La pandémie de Covid-19 a sans conteste été l’un des événements les plus perturbateurs du siècle pour le monde du travail. Les bouleversements ont commencé lorsque les entreprises, contraintes de composer avec des effectifs à distance, ont non seulement découvert que c’était possible, mais aussi et surtout que cela pouvait être productif.
Au cours de ces dix-huit derniers mois, la position des entreprises à l’égard du travail à distance a certes considérablement évolué, mais pas au point d’adopter pleinement ce modèle pour l’avenir.
A lire aussi : [Interview] « L’IA au service des RH comme modalité et non finalité »
Effectivement, un certain nombre d’entreprises fonctionnent actuellement en mode « entièrement à distance » et prévoient de poursuivre dans ce sens. Mais l’hypothèse la plus probable est celle d’un modèle hybride dans lequel certains employés travaillent à domicile, d’autres au bureau, et d’autres encore alternent entre les deux.
La question est de savoir à qui revient la décision du lieu de travail quotidien des collaborateurs, ainsi que celle portant sur le nombre de jours que ces derniers doivent passer au bureau, sont encore loin d’être tranchées. Cependant, de manière générale, on peut dire que l’idée d’une équipe ayant adopté totalement le rythme du travail hybride a fait son chemin dans les secteurs pour lesquels ce modèle est applicable.
En tout état de cause, ce ne sont pas tant les détails de mise en œuvre d’un modèle de travail hybride qui importent, mais le résultat : certains collaborateurs travaillent à domicile et d’autres au bureau, et ce tous les jours de la semaine. Le travail hybride est la nouvelle norme.
Cette affirmation, simple en apparence, a en réalité un impact profond sur l’avenir des stratégies d’accès.
Accès basé sur l’IP
Les technologies traditionnelles basées sur l’IP reposent un réseau et des adresses bien identifiés. Les stratégies de sécurité autorisent ou refusent l’accès des utilisateurs aux ressources réseau et applicatives en fonction de leur adresse IP.
C’est l’objectif d’un VPN : une adresse IP « locale » est attribuée, comprise dans la série d’adresses IP librement utilisables sur le réseau de l’entreprise.
Il y aura toujours des opérateurs et des ingénieurs pour solliciter le type d’accès au réseau que fournit un VPN, mais soyons honnêtes : qui parmi nous a besoin d’un VPN pour naviguer dans Confluence ou SharePoint, ou pour solliciter les ingénieurs sur Slack ? Si les besoins en termes de productivité et de communication sont entièrement satisfaits par des applications, l’accès au réseau n’est plus indispensable.
D’ailleurs restreindre l’accès au réseau est probablement le meilleur changement de stratégie de sécurité à faire à l’heure actuelle, compte tenu de l’augmentation des incidents liés aux logiciels malveillants, ransomwares et autres logiciels armés de mauvaises intentions. Moins les ressources sont accessibles, moins elles risquent de faire l’objet de ce type d’attaque.
Il s’agit d’une menace réelle, car dans les faits, une équipe dont le travail est hybride est susceptible de se servir d’un quelconque logiciel malveillant, et puis un jour de se connecter au VPN, et le mal est fait ! Les problèmes commencent. C’est en partie pour cette raison qu’une bonne solution VPN inclut des analyses et des contrôles d’intégrité avant toute autre chose. Mais toutes les solutions VPN ne sont pas bonnes, et certaines entreprises n’exigent pas d’analyses, même lorsque leur solution VPN peut en fournir.
Tout n’est pas rose non plus du côté des solutions d’accès aux applications. En effet, bon nombre d’entre elles sont basées sur la propriété intellectuelle ; or, dans une entreprise, il existe une quantité importante d’adresses IP à gérer.
Selon l’enquête annuelle NetDevOps, le nombre de périphériques réseau qu’un seul NetOps doit gérer est à lui seul significatif : plus de la moitié gèrent entre 251 et 5 000 périphériques.
Si on ajoute son adresse IP personnelle, privée et domestique, et les adresses IP personnelles, privées et domestiques de toutes les autres personnes susceptibles de télétravailler aujourd’hui, les chiffres explosent. Sans oublier le nombre croissant de communications entre machines (« Machine-to-Machine » ou M2M) qui doivent être sécurisées. Le rapport annuel sur l’Internet réalisé par Cisco prévoit que « d’ici 2023, il y aura plus de trois fois plus d’appareils en réseau que d’êtres humains sur Terre. Environ la moitié des connexions mondiales seront des connexions entre machines. »
Le résultat est un modèle intenable qui submerge les opérateurs, les équipes de sécurité et, en fin de compte, les services et les systèmes qui doivent appliquer les stratégies.
L’identité : la voie à suivre
Les défis de sécurité associés au travail hybride s’ajoutent à ceux qui découlent du rythme rapide de la numérisation. Ensemble, ces défis feront évoluer les modèles de sécurité vers une approche centrée sur l’identité. Une approche qui prend en compte non seulement les utilisateurs humains, mais aussi les utilisateurs machines sous la forme de charges de travail, d’appareils et de scripts. Après tout, les charges de travail sont, de plus en plus, aussi éphémères que les personnes. Et au final, la charge de travail A reste la charge de travail A, quelle que soit l’adresse IP qu’elle utilise. Tout comme le collaborateur reste lui-même, qu’il se trouve au bureau, chez lui ou dans un train. Si l’adresse IP peut sans doute faire partie intégrante d’une stratégie de sécurité centrée sur l’identité, elle n’est pas le facteur principal ou déterminant pour autoriser l’accès à une ressource. Elle devient plutôt un attribut qui contribue à déterminer le niveau de vérification d’identité qui doit être requis.
Si je me trouve sur le réseau VPN/de l’entreprise, mes informations d’identification seront peut-être suffisantes. Mais si je n’y suis pas, alors peut-être que mes informations d’identification et un deuxième facteur devraient être requis. Et si je tente d’accéder au site à partir d’une nouvelle adresse IP, il y aura peut-être un troisième facteur.
Quelle que soit la manière dont l’adresse IP est utilisée, celle-ci ne doit plus être utilisée seule. Cela vaut également pour les charges de travail. Après tout, un logiciel malveillant peut effectivement se trouver « sur » le réseau de l’entreprise, mais il ne devrait jamais être autorisé à accéder aux applications et aux ressources du réseau.
En outre, nous devons développer notre acception de l’identité au-delà des personnes, pour englober les charges de travail, applications et appareils dont nous dépendons de plus en plus.
La menace Siloscape décrite comme « un logiciel malveillant [qui] s’attaque aux vulnérabilités connues des serveurs Web et des bases de données afin de compromettre les nœuds Kubernetes et d’ouvrir une porte dérobée dans les clusters » et de la menace que représentent des consoles de gestion mal configurées ? De nombreuses consoles de gestion sont sécurisées principalement par des contrôles basés sur l’adresse IP, lesquels finissent par être désactivés parce qu’ils interfèrent avec l’accès à distance, un impératif dans le modèle de travail hybride d’aujourd’hui.
Un ensemble de contrôles d’accès plus robustes, fondés sur l’identité, assurerait une protection contre le détournement et l’utilisation non autorisée, quel que soit l’emplacement d’origine de l’utilisateur. En outre, une sécurité robuste centrée sur l’identité fournirait une protection contre les systèmes compromis qui tentent d’infecter, de détourner ou d’exploiter d’autres ressources depuis la sécurité du « réseau de l’entreprise ».
Nous nous dirigeons lentement mais sûrement vers une sécurité basée sur l’identité, et ce depuis un bon moment déjà. Cependant, le boom de l’automatisation et de la numérisation, ainsi que la tendance à adopter des modèles de travail hybrides, vont accélérer cette tendance jusqu’à ce que nous abandonnions définitivement les adresses IP comme principale méthode de contrôle d’accès.
La sécurité centrée sur l’identité, telle est la voie à suivre.