Télétravail : 4 règles d’or pour limiter les risques d’intrusion et d’infection virale de vos réseaux

Par Samuel Janin - Expert Cybersécurité, Mazars
Mis à jour le 10/04/2020

Utilisation détournée du poste de travail, vol des secrets de connexion, infection virale… En cette période de confinement, les solutions de télétravail déployées dans l’urgence peuvent présenter des failles de sécurité. Heureusement, le respect de 4 grands principes permet de limiter considérablement les risques d’intrusion et d’infection des réseaux.

Limiter les privilèges

Les utilisateurs de PC portables ne doivent pas avoir de privilèges d’administration permanents sur leurs postes.

Dans le cas où des droits administrateurs momentanés doivent leur être attribués, pour installer le client VPN par exemple, alors des mécanismes de type « bris de glace » peuvent être mis en place et permettent, en fin d’installation, de retrouver un poste sécurisé. En cas d’infection par un virus ou malware, celui-ci ne pourra pas installer son programme avec des droits étendus : cela limitera fortement son pouvoir de nuisance mais aussi le risque d’intrusion, de malware ou de keylogger sur le poste.

Ne pas prêter son poste à un tiers

Le PC portable professionnel confié aux collaborateurs ne doit jamais être utilisé pour autre chose que le travail.

La navigation sur Internet, et à plus forte raison sur des sites de streaming, expose à la fuite de données et à des infections virales majeures. Un risque d’autant plus important si l’utilisateur n’est pas concerné par les données présentes sur poste et/ou s’il ne respecte pas les règles d’hygiène informatique suffisantes. Laisser son enfant ou toute autre personne utiliser son poste professionnel est une faute.

Passer à l’authentification forte

Implémenter des mécanismes d’authentification couplant une authentification au niveau du PC portable et une authentification forte de l’utilisateur permet d’éviter qu’un tiers non autorisé puisse avoir accès aux ressources.

En recourant à un mécanisme d’authentification réseau de l’équipement, il devient dès lors très complexe d’initier une connexion à distance depuis un poste pirate. Et si ce mécanisme se voit contourné ou non mis en œuvre, l’authentification de l’utilisateur par un mécanisme à double facteur peut suffire. Il convient d’utiliser un token ou un mot de passe à usage unique – OTP (one time password). La combinaison des deux garantit l’authenticité des utilisateurs.

Limiter les flux applicatifs autorisés

La sécurité peut être renforcée en limitant les flux applicatifs autorisés pour chaque collaborateur, selon son profil, et en choisissant des composants spécialisés et dédiés à la gestion des contrôles d’accès.

Doivent également être mis en place un annuaire et un serveur d’authentification dédiés aux télétravailleurs, à placer en DMZ (une zone « démilitarisée » entre Internet et les réseaux internes) pour limiter leurs risques de compromission.

Par ailleurs, la mise en place de règles de filtrage applicatif au niveau des firewalls permet de limiter les risques de rebond vers les réseaux internes depuis un poste de télétravail. Côté poste utilisateur, interdire les connexions avec tout composant dans l’environnement direct du poste, lorsque le VPN est actif, contribue également à réduire le risque de rebond.

Concrètement, comment mettre en œuvre ces bonnes pratiques ?

A noter que des solutions complémentaires existent et que les questions techniques relatives à leur mise en œuvre sont multiples.