Je vis en centre-ville et la pause déjeuner n’est vraiment plus comme avant. Alors que certaines personnes sont retournées travailler dans les bureaux, il me semble toutefois que ce n’est pas le cas de la majorité d’entre elles. Avec le recul, la pandémie aura probablement marqué un tournant à différents niveaux dans le monde entier, et les différents styles de vie professionnelle, notamment ceux reposant sur la présence physique dans les bureaux font partie du passé et un retour en arrière est très peu probable.
Grâce à cette flexibilité accrue, les employés ne se contentent pas de travailler à domicile via des routeurs Wi-Fi grand public ; ils passent également une partie de la journée au parc ou au café, ou optent même pour des “vacances-travail”. Les responsables de la protection des ressources de l’entreprise doivent donc partir du principe que ces systèmes endpoint se trouvent toujours en territoire hostile.
Même avant la pandémie, les entreprises qui travaillaient à améliorer leur maturité en matière de sécurité essayaient souvent l’approche de type “push-left”. Qu’est-ce qu’une stratégie de type “push-left” ? À son niveau le plus élémentaire, cette approche signifie connecter les divers éléments en amont, à savoir dès le début. Cette approche trouve son origine dans le développement logiciel où les étapes du processus de développement sont conceptualisées de gauche à droite, la gauche étant la partie amont, le début donc. Dans la sécurité appliquée, nous utilisons également le terme “push-left”, mais plutôt que de faire référence au processus de développement logiciel, nous faisons référence à la chaîne d’attaque, qui va de la reconnaissance à gauche à l’action (exfiltration ou autre objectif de l’attaquant) à droite.
Pendant de nombreuses années, les stratégies de sécurité les plus complètes ont impliqué la défense en profondeur. L’idée est que toutes les technologies ne sont pas adaptées pour détecter un type de menace donné, il est donc préférable de les déployer via différentes couches. Ces différents niveaux correspondent souvent directement à la position sur la “gauche” d’un élément malveillant particulier dans la chaîne d’attaque. Si vous pouvez détecter un élément aux frontières de votre réseau via votre pare-feu, votre messagerie ou vos filtres Web, vous avez contenu la menace avant même qu’elle n’ait eu un impact négatif sur vos activités opérationnelles.
Idéalement, vous souhaitez détecter et bloquer un attaquant le plus “à gauche” possible, c’est-à-dire le plus tôt possible. Pousser les détections vers la “gauche” alerte également les analystes en sécurité qu’une intrusion est peut être en cours, lesquels lancent alors une chasse aux menaces plus ciblée afin d’anticiper les lacunes dans vos défenses qu’un attaquant pourrait tenter d’exploiter.
Pour les employés présents physiquement dans vos locaux, vous pouvez centraliser le contrôle de ces défenses et assurer une protection optimale. La question est de savoir si vous êtes en mesure de fournir la même protection aux travailleurs distants, quel que soit l’endroit où ils se trouvent. Pouvez-vous surveiller et répondre aux menaces détectées au niveau de ces ressources lorsque vos équipes ne sont pas au bureau ? Comme beaucoup l’ont observé, cela n’a pas fonctionné aussi bien que nous l’aurions souhaité lorsque nous sommes tous sortis du confinement, beaucoup d’entre nous d’ailleurs n’avaient aucun plan précis à mettre en œuvre.
Bien qu’il y ait encore de nombreux avantages à surveiller le réseau lorsque vous en avez le contrôle, y compris la réduction des coûts au niveau des systèmes endpoint et la capacité à maintenir les menaces à distance des ressources sensibles, nous devons nous assurer que nous pouvons emporter cette protection avec nous autant que possible quand nous sommes en déplacement.
Nous devons non seulement nous assurer que la protection soit optimisée, mais aussi que nous ne perdrons pas notre capacité à surveiller, détecter et répondre aux attaques qui cibleraient ces ressources distantes. La plupart des entreprises sont passées à l’utilisation de solutions EDR/XDR (ou prévoient de le faire dans un avenir très proche), ce qui est un bon début, mais toutes les solutions ne sont pas complètes.
À l’ère du télétravail, les utilisateurs distants insuffisamment protégés peuvent rencontrer de nombreux problèmes : des URL et téléchargements malveillants, des attaques réseau, pour ne citer que les plus courants, lesquels, par le passé, auraient été gérés par des machines assurant la sécurité de la “forteresse” protégeant l’entreprise. Les principaux composants manquants lorsque les utilisateurs sont “hors de la forteresse” sont le filtrage HTTPS et l’inspection du contenu Web, généralement mis en œuvre au niveau des pare-feu Next-Gen. Lorsque vous ajoutez ces technologies à la protection de pré-exécution, à la détection comportementale, aux modèles d’apprentissage automatique, aux clients pare-feu, au DLP, au contrôle des applications et au XDR, vous commencez à envisager une pile complète de défenses que les attaquants doivent surmonter, même si les systèmes endpoint eux-mêmes sont désormais en totale liberté.
Pour que des initiatives telles que l’accès réseau Zero Trust (ZTNA) soient efficaces, nous devons non seulement encapsuler les applications avec lesquelles nous interagissons, mais nous devons également encapsuler les systèmes endpoint qui s’y connectent. Des vérifications simples comme par exemple la mise à jour du système d’exploitation et l’installation d’un logiciel de sécurité peuvent être un bon début, mais toutes les protections ne sont pas identiques en termes d’efficacité.
La plupart des appareils étant connectés à Internet chaque fois qu’ils sont utilisés, nous pouvons tirer parti de la puissance du Cloud pour fournir une protection et une surveillance omniprésentes. Les solutions de sécurité modernes doivent partir du principe que le système endpoint ou le téléphone se trouve à tout moment dans un environnement hostile. L’ancien principe qui s’appuyait sur la notion ‘d’intérieur’ et ‘d’extérieur’ n’est pas seulement dépassé, il est devenu en fait carrément dangereux.
Billet inspiré de No matter where your employees go, there you are, sur le Blog Sophos.