D’après une enquête Microsoft-OpinionWay, 36 % des actifs français ont télétravaillé pendant les grèves et pour 42% d’entre eux, il s’agissait de la première expérience de télétravail. Pendant l’épidémie de coronavirus, cette proportion a évidemment explosé !
Pour beaucoup, le VPN (Virtual Private Network, réseau privé virtuel) constitue une solution technique permettant la mise en place de manière efficace du télétravail. C’est notamment une alternative aux réseaux Wi-Fi publics. Selon les experts de Dahslane, « comme les réseaux Wi-Fi publics ne sont pas sécurisés, tout site ou service n’utilisant pas le chiffrement pourrait être compromis, permettant à un pirate d’accéder à des informations sensibles. Un VPN chiffre toutes les activités sur Internet, de la navigation sur Internet aux appels via la VoIP et tout ce qui se trouve entre les deux, bloquant ainsi les piratages potentiels. »
Le VPN, une technologie du passé ?
Toutefois, selon IDC, 97 % des entreprises admettent que leurs réseaux ne peuvent pas suivre le rythme du cloud. Mais, pour Didier Schreiber, expert de la société Zscaler en France, privilégier les VPN souffre de deux inconvénients majeurs. D’une part, « le VPN est une technologie du passé et présente bien plus de problèmes qu’il n’en résout. » À l’époque où le VPN a été introduit pour la première fois, en 1996, il fonctionnait comme annoncé, offrant une connectivité sécurisée aux utilisateurs distants qui avaient besoin d’accéder aux applications hébergées dans le datacenter sans laisser leurs secrets s’échapper.
« Ce furent les années d’or des VPN et ils ont contribué à forger une relation solide avec les entreprises du monde entier. Mais les temps ont changé, tout comme l’organisation. Les entreprises sont désormais modernes et numériques, car beaucoup ont adopté le cloud et la mobilité ; malheureusement, l’autre partenaire de la relation – le VPN – ne l’a pas fait et est resté coincé dans le passé. »
Le VPN est-il soluble dans le cloud ?
D’autre part, la technologie VPN n’a pas été conçue pour le cloud. « Elle a été conçue à une époque où toutes les données et applications d’une entreprise étaient stockées dans le datacenter. Mais, comme de plus en plus d’entreprises adoptent le cloud, les VPN semblent présenter plus de problèmes qu’ils n’en résolvent. » Pour Zscaler, le fait que la technologie VPN n’a pas été conçue pour le cloud, présente trois inconvénients.
D’abord, les VPN entraînent une mauvaise expérience utilisateur : « Avec les VPN, le trafic est redirigé vers un datacenter, ce qui rend l’accès douloureusement lent pour l’utilisateur. Même avec le cloud comme nouvelle réalité, le trafic est toujours en cours de redirection, ce qui alimente le problème de performance. »
Ensuite, les VPN rendent les entreprises vulnérables : « Les serveurs VPN doivent être exposés afin que les utilisateurs distants puissent les « trouver », puis accéder au réseau d’entreprise via des tunnels statiques qui creusent des trous à travers les pare-feux. La même technologie conçue pour protéger les entreprises les rend vulnérables aux logiciels malveillants et aux attaques. Aujourd’hui, les VPN sont connus pour être l’une des principales sources de faille pour les entreprises, et c’est pour cette raison que les entreprises les plus avancées sur le sujet de la cybersécurité cherchent à mettre en place de nouvelles solutions pour s’en affranchir. »
Enfin, les VPN sont très gourmands en ressources. « Les VPN nécessitent beaucoup d’attention et d’énergie. Au fur et à mesure que l’organisation grandit, le VPN doit évoluer, ce qui est un processus fastidieux qui peut souvent être une perte de temps. Cependant, une fois que le VPN et la passerelle entrante sont correctement dimensionnés, il y a la question de patcher les serveurs VPN, une tâche qui est souvent lente ou même oubliée. Aujourd’hui, les équipes sont invitées à faire plus avec moins, créant souvent un défi humain qui mène à des failles de sécurité. »
Quatre bonnes pratiques
Pour Didier Pichon, vice-président de MTI France, quatre bonnes pratiques doivent être mises en place :
1. Vérifier les licences VPN
D’une manière générale, les travailleurs à domicile qui accèdent aux ressources du réseau d’entreprise le font via un VPN. Cela garantit que, quel que soit leur type de connexion depuis un endroit éloigné du réseau d’entreprise, ils peuvent travailler sous les différentes protections et politiques qui s’y appliquent.
Les VPN sont généralement attribués sous forme de licence par utilisateur, et si les organisations disposent souvent d’un certain nombre de licences, la plupart n’en ont pas assez pour mettre un grand nombre de nouveaux travailleurs à domicile en ligne dans un court laps de temps. Pour que le VPN fonctionne et pour qu’il puisse assurer une bonne sécurité des applications d’entreprises, il faut qu’il soit configuré correctement ainsi que les serveurs sur lesquels il tourne.
Il est conseillé de se renseigner auprès de ses partenaires informatiques qui sont en relation étroite avec les principaux fournisseurs de VPN, notamment Cisco et Palo Alto, et qui peuvent avoir accès à des options tarifaires préférentielles, mises en place pour aider les entreprises à relever le défi soulevé par l’épidémie de coronavirus.
2. Contrôler l’utilisation des applications cloud
Certains utilisateurs sont en mesure de travailler en utilisant uniquement des applications cloud. Pour ces derniers, l’accès VPN au réseau de l’entreprise peut se révéler inutile. Toutefois, ces utilisateurs, qui accèdent aux applications cloud sans se connecter au réseau, ne seront pas régis par les politiques de l’entreprise et ne bénéficieront pas des protections mises en place sur celui-ci.
Cela présente bien sûr des risques en terme de sécurité. Par exemple, lorsqu’un utilisateur transmet ses identifiants de connexion de manière non sécurisée, ou lorsqu’il accède à un site Web compromis, il peut permettre l’installation de logiciels malveillants sur son appareil : une mise en danger évidente pour lui-même et son équipement, mais également pour les actifs de l’entreprise.
Pour faire face à ce défi, deux approches peuvent être adoptées. Un portail d’authentification unique sécurisée (SSO) permet aux utilisateurs de se connecter une fois, puis de s’authentifier sur les applications cloud lorsqu’ils en ont besoin. Ceux-ci étant connectés par le portail SSO, la DSI peut appliquer les politiques de l’entreprise, par exemple en contrôlant les applications cloud auxquelles chaque utilisateur peut accéder.
Le SSO peut être rapidement opérationnel, configuré et lancé en seulement deux ou trois heures. Parallèlement, des outils de filtrage du Web, tel que Cisco Umbrella par exemple, peuvent gérer l’accès aux sites Web de l’entreprise à chaque fois qu’un ordinateur portable de l’entreprise est utilisé pour accéder à Internet, où que ce soit dans le monde.
3. Protéger le terminal
Lorsque l’entreprise fournit aux employés leurs ordinateurs pour le travail à distance, il est important que les machines soient correctement sécurisées, cryptées et configurées pour un usage domestique. Plusieurs logiciels permettant une protection des données sensibles sur les différents End Points des utilisateurs existent.
Les tests de pénétration sont utiles à cet égard, car ils permettent de déceler les faiblesses des ordinateurs portables standard et d’identifier les domaines dans lesquels la sécurité des appareils peut être améliorée.
4. Former les utilisateurs
Aucune protection technologique ne sera utile si les utilisateurs n’adoptent pas des mesures de travail sûres et sécurisées. Les nouveaux venus dans le monde du télétravail auront tout particulièrement besoin d’être informés à ce sujet. Des formations ou des conseils de bonnes pratiques sont disponibles auprès de plusieurs fournisseurs et peuvent être mis en place en quelques heures, pour des personnes spécifiques ou plus largement pour l’ensemble du personnel, en fournissant des instructions sur les habitudes de travail sûres, telles que la sécurité des ordinateurs portables et la prévention des points d’accès Wi-Fi publics non sécurisés.
Les bonnes pratiques pour optimiser les pratiques de télétravail | |
Bonnes pratiques | Actions |
Favoriser l’autonomisation de l’expérience des collaborateurs |
|
Assurer la continuité des activités |
|
Anticiper la charge d’un grand nombre de participants lors de réunions virtuelles |
|
Évaluer le travail à distance dans l’entreprise |
|
Assurer la sécurité de votre entreprise |
|
Source : Avanade. |