. Les entreprises peuvent ainsi prendre en charge un modèle de travail à distance plus sûr et plus évolutif.
  • Citrix SD-WAN fait partie intégrante de l’architecture SASE. Il favorise un réseau spécialement conçu et optimisé pour les applications, offrant les performances et la sécurité nécessaires à la préservation d’un environnement de télétravail.
  • Citrix Analytics fournit les insights nécessaires à l’identification et à la résolution des problèmes de sécurité et de performance, et ce le plus rapidement possible.

Découvrez comment démarrer avec Citrix Workspace ou renseignez-vous sur l’architecture SASE.

Ressources supplémentaires

Prochaine étape