Logiciels de prise de contrôle à distance : une pratique dangereuse en situation de télétravail Bien qu’inadaptés au télétravail, les logiciels de prise de contrôle à distance font malheureusement partie des outils utilisés par les entreprises pour permettre à leurs employés d’accéder de chez eux, depuis un poste personnel, à leur poste de travail professionnel resté au bureau. Son utilisation, relativement simple, a en effet parfois fait passer au second plan les risques de sécurité liés au recours à ce type de produit. Les logiciels de prise de contrôle à distance sont destinés à des usages de télémaintenance avec un utilisateur chargé d’initier la connexion et de surveiller les actions réalisées, et sont donc clairement incompatibles avec le télétravail. Logiciels de prise de contrôle à distance : des produits avant tout dédiés à la télé-assistance S’ils sont utilisés dans le bon contexte, les logiciels de prise de contrôle à distance ne sont pas à mettre en cause, c’est l’utilisation qu’en font certaines organisations qui est problématique. Utilisés dans un cadre professionnel, sur un usage de télémaintenance, ces logiciels ne présentent en effet pas un facteur de risque additionnel pour la sécurité des systèmes d’information. C’est d’ailleurs dans cette configuration qu’ils sont les plus utilisés. Ils permettent notamment aux supports informatiques et autres helpdesks de prendre la main sur les postes de travail des collaborateurs afin de résoudre tout type de problème survenant sur les sessions des utilisateurs. Cependant, leur usage initial est régulièrement détourné pour donner des accès à distance, notamment dans le cadre du télétravail. Depuis 2020 et l’avènement d’un télétravail qui s’est largement démocratisé, les éditeurs de logiciels de prise de contrôle à distance intègrent en effet de plus en plus le télétravail parmi les usages clés de leurs solutions malgré les lacunes de sécurité inhérentes à ce type de produit. La responsabilité est donc partagée entre ces éditeurs qui éludent les risques liés à l’utilisation de leurs solutions et les services informatiques qui ne suivent pas toujours les bonnes pratiques de cybersécurité et font alors peser un risque sur l’ensemble du système d’information de leur organisation. Pourquoi sont-ils inadaptés au télétravail ? Si les logiciels de prise de contrôle à distance sont à proscrire pour le télétravail, c’est avant tout pour les raisons liées à la sécurité du système d’information : Tous les flux transitent à travers le cloud, et le poste accédé est exposé à l’extérieur (attaque potentielle de type « man in the middle »).Les accès se font pour la plupart par des authentifications simples inadaptés au contexte d’accès distants.Une fois que l’utilisateur distant a pris le contrôle à distance de la machine, il peut rebondir, et donc faire peser un risque sur l’ensemble du système d’information.Aucune traçabilité ni aucun contrôle de ces accès par le département informatique de l’organisation n’est possible, ce qui empêche de trouver la source de toute compromission potentielle. Par ailleurs, ces logiciels de prise de contrôle à distance ont un coût de licence et d’exploitation élevés puisqu’ils nécessitent notamment l’installation d’un agent sur le poste de travail qui, s’il n’est pas régulièrement mis à jour, est à la merci de failles de sécurité non corrigées. ZTNA et CASB : Les technologies à privilégier pour sécuriser les accès distants Pour sécuriser leurs accès distants, les organisations doivent donc se détourner des logiciels de prise de contrôle à distance (tout du moins pour leurs usages liés au télétravail et aux accès distants de partenaires ou prestataires) pour privilégier les technologies de ZTNA (Zero Trust Network Access) ou de CASB (Cloud Access Security Broker) qui permettent de réellement sécuriser ces accès, qu’il s’agisse de postes maitrisés ou non et de réseaux maitrisés ou non. C’est sur la technologie du ZTNA que s’appuie Systancia Workroom, la solution d’accès distant sécurisé « zero trust » de Systancia, en services cloud, qui permet aux organisations de sécuriser tous les accès quel que soit le contexte (télétravail, mobilité, astreinte, infogérance, prestation, etc.). A l’inverse de la plupart des logiciels de prise de contrôle à distance, le produit offre une authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More forte (MFA) native et permet de vérifier l’intégrité et la conformité du poste, essentiel dans un contexte de postes non maitrisés. De plus, l’entreprise a la maitrise de ceux qui accèdent aux ressources et applications en interne, jusqu’à appairer automatiquement l’utilisateur avec son poste (via l’annuaire) de manière automatique (cas d’un utilisateur externe qui accède à son poste fixe resté au bureau). Par ailleurs, la solution permet de garantir la confidentialité des données puisque, là où dans le cas des logiciels de prises de contrôle à distance, les flux de données transitent sur les serveurs des éditeurs de ces solutions, avec une solution de ZTNA telle que Systancia Gate, seul le client pourra avoir accès à ces données. Le ZTNA va aussi permettre de limiter les droits / habilitations en fonction de l’identité, du contexte d’utilisation et des applications / données utilisées pour mettre en œuvre le principe de moindre privilège.
Conformité réglementaire Moindre privilège : un principe clé pour la sécurité du système d’information