Télémaintenance : Quels outils privilégier ? Si elle est essentielle au bon fonctionnement des organisations, la télémaintenance présente certains risques cyber relatifs aux accès distants que l’on peut néanmoins atténuer voire supprimer en utilisant les bons outils informatiques. Plusieurs solutions sont communément utilisées pour la télémaintenance telles que les logiciels de prise de contrôle à distance, les VPN, les solutions de ZTNA (Zero Trust Network Access) ou encore les solutions de PAM (Privileged Access Management), qui ne se valent pas en termes de cybersécurité. Télémaintenance : un enjeu de performances mais aussi un risque cyber La télémaintenance vise à résoudre un problème informatique ou à mener des opérations via une prise de contrôle d’un système ou d’un réseau à distance. Elle est gage de réactivité et de praticité pour garantir la continuité de l’activité. Le terme, assez large, peut englober des problématiques de type helpdesk pour des résolutions de problèmes isolés sur un poste de travail ou encore des problématiques de type téléadministration où un prestataire va être amené à intervenir sur le système d’information de son client pour l’administration de celui-ci. C’est ce deuxième cas de figure qui est à même de poser le plus de risques pour la sécurité du système d’information. Dans le cadre d’une prise de contrôle à distance de la part d’un prestataire, il y a plusieurs enjeux à prendre en compte parmi lesquels celui de la traçabilité des accès et actions menées puisqu’en cas de besoin, l’organisation doit être capable de retrouver la source des problèmes qui pourraient survenir. Un autre enjeu est celui de l’authentificationL’authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service… More qui doit être renforcée pour prévenir les tentatives d’usurpation d’identité, ou encore l’enjeu de la réduction des possibilités de mouvements latéraux au sein du système d’information. Les solutions à éviter S’ils sont parfaitement adaptés aux actions de type helpdesk, entre le service informatique et les collaborateurs d’une même organisation, les logiciels de prise de contrôle à distance ne disposent pas des fonctionnalités de sécurité nécessaires aux accès distants de prestataires pour les actions de télémaintenance du système d’information. Dans ce cas de figure, un agent permettant l’accès externe, doit être installé sur un poste de travail. Cet agent, détectable par des outils qui analysent tous les ports ouverts de l’extérieur, devient alors un point d’entrée potentiel pour un hacker. Par ailleurs, un prestataire accédant au poste de travail à distance dispose alors de tous les droits d’accès liés à celui-ci alors que ses droits d’accès devraient être adaptés à son profil spécifique d’intervenant externe. Ces outils ne proposent par ailleurs pas d’authentification renforcée permettant d’élever le niveau de sécurité de la personne qui accède au poste de travail et la traçabilité se limite à la seule information de log présente sur le poste de travail uniquement. Les VPN, également utilisés par de nombreuses entreprises pour donner des accès distants à leurs prestataires, ne répondent pas non plus à tous les enjeux de sécurité. Le rôle originel du VPN est de faire communiquer deux réseaux de confiance ensemble, donc des réseaux intra-organisation. Du point de vue de l’organisation, le prestataire ne peut pas être qualifié de confiance étant donné qu’elle n’a aucun contrôle sur le réseau de celui-ci. Le VPN ne permet par exemple pas de mettre en œuvre le principe de moindre privilège, pourtant indispensable à la sécurité des systèmes d’information. De plus, à l’instar des logiciels de prise de contrôle à distance, les VPN nécessitent l’installation d’agents sur les postes de travail. Or, les agents nécessitent des mises à jour régulières pour corriger des vulnérabilités et sachant qu’il faut en moyenne un mois à l’éditeur pour sortir la correction d’une vulnérabilité et à l’entreprise en moyenne un mois pour la déployer sur l’ensemble de ses agents, l’organisation est alors exposée à ces vulnérabilités pendant un laps de temps incompressible. Celles à privilégier Dans le cadre d’une télémaintenance du système d’information par des prestataires externes, le ZTNA est à privilégier car ses fonctionnalités de sécurité sont compatibles avec des accès distants qui ne sont pas qualifiés de « confiance ». Systancia Workroom Session Service, la solution d’accès distant sécurisé « zero trust » de Systancia, en services cloud, permet par exemple des accès sans agent ainsi que la mise en œuvre du principe de moindre privilège qui permet, dans ce cas de figure, de limiter les droits et habilitations de ces prestataires externes aux seules applications et données qui leur sont nécessaires dans le cadre de leurs missions. Les ressources accédées sont « cachées » du réseau Internet. La connexion à la ressource est faite par la passerelle en interne, il n’y a donc pas d’exposition de la ressource sur Internet, celle-ci est isolée d’Internet tout en étant accessible depuis Internet via la solution ZTNA et l’accès à la ressource n’est ouvert qu’au moment du besoin et de l’utilisation, via des ports éphémères et aléatoires. Par ailleurs la solution offre une traçabilité fine (qui permet de savoir qui s’est connecté à quoi) et permet de vérifier l’intégrité et la conformité du poste et d’authentifier l’utilisateur de façon forte avec un panel de solutions supportées, et offrant même le SSO (Single Sign-On) pour les ressources en backend. Quant au PAM, il permet d’aller encore plus loin pour la sécurité du système d’information notamment grâce à la surveillance des actions menées par les prestataires via un monitoring accessible en temps réel ou a posteriori (qui permet de savoir qui s’est connecté à quoi pour faire quoi). Systancia Cleanroom Session Service, la solution de Privileged Access Management de Systancia en service cloud public, permet par exemple d’enregistrer au format vidéo des sessions d’administration, et d’analyser automatiquement leur contenu pour retrouver rapidement le contexte et la modification réalisée. Elle permet de protéger l’accès aux ressources par un renforcement de l’authentification en amont de la connexion, et par l’injection des comptes à privilèges utilisés sur les ressources administrées. De plus, elle offre également la possibilité de mettre en œuvre une fonctionnalité d’authentification continue qui permet d’assurer en temps réel l’identité du prestataire connecté.
Conformité réglementaire Moindre privilège : un principe clé pour la sécurité du système d’information