VPN as a service

Publié le 16 juillet 2020
scroll
business-pug-working-on-laptop
N’oubliez pas
de partager
cet article

Le « VPN as a service » pour un télétravail sécurisé

La COVID-19 a totalement redistribué les cartes concernant le télétravail, notamment son adoption et par conséquent sa mise en œuvre généralisée au sein des entreprises.

Cependant, l’essor rapide du télétravail pour faire face à l’urgence s’accompagne d’appréhension concernant sa sécurisation et renvoie aux enjeux de sécurité associés.

En effet, le télétravail augmente l’exposition du Système d’information aux vulnérabilités et aux menaces du fait de son ouverture vers l’extérieur. De plus, l’employé, travaillant de chez lui, apporte son lot de contraintes sécuritaire (Shadow IT, détection comportementale moins performante).

Les menaces touchent aussi bien les utilisateurs que les outils permettant le télétravail. Les ransomwares et  le vol de données en sont les principales menaces.(voir : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/recommandations-securite-informatique-teletravail#:~:text=Une%20mise%20en%20%C5%93uvre%20non,profiter%20de%20cette%20nouvelle%20opportunit%C3%A9.).

Afin de répondre au mieux à cette problématique, une attention particulière est à porter sur les éléments du SI suivants :

  • Les données ;
  • Les applications ;
  • Les ressources ;
  • Les utilisateurs.

Au-delà de la défense en profondeur, un concept ressort, le ZERO TRUST.

L’APPROCHE ZERO TRUST

L’idée principale du Zero Trust est de ne pas confiance aux personnes, aux équipements, aux flux réseaux , etc.

Il faut donc réaliser les vérifications à plusieurs niveaux :

  • Utilisateur (User trust) : analyse comportementale, double authentification
  • Matériels (Device trust), en d’autres termes l’identification et la posture de chaque équipement ;
  • Réseau : micro-segmentation et gestion fine des règles de firewalling,
  • Application : isolation des applications (conteneur) et gestion des identités, seules les personnes devant utiliser l’application peuvent y accéder
  • Donnée : au titre du patrimoine informationnel de l’entreprise
    voir la publication du CIGREF : https://cigref.typepad.fr/cigref_publications/RapportsContainer/Parus2007/Protection_patrimoine_informationnel_CIGREF_FEDISA_2007_web.pdf)

    • La donnée est un bien essentiel dans l’entreprise. Il est important de connaitre son usage et d’avoir une visibilité étendue sur cette dernière. Les solutions de classification des données et de DLP (Data Loss Prévention) peuvent vous aider à y parvenir.

De ce fait, l’utilisateur accède uniquement aux ressources et données dont il a besoin.

La NIST(National Institute of Standards an Technology) définit l’architecture Zero Trust dans la publication SP-800-207 (https://csrc.nist.gov/publications/detail/sp/800-207/draft).

Le Zero Trust au service des accès distants

Le focus de cet article porte principalement sur la partie utilisateur, le matériel et les accès distants.

Voici un schéma afin d’illustrer la situation