Grâce à la COVID-19, de nombreuses organisations qui jusqu'à présent n'avaient pas envisagé le télétravail de manière significative envisagent sérieusement la possibilité d'un monde post-COVID où le travail à distance serait la norme pour les membres du personnel. D'autres envisagent désormais le télétravail à grande échelle (Work-From-Home, WFH ) sur une base plus permanente, comme mesure de réduction des coûts.
Traditionnellement, les architectures de sécurité sont conçues pour que tous (ou la plupart) des utilisateurs de confiance se trouvent dans la zone de confiance élevée (réseau interne de l'entreprise), tandis que les VPN, les pare-feu, etc. sont utilisés pour contrôler et protéger l'accès depuis les zones de confiance inférieure. Ce paradigme a influencé notre approche de la sécurité de très nombreuses manières, que ce soit en matière de gouvernance de la sécurité (contrôles de politique), de contrôles physiques, de contrôles techniques et de contrôles complémentaires, c'est-à-dire l'utilisation d'un type de contrôle pour atténuer la faiblesse liée à un autre type de contrôle (par exemple, le contrôle d'accès physique pour protéger un système vulnérable à une extraction de mémoire JTAG). Le travail à distance permanent et généralisé entraînera un déplacement des plaques tectoniques du paysage des menaces, modifiant les chemins d'attaque connus et rendant ainsi les stratégies d'atténuation des vulnérabilités connues inadéquates pour le défi. Les entreprises doivent repenser, repenser leur stratégie et se rééquiper pour les nouvelles réalités qui les attendent.
Pour lancer cette conversation, voici des points intéressants sur certaines vulnérabilités qui doivent être réévaluées à mesure que les entreprises s’adaptent à cette nouvelle réalité.
- Systèmes hérités
Les technologies héritées sont comme ces vieux jeans que vous portiez quand vous étiez adolescent. « Ils sont confortables » était toujours votre réponse à toute question. Dans un monde en évolution exponentielle, les technologies héritées posent problème. Continuer à utiliser des technologies obsolètes de toutes sortes coûte très cher.
Dans leur réticence constante au changement, les entreprises justifient souvent l’utilisation continue de ces systèmes hérités en utilisant des mesures compensatoires telles que l’interdiction de l’accès Internet à ces systèmes, réduisant ainsi la surface d’attaque de ces systèmes.
Dans les environnements de travail en télétravail, certains systèmes existants devront être mis en ligne pour permettre l'accès des employés à distance. Cette action élargira la surface d'attaque des systèmes existants et augmentera la probabilité globale qu'un attaquant s'infiltre dans l'ensemble de votre infrastructure. Pour les entreprises qui doivent utiliser des systèmes existants (si vous pouvez l'éviter, vous devriez le faire), il est nécessaire de repenser et éventuellement de repenser les mesures de sécurité compensatoires pour faire face à cette nouvelle réalité. Les exemples incluent le placement des appareils existants dans un segment de réseau distinct, le renforcement des exigences de contrôle d'accès pour les systèmes existants, leur activation uniquement pendant les heures de travail, etc.
- Disponibilité du réseau
Alors que le télétravail continue de prendre de l’ampleur, la résilience de l’infrastructure réseau de l’entreprise devient également de plus en plus primordiale. La gestion de la charge sur le réseau deviendra un défi de plus en plus important pour les directeurs techniques. Alors qu’ils déploient rapidement des VPN d’entreprise et des solutions de bureau à distance pour permettre aux employés d’accéder aux ressources sensibles et aux applications internes, les directeurs techniques doivent trouver des moyens d’équilibrer le volume sur le réseau. De plus, ils doivent le sécuriser.
Pour sécuriser les communications, les entreprises s’appuient désormais sur la technologie VPN pour un accès distant sécurisé. Les services VPN sont soit hébergés localement par les entreprises, soit payants en tant que service. Cependant, ce n’est pas la solution miracle qui résout tous les problèmes de sécurité du réseau. Tout d’abord, un VPN mal configuré vous exposera autant aux attaques qu’un VPN sans VPN. Ensuite, si la disponibilité du service n’est pas soigneusement prise en compte lors de l’installation du VPN, vous pourriez avoir une vulnérabilité grave de « point de défaillance unique ».
La vulnérabilité aux interruptions de service dans le télétravail pourrait pratiquement paralyser l'ensemble des activités des organisations. Dans un scénario où tous les utilisateurs dépendent d'un ou plusieurs serveurs pour accéder aux outils et ressources officiels tout en travaillant à distance, tout problème sur ce ou ces serveurs (par exemple, DOS) signifie que tout le monde perd l'accès et que le travail s'arrête. Les attaques D/DOS populaires créent de gros volumes de trafic « poubelle » pour saturer le réseau, mais il en existe d'autres, comme les attaques sur les subtilités du protocole VPN. Un débit aussi faible que 1 Mbps peut mettre un service VPN hors ligne. Malheureusement, dans des circonstances D/DOS (quel que soit le type), le retour aux activités sur papier en guise de sauvegarde n'est pas possible en raison de la séparation géographique entre les travailleurs en télétravail. Ainsi, dans un monde de télétravail, l'impact des attaques liées à la disponibilité est nettement plus élevé.
Les entreprises doivent réévaluer leurs scénarios de menace en tenant compte de ces nouvelles possibilités et réagir de manière appropriée avec les bons outils et l'infrastructure d'entreprise pour atténuer cette menace. Envisagez une gestion efficace de la bande passante, l'équilibrage de la charge, l'infrastructure cloud et la priorité donnée à l'utilisation d'applications de fournisseurs de confiance, testées et certifiées avec un certain degré d'assurance.
- Utilisation (non)autorisée de l'appareil
On dit souvent que « notre véritable moi, c’est celui que nous sommes lorsque personne ne nous regarde ». Cette affirmation est tout aussi vraie lorsque les gens travaillent à domicile. Les gens ont tendance à adopter par défaut des habitudes, y compris celles qu’ils n’adopteraient pas en public. Cela va des habitudes bénignes comme travailler en pyjama à des habitudes moins agréables comme utiliser des appareils officiels pour regarder du contenu pornographique. Il est bien connu que les sites pornographiques sont connus pour leur ingénierie sociale, leurs attaques par « drive-by » et leurs attaques par « watering hole ». Ainsi, de telles actions des employés devraient inquiéter les employeurs. Une étude récente menée par Kaspersky indique que « 51 % des travailleurs qui admettent avoir commencé à regarder davantage de contenu pour adultes depuis qu’ils travaillent à domicile déclarent l’avoir fait sur des appareils qu’ils utilisent à des fins professionnelles. Près d’un cinquième (18 %) des travailleurs le font même sur des appareils fournis par leur employeur, et 33 % admettent regarder du contenu pour adultes sur leurs appareils personnels qu’ils utilisent également pour faire leur travail ».
Les entreprises doivent reconsidérer de manière critique ce qui constitue la politique « d’utilisation acceptable » de l’organisation et déployer des outils appropriés pour faire respecter ces politiques.
- L'informatique fantôme
La frontière entre les appareils personnels et officiels est floue pour un nombre important d'utilisateurs dans une configuration de télétravail. Par exemple, les ordinateurs de l'entreprise sont connectés à des appareils domestiques tels que des imprimantes, des scanners, etc. et se connectent à Internet via le réseau domestique. Malheureusement, la plupart de ces appareils grand public sont notoirement peu sûrs et présentent de très graves défauts de conception en matière de sécurité. Au nom de la facilité d'utilisation, ils sont conçus de manière simpliste, se concentrant uniquement sur les fonctionnalités de base de l'appareil. La plupart d'entre eux ne sont pas dotés de fonctionnalités améliorant la sécurité que l'on peut trouver dans les versions professionnelles du même appareil. Un exemple est un appareil domestique qui ne prévient pas les utilisateurs lorsque des mises à jour du micrologiciel sont disponibles, même si ces mises à jour sont essentielles pour combler les failles de sécurité, certains autres appareils n'acceptent pas les mots de passe longs ou complexes. D'un autre côté, les appareils grand public dotés de bonnes fonctionnalités de sécurité ont tendance à être trop difficiles à configurer pour l'utilisateur ordinaire et, par conséquent, ces fonctionnalités ne sont pas modifiées.
Ainsi, la grande majorité de ces appareils ne sont pas correctement entretenus, ne sont pas configurés de manière sécurisée ou leur logiciel n'est peut-être pas corrigé, ce qui les rend vulnérables. L'adoption croissante d'appareils domotiques connectés (maison intelligente) au réseau domestique accroît encore la difficulté de gérer correctement les vecteurs d'attaque.
Du point de vue de l'entreprise, il est important de repenser la différence de contexte qu'implique le télétravail et son impact sur la posture de risque organisationnelle. Cela doit se refléter dans le choix des outils d'entreprise qui doivent être déployés pour protéger les appareils et les communications réseau. Ces outils comprennent les logiciels de protection des terminaux, les routeurs/MODEMS sécurisés, les logiciels VPN, etc.
- Politique d'accès à distance
À mesure que les gens adoptent le télétravail, les politiques de sécurité traditionnelles centrées sur les bureaux serviront un public de plus en plus restreint. Ainsi, la politique relative à l'environnement de travail à distance devrait inclure la prévention des écoutes clandestines en encourageant les membres du personnel à rester dans des zones isolées lorsqu'ils participent à des réunions (sensibles) où des questions stratégiques de l'entreprise sont abordées.
Les politiques relatives à la connexion à distance doivent également être renforcées. Dans la mesure du possible, privilégiez l'authentification multifactorielle pour l'authentification des utilisateurs.
- Délai de réponse aux incidents
En cas d'incident informatique, le temps de réaction/d'exécution entre le moment où l'information est partagée et celui où elle est mise en œuvre devient très difficile à prévoir et à contrôler. Par conséquent, un temps de réaction minimum doit être défini pour tous les utilisateurs du télétravail afin d'encourager un engagement actif et une réactivité plus rapide.
Enfin, les vulnérabilités mentionnées ci-dessus ne sont en aucun cas exhaustives, mais devraient servir de catalyseur pour lancer les discussions sur les implications à long terme du télétravail en matière de sécurité et sur les changements à apporter pour équiper l'entreprise du futur. Les questions liées à la sécurité des données et à la formation des utilisateurs ne sont pas abordées dans cet article, mais sont tout aussi importantes.
Enfin, l’évolution du paysage des menaces signifie que les entreprises devront faire preuve de souplesse et prendre des mesures préventives pour atténuer les risques et garder une longueur d’avance.
--
Cet article a été rédigé par M. Isaac Dangana - Analyste senior en sécurité IoT chez Red Alert Labs
Isaac a été impliqué dans des sujets de cybersécurité tels que la cryptographie appliquée, l'informatique légale, la recherche sur la sécurité des appareils IoT, la sécurité des réseaux, la sécurité des protocoles de communication et le développement de systèmes de certification de cybersécurité en Europe.
Références :
- https://www.ft.com/content/5dc60b96-669c-11ea-800d-da70cff6e4d3
- https://www.theguardian.com/technology/2020/mar/13/covid-19-could-cause-permanent-shift-towards-home-working
- https://isssource.com/workers-using-own-pcs-during-wfh-research/
- https://www.business2community.com/strategy/the-risks-of-sticking-with-legacy-technology-02199412
- https://hackwarenews.com/ciso-checklist-working-at-home-securely/
- https://www.menshealth.com/sex-women/a19547181/online-porn-malware-viruses/
- https://www.tomsguide.com/us/home-router-security,news-19245.html
- https://blog.radware.com/security/2020/06/beware-the-security-threats-from-remote-working/?utm_source=quora&utm_medium=cpc&utm_campaign=Blog%20Promotion