Standards minimaux: Sécurisation des accès à distance

Principaux types de risques

Les connexions à distance sont sensibles à divers types d'attaques, principalement en raison de l'exposition des ressources réseau à des menaces potentielles provenant d'Internet ou d'autres réseaux externes. Certaines principales attaques liées aux connexions à distance incluent :

Vol de mots de passe:

Les pirates informatiques tentent de deviner les mots de passe des utilisateurs en utilisant des logiciels qui testent des millions de combinaisons possibles. Ou plus communement, les pirates envoient des mails de phishing incitant les utilisateurs à saisir leurs identifiants de connexion.

Les pirates peuvent ensuite usurper l'identité et avoir un accès direct au réseau interne de l'entrperise si aucune authentification multifacteur (MFA) n'a été implémentée.

Vol de données:

Dans la plupart des cas, les employés utilisent leur propre connexion Internet en télétravail, voire des réseaux Wi-Fi publics. Ces réseaux peuvent être vulnérables aux attaques et peuvent permettre l'interception des échanges des données sensibles par une attaque de type “man in the middle”.

Phishing:

Le télétravail augmente la vulnérabilité des employés aux attaques de phishing. Les attaquants exploitent la distance physique entre les collaborateurs pour usurper leur identité et demander par exemple des ordres de virement frauduleux.

Vol d'appareil:

La perte ou le vol d'appareils utilisés pour accéder à distance aux systèmes peuvent entraîner des risques de sécurité, notamment l'accès non autorisé aux données stockées sur ces appareils ou l'utilisation frauduleuse des informations qu'ils contiennent.

Exploitation de vulnérabilités logicielles:

Les logiciels de connection à distance obsolètes ou non mis à jour peuvent contenir des vulnérabilités que les pirates informatiques peuvent exploiter pour accéder aux systèmes et aux données.

Conséquences potentielles

Une fois que l'attaquant a été capable de se connecter, les conséquences potentielles sont nombreuses:

• Perte de données confidentielles ou sensibles
• Interruption des services informatiques
• Atteinte à la réputation de l'entreprise
• Sanctions financières
• Vols d'identité

Mesures de mitigation

Authentification forte

L'authentification forte est un processus qui exige des utilisateurs de fournir plusieurs informations d'identification pour se connecter. Cela peut inclure un mot de passe, un code PIN ou une empreinte digitale. L'authentification forte rend plus difficile pour les pirates informatiques d'accéder aux systèmes et aux données, même s'ils parviennent à obtenir l'un des facteurs d'authentification.

• Utiliser un mot de passe fort et unique pour chaque compte. Un mot de passe fort doit comporter au moins 12 caractères et inclure des lettres majuscules et minuscules, des chiffres et des symboles.
• Activer l'authentification à deux facteurs (2FA). La 2FA ajoute une couche de sécurité supplémentaire en exigeant des utilisateurs de fournir un code supplémentaire en plus de leur mot de passe. Ce code peut être envoyé par SMS, par e-mail ou via une application d'authentification.
• Utiliser un gestionnaire de mots de passe pour stocker vos mots de passe en toute sécurité. Un gestionnaire de mots de passe est un outil qui vous permet de stocker tous vos mots de passe dans un coffre-fort crypté.

Réseau privé virtuel (VPN)

Un VPN est un réseau privé qui utilise un tunnel crypté pour acheminer le trafic Internet entre l'appareil de l'utilisateur et le serveur VPN. Cela permet de protéger les données contre les regards indiscrets et les attaques.

• Choisir un VPN qui offre un niveau de sécurité élevé. Recherchez un VPN qui utilise un cryptage fort et qui a une politique de confidentialité stricte.
• Utiliser le VPN chaque fois que vous vous connectez à un réseau Wi-Fi public. Les réseaux Wi-Fi publics ne sont pas sécurisés et les pirates informatiques peuvent facilement intercepter vos données.
• S'assurer que le VPN est toujours à jour. Les VPN publient régulièrement des mises à jour pour corriger les vulnérabilités de sécurité.

Contrôle d'accès basé sur les rôles

Le contrôle d'accès basé sur les rôles (RBAC) permet de limiter l'accès aux systèmes et aux données aux utilisateurs qui en ont besoin. Cela permet de réduire le risque d'accès non autorisé et de fuite de données.

• Définir des rôles pour chaque utilisateur en fonction de ses besoins. Par exemple, un utilisateur peut avoir besoin d'accéder à tous les fichiers d'un dossier, tandis qu'un autre utilisateur peut uniquement avoir besoin de les afficher.
• Utiliser des groupes pour simplifier la gestion des autorisations. Vous pouvez ajouter des utilisateurs à des groupes en fonction de leurs rôles.
• Surveiller régulièrement les autorisations des utilisateurs. Assurez-vous que les utilisateurs n'ont accès qu'aux données dont ils ont besoin.

Mises à jour logicielles

Il est important de maintenir les logiciels à jour avec les derniers correctifs de sécurité. Cela permet de corriger les vulnérabilités qui pourraient être exploitées par les pirates informatiques.

• Activer les mises à jour automatiques pour le système d'exploitation et les logiciels. Cela permet de garantir que les dernières mises à jour de sécurité sont installées dès qu'elles sont disponibles.
• Vérifier régulièrement les mises à jour disponibles pour les logiciels et les applications. Vous pouvez également utiliser un outil de gestion des correctifs pour automatiser ce processus.

Surveillance et journalisation

Il est important de surveiller les accès à distance et de consigner les événements de sécurité. Cela permet de détecter les activités suspectes et de réagir rapidement aux incidents de sécurité.

• Activer la journalisation des événements de sécurité. Cela vous permettra de détecter les activités suspectes et de réagir rapidement aux incidents de sécurité.
• Surveiller régulièrement les journaux de sécurité. Vous pouvez utiliser un outil de surveillance des événements de sécurité pour automatiser ce processus.

Référence

ISO27001: Sections

• 5.1 Contrôle d'accès
• A.10.1.2 Accès à distance
• A.17.1.1 VPN

Norme minimale TIC confédération: Chapitre

• 2.3.1 Gestion des accès (Access management)