Directeurs TI: 7 stratégies pour sécuriser votre réseau lors du télétravail
Directeurs TI: 7 stratégies pour sécuriser votre réseau lors du télétravail
Lors du passage au télétravail massif dû à la COVID-19, les entreprises se sont adaptées rapidement en mettant en place des solutions de télétravail. Toutefois, la sécurité n’a pas été prise en compte dans la plupart des cas, ce qui expose les entreprises à divers types d’attaques telles que les attaques de type force brute, l'hameçonnage, les ransomwares, les exfiltration de données, etc.
De plus, plusieurs employés accèdent au réseau corporatif via leur terminal personnel dans le cadre du télétravail, ce qui induit des risques supplémentaires.
Avec la reprise, il est clair aujourd’hui que le télétravail est là pour rester. Les responsables informatiques et de cybersécurité devraient muscler leur réseau, afin de minimiser les risques d’intrusions informatiques, dans la mesure où l'explosion des cybermenaces que nous observons est une tendance qui va continuer à croître.
La bonne nouvelle c’est que vous avez la possibilité de mieux vous protéger afin de vous mettre à l'abri des cyberattaques dans un contexte de télétravail. Voici donc nos recommandations pour permettre un télétravail sécurisé.
1- Offrir un accès VPN avec authentification MFA
Permettre aux utilisateurs de se connecter à distance au réseau corporatif en entrant uniquement un mot de passe comporte plusieurs risques en termes de cybersécurité. Exemples:
- Un pirate peut utiliser un outil automatisé qui va tester plusieurs combinaisons de mots de passe en espérant en trouver un qui est valide dans votre réseau. Ce genre d’attaque, appelée force brute, est facile à réaliser et fait partie des attaques les plus observées. De plus, elles sont lancées dans 99% des cas par des robots (botnets) qui balaient Internet 24/7 sans aucune intervention humaine. Vous êtes donc constamment ciblés et ce n’est qu’une question de temps avant qu’un mot de passe valide soit trouvé dans votre réseau.
- Vos informations corporatives (incluant des mots de passe, adresses de courriels ou nom d’usagers) peuvent être en vente sur le Darkweb. Ces informations peuvent être collectées par plusieurs moyens : piratage d’un site de tiers ou vous êtes inscrits, etc. Sans authentification MFA, une personne malicieuse qui achèterait vos informations corporatives sur Internet, pourrait se connecter à distance à votre réseau en prenant l'identité d’un employé, ce qui pourrait par exemple lui permettre de faire entrer un ransomware dans votre réseau.
Solution: au regard du haut risque d’intrusions dans votre réseau si vous utilisez une authentification uniquement basée sur les mots de passe, nous vous recommandons fortement de passer à une authentification multi-facteurs (MFA). Lorsqu’un utilisateur utilise du MFA, lors de sa connexion, après avoir saisi son mot de passe, il lui sera demandé d’entrer une chaîne de caractères additionnelle (token) qui lui aurait été envoyée sur son téléphone intelligent. Ce token peut être envoyé par message texte, courriel, etc.. Vu que vous êtes le seul détenteur de votre téléphone intelligent, le pirate ne pourra pas accéder à token, et par conséquent, il ne pourra pas se connecter à votre réseau.
Utilisez des VPN pour l’accès à distance pour le télétravail. Éviter les solutions de type RDP (bureau à distance, port 3389) car elles sont peu sécurisées et sont largement exploitées par les pirates. Nous déconseillons fortement l’utilisation des accès à distance via RDP.
2- Gérer les vulnérabilités de sécurité des terminaux et s’assurer que les ordinateurs sont à jour
La plupart des cyberattaques exploitent des vulnérabilités de sécurité existantes dans votre réseau. Et chaque jour, de nouvelles vulnérabilités sont découvertes, ce qui augmente les risques de piratages des ordinateurs. Vous devez vous assurer constamment que des vulnérabilités significatives sont identifiées et corrigées dans votre réseau, que ce soit sur les serveurs ou les postes de travail.
Solution: faites de balayages de vulnérabilités de sécurité régulièrement (au moins 1 fois par trimestre) et corrigez les vulnérabilités les plus importantes. Vous devez aussi faire les mises à jour régulières sur vos serveurs et ordinateurs chaque fois qu’elles sont disponibles, afin de rehausser constamment leur sécurité. Si vous n’avez pas l’expertise interne pour gérer les vulnérabilités de sécurité, sachez que Streamscan offre ce service (inclut dans notre solution de Monitoring de la sécurité MDR
3 - Offrir un antivirus aux utilisateurs qui font du télétravail avec leur propre terminal (BOYD)
Avec le passage au télétravail massif, plusieurs employés utilisent leurs propres ordinateurs et terminaux pour télétravailler. Or, s’il est possible d’avoir un contrôle strict sur les terminaux corporatifs, les équipes TI n’ont aucune idée du niveau de sécurité réel des terminaux personnels utilisés pour accéder au réseau corporatif dans le cadre du télétravail. Selon nos observations, les terminaux personnels sont très souvent peu sécurisés: antivirus expiré ou peu efficace, les correctifs de sécurité ne sont pas appliqués, les utilisateurs ont des privilèges administrateurs, etc. Or la compromission d’un seul ordinateur vulnérable peut permettre à un pirate d’entrer dans un réseau et prendre le contrôle de systèmes très sensibles (serveurs de base de données, contrôleurs de domaine, etc.)
Solution: vous devez partir du principe que les ordinateurs personnels utilisés pour accéder à votre réseau sont potentiellement faiblement sécurisés et vous mettent à risque. Minimalement vous devez vérifier auprès de chaque utilisateur s’il dispose d’un bon antivirus sur son ordinateur. Si vous n’avez pas la confirmation, offrez un antivirus à l'utilisateur, afin de rehausser la sécurité de son terminal. Ce sera surement l’un des meilleurs investissements que vous aurez fait.
4- Déployer un agent de détection sur tous les ordinateurs utilisés pour le télétravail
Les habitudes de navigation Internet ont beaucoup changé avec le passage massif au télétravail. Les employés ont aujourd’hui la possibilité de naviguer sur Internet sans passer par le réseau corporatif, ce qui bypasse tous les mécanismes de protection de la navigation Internet en place (communément appelés outils de filtrage de la navigation Internet). Ce genre d’outils s’assure que l'utilisateur se connecte uniquement à des sites web qui sont considérés comme étant sécuritaires. Sans filtrage de la navigation Internet, le risque d’infection ou de piratage d’un ordinateur augmente.
Solution: les technologies de type EDR (Endpoint Detection and Response) sont conçues pour répondre à ce besoin. Ils sont installés localement sur chaque ordinateur, détectent et bloquent les activités malicieuses qui y ont lieu, par exemple : les tentatives de connexion sur des sites web malicieux, l’exfiltration des données, les mouvements latéraux malicieux, etc.
Le EDR ne remplace pas forcément l’antivirus et ils sont très souvent complémentaires. Tout comme l’antivirus, nous vous recommandons fortement d’offrir un EDR a chacun de vos employés qui accède à votre réseau via son ordinateur personnel. Il reste entendu que tous les ordinateurs corporatifs doivent disposer d’un antivirus et d’un EDR.
Pour comprendre la différence entre ces 2 outils, veuillez consulter notre article Antivirus vs EDR
5- Visibilité 360 et Monitoring 24/7 de la sécurité de votre réseau
Vous ne pouvez pas vous protéger contre ce que vous ne voyez pas. Chaque ordinateur qui n’est pas dans votre champ de vision est un angle mort qui peut être exploité par un piratage pour entrer dans votre réseau et vous infecter par un ransomware par exemple.
Il est donc important qu’en tout temps vous ayez une visibilité totale sur la sécurité de votre réseau, serveur par serveur et ordinateur par ordinateur. Cette visibilité globale à 360 degrés vous permettra d’identifier rapidement le moindre mouvement suspect, et l'éliminer à la source pour éviter qu’il contamine le reste de votre réseau, ou se transforme en incident.
Solution: vous devez avoir un outil de détection d’intrusions (IDS/IPS/NDR) qui protège votre périmètre réseau et des agents de détection locaux sur chaque ordinateur (EDR, agent de détection local IDS, etc). Vous devez surveiller en mode 24/7 l’ensemble des alertes de sécurité venant de tous les outils de sécurité en place dans votre réseau interne et dans le Cloud. N’oubliez pas d’inclure O365 dans le périmètre de votre surveillance de sécurité, c’est l’une des portes les plus couramment exploitées par les pirates actuellement.
6- Sensibilisation des utilisateurs
Avec le télétravail massif, les risques d'hameçonnage ont fortement augmenté. A cela s’ajoute le fait que les terminaux personnels utilisés pour le télétravail sont peu sécurisés, ce qui augmente le niveau de vulnérabilités des réseaux corporatifs.
Solution: les organisations doivent sensibiliser leurs utilisateurs de manière plus rapprochée (ex: 1 fois par trimeste) sur les risques de cybersécurité. La sensibilisation doit couvrir tous les moyens potentiellement utilisés par les pirates pour trouver des victimes: courriel, messagerie texte, réseau sociaux, téléphone, etc. et doit couvrir minimalement les éléments suivants :
- L’hameconnage
- n’installer que les applications approuvées (ou dont la source est sûre)
- les risques liés aux courriels (fichiers attachés ou liens douteux)
- les risques liés à la navigation Internet
- la nécessité de séparer la navigation professionnelle et personnelle
7- Avoir un plan de réponse aux incidents
Les cyberattaques doivent être considérées aujourd’hui comme étant inévitables et vous devez considérer qu’un jour ou l’autre vous serez la cible d’une cyberattaque. De ce fait, vous devez vous préparer en amont afin de réagir efficacement et énergiquement le jour où vous serez ciblé.
Solution: vous devez définir un plan de réponse aux incidents. Ce plan doit décrire clairement les actions à prendre en de cyberattaques, étape par étape. Vous devez ensuite tester régulièrement votre plan (au moins 1 fois par année), afin de vous assurer qu’il fonctionne bien.
Élément important: si vous n’avez pas l’expertise interne pour gérer les incidents de sécurité, n’essayez pas de bricoler ou improviser, car cela ne fera qu’augmenter les dégâts lors d’un incident. Des firmes de cybersécurité spécialisées en réponse aux incidents telles que Streamscan offrent un service de Retainer qui vous permet d’avoir un support rapide (3 ou 4h maximum) en cas d’incident. Ce type de service vous garantit une prise en charge et une gestion des incidents par des experts chevronnées en un temps record, ce qui vous permettra de revenir rapidement en production.
Comment Streamscan peut vous aider?
Streamscan a une longue expérience en sécurisation des réseaux informatiques, en supervision de la sécurité et en réponse aux incidents. Nous voyons donc constamment les méthodes utilisées par les pirates pour entrer dans les réseaux, ainsi que les faiblesses de sécurité qui sont les plus couramment exploitées, surtout dans le contexte du télétravail. Nous pouvons donc vous aider à rehausser votre sécurité et vous mettre à l'abri des piratages dans le contexte actuel fortement marqué par le télétravail.
Contactez nous si vous avez besoin d’aide.