La sécurité des collaborateurs distants exige une mobilité orientée utilisateurs

Stratégies Channel

La réflexion et les conseils de Roger Hockaday, le Directeur Marketing d’Aruba Networks pour la zone EMEA

par Roger Hockaday, Directeur marketing, Aruba Networks EMEA

Il arrive que des entreprises et organisations, petites ou grandes, utilisent une connectivité  Wi-Fi grand public peu sécurisée dans leurs plus petits bureaux. Parfois, cet accès Wi-Fi est introduit par des collaborateurs eux-mêmes qui oublient malheureusement de prévenir leur direction informatique. D’autre part, les télétravailleurs se connectent souvent à des réseaux sans fil non administrés par leur entreprise, souvent partagés avec des ordinateurs résidentiels dont la sécurité est plus qu’aléatoire. Par ailleurs, les collaborateurs séjournant à l’hôtel, et donc utilisant des réseaux sans fil en même temps que d’autres utilisateurs inconnus, ne peuvent qu’espérer que leur pare-feu ait été activé …

Le modèle traditionnel de sécurité veut qu’un utilisateur nomade ou distant se connecte au réseau sécurisé d’entreprise via un VPN sécurisé. Cette approche est pertinente pour les ordinateurs portables mais présente néanmoins quelques inconvénients. En effet les clients IPSec et les liens VPN sécurisés par SSL connaissent leurs limites dans les cas suivants :

– Les utilisateurs de PDA qui se connectent au réseau d’entreprise
– Les téléphones GSM et Voix sur Wi-Fi qui se connectent au réseau d’entreprise
– L’utilisation des ordinateurs portables personnels des collaborateurs
– Les mises à jour de sécurité et de Windows automatiques, susceptibles de désactiver le client VPN sur les PC portables d’entreprise

Les utilisateurs nomades doivent pouvoir accéder au réseau d’entreprise, que leur lieu de connexion soit le siège social de l’entreprise, une filiale, un site distant, un domicile, une chambre d’hôtel ou encore un hotspot public. Ainsi, toute entreprise qui bâtit un réseau de mobilité doit tenir compte de la diversité des équipements des collaborateurs et de la multitude des lieux de connexion.

Le Wi-Fi assure une connectivité étendue au plus grand nombre d’équipements, mais en cas d’imprudence, une simple connexion à un point d’accès sans fil peut se révéler périlleuse. Des chevaux de Troie, spécialement créés pour duper les utilisateurs et les inciter à révéler leurs données d’authentification, sont de plus en plus fréquemment décelés sur les sites à partir desquels les ordinateurs portables se connectent. Dans un hôtel par exemple, l’utilisateur peut être tenté de se connecter à un réseau nommé « Accès Invité Gratuit », plutôt que d’utiliser sa carte bancaire pour accéder à un hotspot nommé “Orange”. D’autre part, l’utilisateur saura-t-il faire la différence entre un réseau légitime identifié sous le SSID “Orange” et un réseau “Orange hotspot” activé par des pirates ?

En réalité, plus l’utilisateur se connecte rapidement à un point d’accès légitime et sécurisé, plus il sera possible de maîtriser les risques qu’un pirate se connecte à un réseau d’entreprise.

Pour maîtriser ces risques, il s’agit de:

1.    Verrouiller les identifiants SSID des réseaux auxquels un ordinateur peut se connecter, en les limitant aux réseaux des fournisseurs de hotspots référencés et au SSID du réseau Wi-Fi d’entreprise. 
2.    Ne proposer d’un seul identifiant réseau qui sera utilisé par tous les collaborateurs pour accéder au réseau d’entreprise. Cette démarche se doit d’être appliquée également aux téléphones sans fil, pour que les collaborateurs n’aient plus de raisons de se connecter à un réseau non autorisé.
3.    Opter pour une solution de mobilité qui offre aux utilisateurs un seul et même réseau, quel que soit le lieu de connexion. Pour les accès dans le cadre des déplacements, il est vital de référencer un ou deux fournisseurs d’accès hotspot de confiance. Pour les accès distants, il est nécessaire d’équiper chaque collaborateur d’un point d’accès distant personnalisé qui achemine automatiquement les données jusqu’au réseau d’entreprise via un tunnel sécurisé par IPSec.
4.    Appliquer le 802.1x et le WPA-2 pour évaluer si un équipement est de confiance. Dans l’idéal, il faudra également mettre en place des contrôles pour valider la fiabilité et la sécurité des équipements distants connectés au réseau et assurer qu’ils n’ont pas été compromis.

Au final, les entreprises doivent garantir une sécurité uniforme pour chaque connexion, une sécurité fondée sur l’utilisateur et son profil, et ce, quel que soit le lieu ou se trouve l’équipement de connexion. C’est de cette manière qu’il sera possible de maîtriser les risques liés aux accès réseau des télétravailleurs et des collaborateurs distants.