CyberArk https://www.cyberark.com/fr/ Mon, 02 Nov 2020 15:01:36 +0000 fr-FR hourly 1 https://wordpress.org/?v=6.5.3 Cinq règles simples pour la mise en œuvre du VPN pour le personnel à distance https://www.cyberark.com/fr/blog/five-simple-rules-for-implementing-vpn-for-the-remote-workforce/ Mon, 02 Nov 2020 15:00:28 +0000 https://www.cyberark.com/blog/cinq-regles-simples-pour-la-mise-en-oeuvre-du-vpn-pour-le-personnel-a-distance/

Pour de nombreux collaborateurs, la routine de travail du matin est bien différente aujourd’hui. Au lieu de se rendre au bureau, ils préparent leur café, « font la route » jusqu’à leur espace de travail à domicile et se connectent à un réseau privé virtuel (VPN) pour accéder aux ressources et applications de l’entreprise.

Le VPN est l’une des solutions les éprouvées pour sécuriser l’accès à distance, même si elle est un peu risquée. Risquée car, si le VPN n’est pas correctement mis en œuvre et géré, les cybercriminels peuvent exploiter certaines faiblesses afin d’obtenir un accès à privilèges aux systèmes et données sensibles. En fait, certaines organisations choisissent de nouveaux moyens pour connecter leurs équipes à distance, qui éliminent le recours aux VPN ou aux agents et contribuent à rationaliser les opérations et les flux de travail des utilisateurs.

Pour les entreprises utilisant des VPN, il est important que la pile VPN fasse l’objet de correctifs réguliers, en utilisant un chiffrement adéquat et en surveillant en permanence les modèles de trafic et l’utilisation. Il est encore plus important de s’assurer que les utilisateurs se connectant au VPN sont authentifiés avec un degré de certitude élevé. Il faut également vérifier que les appareils sont validés et que les privilèges et droits associés sont conformes au principe du moindre privilège. Tous ces aspects ne ressemblent-ils pas aux principes fondateurs de la sécurité Zero Trust ?

image 1

Examinons cinq bonnes pratiques de mise en œuvre d’un VPN dans le contexte de ces trois piliers de la sécurité Zero Trust.

Règle nº 1 : Vérifier les utilisateurs : assurez-vous que la solution VPN prend en charge l’authentification à plusieurs facteurs (MFA) via RADIUS et/ou SAML.

La plupart des solutions VPN prennent en charge différents types de mécanismes d’authentification, selon le type de VPN (site à site, utilisateur distant). La prise en charge de la MFA peut s’effectuer via RADIUS. Dans ce cas, le serveur VPN devient un client RADIUS d’un serveur RADIUS, qui à son tour est capable d’effectuer une authentification à plusieurs facteurs. Par exemple, le logiciel CyberArk Idaptive Connector peut servir de serveur RADIUS ou de proxy AD pour effectuer une authentification AD et présenter un deuxième facteur sous forme d’authentifiant mobile : OATH OTP, ou e-mail.

La figure suivante illustre les différentes étapes de l’authentification RADIUS entre le client RADIUS et le connecteur CyberArk Idaptive, qui agit en qualité de serveur RADIUS (entre autres).

image 3

Une autre manière d’intégrer un VPN avec un IDP externe pour l’authentification consiste à utiliser SAML. Cette méthode n’est pas prise en charge par tous les fournisseurs de VPN, mais si elle est prise en charge, il n’est pas nécessaire d’installer un client VPN de bureau sur les points d’extrémité. Vous trouverez ci-dessous une illustration du fonctionnement de la solution Global Protect de Palo Alto Network.

image 4

Si vous recherchez une solution VPN, posez-vous les questions suivantes :

  1. Prend-il en charge la MFA ?
  2. La solution nécessite-t-elle l’installation d’un client VPN sur les points d’extrémité ? Si oui, quels sont les mécanismes d’authentification pris en charge ? Par exemple, certains mécanismes sont envoyés directement au fournisseur d’authentification (AP) pour vérification à partir du mécanisme, tandis que d’autres exigent que l’utilisateur final interagisse avec le client VPN pour saisir un code (par exemple, code OATH OTP), qui est ensuite envoyé au AP pour vérification.
  3. La solution prend-elle en charge un mécanisme d’authentification pour le VPN sans client, comme SAML ? Cette caractéristique est particulièrement pratique : l’administrateur informatique n’a pas besoin de s’assurer que la bonne version du client est installée sur chaque poste et il peut donc adopter un plus large éventail de points d’extrémité de manière sécurisée. Certains clients (Anyconnect de Cisco est un exemple) sont compatibles avec les navigateurs intégrés, qui peuvent ensuite prendre en charge SAML.

Règle nº 2 : Restreindre les accès : assurez-vous que le serveur RADIUS fonctionne avec des attributs spécifiques pour limiter l’accès et l’autorisation.

Les attributs spécifiques aux fournisseurs (VSA) sont nécessaires si vous souhaitez accorder aux utilisateurs des autorisations pour plusieurs types d’accès. Par exemple, en fonction du rôle de l’utilisateur, ce dernier peut bénéficier d’un niveau de privilège particulier, limitant ainsi l’accès. Les VSA peuvent être utilisés en combinaison avec des attributs définis par RADIUS. Par exemple, ce lien montre les VSA de Cisco.

Règle nº 3 : Vérifier les utilisateurs : la solution d’authentification (CyberArk Idaptive dans notre cas) peut prendre en charge un environnement VPN hétérogène.

Souvent, une entreprise utilise plusieurs fournisseurs de VPN en prenant en charge un mélange de protocoles pour l’authentification et le contrôle d’accès. Le serveur RADIUS/IDP doit pouvoir prendre en charge différents profils d’authentification, notamment pour les différents serveurs VPN (clients RADIUS). Par exemple, si des ressources sensibles sont accessibles à partir d’un serveur VPN, un profil d’authentification utilisant une authentification plus forte peut être appliqué pour ce réseau par rapport à autre serveur VPN permettant d’accéder à des ressources moins critiques.

Règle nº 4 : Limiter intelligemment l’accès : la solution IDP propose une solution adaptative, tenant compte des risques.

Même en cas d’utilisation d’un seul serveur VPN, le fournisseur d’authentification doit être en mesure de détecter les anomalies comportementales de l’utilisateur et de présenter différents défis en fonction des risques associés à l’utilisateur. Cette capacité est particulièrement importante dans le scénario actuel, où la plupart des collaborateurs, si ce n’est tous, vont devoir télétravailler pendant un certain temps.

Règle nº 5 : Valider les appareils : le point d’extrémité lui-même est protégé par la MFA et par un accès conditionnel.

Étant donné que les utilisateurs sont distants et qu’ils utilisent potentiellement leurs propres appareils (BYOD), il est important de n’accorder l’accès qu’aux appareils dont les utilisateurs ont été vérifiés par MFA dans le cadre de la connexion à l’appareil.

image 5

Pour plus d’informations sur la sécurisation de votre personnel à distance, visitez notre Centre de ressources pour la distanciation du risque.

]]>
Pourquoi l’authentification à plusieurs facteurs (MFA) sur les ordinateurs de bureau est-elle essentielle à la sécurité de vos points d’extrémité ? https://www.cyberark.com/fr/blog/why-desktop-mfa-is-essential-to-your-endpoint-security/ Mon, 02 Nov 2020 15:00:11 +0000 https://www.cyberark.com/blog/pourquoi-lauthentification-a-plusieurs-facteurs-mfa-sur-les-ordinateurs-de-bureau-est-elle-essentielle-a-la-securite-de-vos-points-dextremite/ L’ordinateur portable de travail d’un employé est un véritable trésor pour les acteurs malveillants qui y accèdent.

Réfléchissez. Bon nombre des applications que vous utilisez sur votre ordinateur portable ne vous demandent aucun code d’accès, en particulier si votre entreprise n’a pas de politique MFA robuste. Les mots de passe de vos applications peuvent être mis en cache dans votre navigateur pour plus de commodité, mais cela en fait également une cible facile pour le vol d’identifiants. Si votre entreprise utilise l’authentification par certificat ou iWA pour plus de praticité, la plupart des applications peuvent être directement accessibles à partir d’un appareil de confiance, sans aucune demande d’authentification. Sachant que même une entreprise de taille moyenne peut utiliser plus de 100 applications SaaS, imaginez l’ampleur des dommages qu’il est possible de causer en accédant à quelques applications.

Même si le monde évolue vers le stockage dans le Cloud, certains collaborateurs aiment stocker des copies de fichiers importants et sensibles sur One Drive, Box ou Dropbox. Les employés qui sont constamment en déplacement, comme les commerciaux, aiment conserver des informations critiques localement, car ils n’ont pas toujours accès au Cloud. Ces fichiers peuvent contenir des prospects, des informations financières, des informations sur les partenaires, du code, des secrets commerciaux, etc.  Dans le pire des cas, un employé négligent peut avoir stocké ses mots de passe dans une feuille de calcul.

Outre les données sensibles de l’entreprise, un ordinateur portable moyen peut renfermer plusieurs fichiers contenant certaines informations personnelles du propriétaire, comme son adresse, son numéro de téléphone, son e-mail, son numéro de sécurité sociale et ses informations de compte bancaire ou de carte de crédit. Entre de mauvaises mains, ces informations financières vitales peuvent être utilisées pour usurper l’identité du collaborateur.

De plus, les clients de messagerie comme Outlook sont généralement dans un état « toujours ouvert », ce qui pose un véritable risque. Les adresses e-mail des collaborateurs peuvent être utilisées pour réinitialiser les mots de passe de différents services, et les messages eux-mêmes contiennent souvent des informations sensibles sur l’employeur. Grâce à l’ingénierie sociale, les attaquants peuvent utiliser l’e-mail d’un collaborateur pour obtenir des informations sensibles sur d’autres personnes de l’entreprise.

En somme, la perte de son ordinateur portable par l’un de vos collaborateurs peut avoir des conséquences catastrophiques. En l’absence d’une politique robuste de mot de passe, il est probable que le mot de passe soit faible et qu’il ne résiste pas à une attaque par force brute simple.

Les acteurs internes malveillants ciblent également les ordinateurs portables non sécurisés. Ils tentent de dérober des informations précieuses sur leurs collègues ou certains cadres supérieurs, ou ils cherchent à obtenir un accès à privilèges aux systèmes de l’entreprise et aux données auxquelles ils n’ont pas accès. Les menaces internes sont de plus en plus fréquentes et peuvent être particulièrement dangereuses : en effet, elles passent souvent inaperçues pendant des semaines, des mois, voire des années.

Il est donc absolument essentiel que les ordinateurs portables de travail (et même personnels) soient protégés par une solution MFA puissante au niveau de l’écran de démarrage et de l’écran de verrouillage. Sinon, il subsisterait une faille dangereuse dans la sécurité numérique de votre entreprise.

Pour résoudre ce problème, les agents Cloud CyberArk Idaptive prennent en charge la MFA forte pour l’écran de démarrage et de verrouillage des appareils Windows et macOS, avec diverses fonctionnalités :

  • MFA adaptative basée sur les risques
  • Prise en charge de la MFA sur l’accès RDP/RDS aux serveurs Windows
  • Réinitialisation du mot de passe en libre-service basée sur des défis d’authentification afin de minimiser l’assistance et les coûts informatiques
  • MFA pour les appareils hors ligne, avec possibilité de verrouiller et d’effacer les appareils Windows et macOS en cas de vol
  • Facteurs d’authentification flexibles : OTP, SMS, e-mail, push mobile, clés FIDO2 (Yubikey), etc.

Les points d’extrémité présentent des risques de sécurité importants pour les entreprises numériques actuelles, en particulier face à la forte croissance du télétravail. Les cybercriminels expérimentés peuvent exploiter les vulnérabilités des points d’extrémité pour voler des informations confidentielles ou perturber les services informatiques. En adoptant une approche de défense en profondeur de la sécurité des points d’extrémité (instauration d’un mélange solide de contrôles de sécurité allant de la MFA à la gestion des accès à privilèges), vous pouvez renforcer votre stratégie générale de sécurité et réduire votre exposition.

Pour en savoir plus sur la protection des utilisateurs distants, des points d’extrémité et des actifs critiques, visitez notre Centre de ressources sur la distanciation du risque.

]]>
Cinq types d’utilisateurs distants auxquels vous devez prêter attention https://www.cyberark.com/fr/blog/5-types-of-remote-users-you-need-to-take-into-account/ Mon, 02 Nov 2020 14:59:57 +0000 https://www.cyberark.com/blog/cinq-types-dutilisateurs-distants-auxquels-vous-devez-preter-attention/

L’emplacement physique des utilisateurs est moins important pour la conduite de nos activités. Une étude réalisée en 2019 a montré que 62 % des personnes interrogées travaillaient à domicile au moins une partie du temps. Dans cette même étude, 82 % des personnes ayant télétravaillé au moins une partie du temps ont déclaré qu’elles prévoyaient de maintenir ou d’augmenter la part du télétravail dans leur emploi du temps. En outre, plus de la moitié (51 %) des personnes qui n’avaient jamais télétravaillé avaient envie de commencer à le faire.

N’oublions pas que ces chiffres ne tiennent pas compte des nombreux fournisseurs distants qui travaillent comme des employés en réalisant des tâches essentielles pour l’entreprise.  Ces utilisateurs ont souvent besoin d’accéder aux systèmes critiques de la même manière qu’un employé de l’entreprise. Bien sûr, cette plus grande flexibilité offerte aux collaborateurs augmente les risques de sécurité. Pour fournir un accès, les entreprises font souvent appel à des méthodes peu sûres et inefficaces, qui reposent en général sur des VPN pour octroyer un accès sécurisé.

Toutefois, les privilèges des travailleurs distants ne sont pas tous égaux.  Certains peuvent simplement avoir besoin d’accéder à la messagerie et à quelques applications professionnelles, tandis que d’autres peuvent nécessiter l’accès à des applications critiques telles que les applications de gestion de la paie et des ressources humaines, ou encore à des données commerciales et marketing. Les fournisseurs tiers de services informatiques responsables de l’assistance ont besoin d’un niveau d’accès large, identique à celui des fournisseurs informatiques internes.

Aujourd’hui, nous allons examiner de plus près les cinq principaux types de travailleurs à distance, qui ont souvent besoin de privilèges élevés sur les systèmes. Nous verrons comment la gestion des accès à privilèges (PAM) avec CyberArk Alero peut aider les entreprises à fournir un accès à la fois sécurisé et simple aux systèmes critiques gérés par CyberArk.

1. Employés à distance du service informatique ou de la sécurité

On compte parmi ces utilisateurs les administrateurs de domaine, les administrateurs réseau et d’autres personnes qui accèdent généralement aux systèmes internes critiques sur site, mais peuvent être amenés à le faire à distance.  Lorsque les employés du service informatique ou de sécurité travaillent à l’extérieur, cela pose des problèmes pour la gestion quotidienne des administrateurs de sécurité.

Il est donc essentiel d’identifier précisément les niveaux d’accès requis par ces employés et de mettre en œuvre le principe du moindre privilège afin de s’assurer qu’ils n’accèdent qu’à ce dont ils ont besoin.  Les solutions traditionnelles comme les VPN ne sont pas en mesure fournir le niveau d’accès granulaire requis pour chaque application. L’attribution de ce type d’accès granulaire est vitale, car elle permet d’éviter les situations dangereuses, comme lorsqu’un administrateur Windows dispose d’un accès aux comptes racine.

L’intégration des outils de sécurité avec le service d’annuaire pour fournir un accès automatisé et spécifique doit être mise en place à l’avance. Ainsi, en cas d’augmentation imprévue du télétravail, il ne subsiste aucune faille dans les fonctions informatiques ou de sécurité, et le travail à domicile peut s’effectuer en toute sécurité.

2. Fournisseurs tiers de matériel et de logiciels Les fournisseurs

tiers de matériel et de logiciels, y compris les prestataires de services informatiques et d’assistance technique sous contrat, fournissent souvent des services et une maintenance à distance qui requièrent des privilèges élevés. Les fournisseurs de ce type ont généralement besoin d’un accès de niveau administrateur pour effectuer des tâches sur plusieurs serveurs ou bases de données Windows ou Linux. Ils sont également appelés à apporter des correctifs, des mises à jour système et plus encore.

En somme, ces intervenants agissent en tant qu’administrateurs de domaine. Par conséquent, leur accès peut faire des ravages sur l’environnement s’il n’est pas correctement surveillé et provisionné. Toutefois, l’identification de ces utilisateurs et de leurs niveaux individuels d’accès à distance doit être réalisée au cas par cas par des administrateurs, ce qui peut prendre beaucoup de temps.  Il est important de s’assurer que tous ces utilisateurs sont identifiés et disposent d’un niveau d’accès correct.

3. Fournisseurs de la chaîne d’approvisionnement

Lorsque l’accompagnement de la production et de la livraison de produits n’est pas le cœur d’activité d’une entreprise, elle fait souvent appel à des fournisseurs spécialisés dans sa chaîne d’approvisionnement. Ces utilisateurs distants ont souvent accès au réseau afin de surveiller les stocks dans les entreprises de vente au détail ou de fabrication. Ils peuvent également avoir accès à des données sensibles liées à la production prévisionnelle, au contrôle qualité et à d’autres systèmes critiques qui peuvent être liés aux systèmes de contrôle industriel (ICS) et aux technologies opérationnelles (OT), ou encore aux processus de la chaîne d’approvisionnement sur site.

On ne pense pas souvent à ces fournisseurs dans un premier temps, parce qu’il ne s’agit pas d’administrateurs à proprement parler. Pourtant, les fournisseurs de la chaîne d’approvisionnement disposent d’un accès qui peut être exploité par des attaquants ou créer un problème grave en cas de mauvaise utilisation interne.

4. Sociétés de services Les sociétés de services responsables d’activités dans des domaines comme le droit, les relations publiques ou la paie peuvent avoir besoin d’accéder à des applications commerciales spécifiques pour être efficaces.

Il est important d’identifier ces utilisateurs et d’appliquer le principe du moindre privilège pour s’assurer qu’ils n’ont pas accès à des éléments situés hors de leur champ d’action, et qu’ils ne conservent pas leur accès plus longtemps que nécessaire. Les entreprises de services juridiques n’ont pas vocation à avoir accès aux informations de paie, et cela peut augmenter le risque.

Les applications critiques pour l’entreprise telles que la gestion de la relation client (CRM), la planification des ressources de l’entreprise (ERP), les consoles Cloud, etc. sont importantes pour la continuité des activités et les opérations, mais les données contenues dans ces applications peuvent être très dangereuses. L’identification des personnes qui ont accès à ces applications est très importante. Il est vital de minimiser la capacité des attaquants à se déplacer latéralement d’une application métier à l’autre afin d’éviter les fuites de données majeures et de poursuivre l’activité habituelle.

5. Consultants externes

Les consultants en gestion et en informatique ont parfois besoin d’un accès à privilèges pour travailler sur les projets dont ils sont responsables. Toutefois, ils ne doivent disposer de cet accès que pendant la période pour laquelle ils ont été engagés. Ces fournisseurs sont temporaires par nature et n’ont souvent besoin d’un accès que pour quelques jours, semaines ou mois pour faire leur travail. Toutefois, dans cet intervalle, les consultants externes reçoivent souvent un large accès à certains secteurs de l’entreprise.

L’identification au plus vite de ces consultants et du type d’accès dont ils ont besoin (à quoi et pendant combien de temps) contribue à réduire les risques et à protéger l’entreprise.  En outre, l’accès des consultants externes doit être étroitement surveillé et sécurisé lorsqu’il est actif et il doit être automatiquement supprimé dès qu’ils ont fini leur mission.

Imaginez la situation suivante. Un consultant est engagé pour trois semaines. Il reçoit un mauvais feedback et se sent lésé.  Si son accès n’est pas déprovisionné automatiquement, ce consultant peut conserver des privilèges élevés après la fin de sa mission. Il peut alors les utiliser pour causer un préjudice irréparable à l’entreprise par vengeance. Cette situation peut sembler improbable, mais il ne s’agit là que d’un exemple du préjudice qu’il est possible de subir à cause d’un accès à privilèges s’il n’est pas régulièrement surveillé et mis à jour.

De plus en plus d’entreprises s’appuient sur des utilisateurs distants dans le cadre de leurs activités quotidiennes, mais il est important de bien comprendre les différents types d’utilisateurs qui se connectent aux systèmes depuis l’extérieur. Surtout, il est vital de bien gérer, surveiller et sécuriser ces accès.

Cette tâche peut sembler insurmontable, mais CyberArk Alero est un produit SaaS qui aide les organisations à fournir et à provisionner des accès sécurisés pour les utilisateurs distants accédant aux systèmes critiques gérés par CyberArk. Il peut être facilement déployé pour n’importe quel nombre d’utilisateurs distants sans utiliser de VPN, d’agents, ni de mots de passe.

]]>
7 bonnes pratiques pour sécuriser le télétravail https://www.cyberark.com/fr/blog/7-best-practices-for-securely-enabling-remote-work/ Wed, 30 Sep 2020 15:07:39 +0000 https://www.cyberark.com/blog/7-meilleures-pratiques-pour-securiser-le-teletravail/ Remote Work

À Impact Live 2020, nous avons passé beaucoup de temps à discuter des stratégies pour maintenir une solide posture de cybersécurité à l’ère du télétravail. Aujourd’hui, les utilisateurs ont besoin de flexibilité pour faire leur travail efficacement et doivent être en mesure d’accéder aux systèmes d’entreprise à tout moment et en tout lieu. Cependant, cette nouvelle méthode de travail pose de nouveaux défis en matière de sécurité, et ces défis nécessitent des solutions modernes.

Voici sept meilleures pratiques pour aider les télétravailleurs à rester productifs en toute sécurité sans nuire aux opérations ou aux pratiques commerciales établies.

  1. Déployer l’authentification unique (Single Sign-On – SSO) et l’authentification à plusieurs facteurs (Multi-Factor Authentication – MFA). Avec la technique SSO, vous pouvez tirer parti d’un fournisseur d’identité central pour gérer l’authentification des utilisateurs et accorder l’accès aux ressources via un ensemble unique d’identifiants de connexion. Cela vous permet d’améliorer la sécurité grâce à des politiques de mots de passe plus strictes, d’augmenter la productivité grâce à un accès simplifié à toutes les applications dont les employés ont besoin pour faire leur travail et d’aider le personnel informatique à répondre aux exigences de conformité en matière d’accès. La MFA ajoute une couche de protection supplémentaire aux ressources de l’entreprise. Grâce à la MFA, vous pouvez établir fermement que les utilisateurs sont bien ceux qu’ils prétendent être en exigeant d’eux qu’ils réussissent de multiples défis d’authentification. Par exemple, vous pouvez demander aux utilisateurs de fournir quelque chose qu’ils connaissent – comme un mot de passe – et quelque chose qu’ils ont – comme un code à usage unique envoyé à leurs appareils mobiles. Vous pouvez utiliser la MFA pour sécuriser l’accès aux applications, postes de travail, ordinateurs de bureau virtuels, VPN et plus encore. Pour les utilisateurs qui ne se connectent pas directement depuis le réseau de l’entreprise, la MFA est essentielle pour empêcher l’utilisation d’identifiants compromis pour accéder aux ressources protégées.
  2. Appliquer le principe du moindre privilège sur les points d’extrémité afin de protéger les données et les applications sensibles. Le fait de fournir uniquement aux utilisateurs finaux et aux administrateurs le niveau minimum d’accès à privilèges dont ils ont besoin (c’est-à-dire d’appliquer le principe du moindre privilège) réduit considérablement la surface d’attaque. Une façon d’y parvenir consiste à supprimer les droits inutiles d’administrateur local sur les postes de travail pour éviter que les points d’extrémité soient compromis et permettent les mouvements latéraux. Cela réduit le risque d’introduction de programmes malveillants ou de rançongiciels dans l’environnement, qui peuvent alors se propager rapidement. ​
  3. Bloquer l’exposition RDP des postes de travail. L’exposition au protocole RDP (Remote Desktop Protocol) est à l’origine de nombreuses violations très médiatisées, surtout depuis l’essor du travail à distance. L’isolation des sessions réduit le risque que les points d’extrémité, historiquement les maillons les plus faibles de l’accès réseau, exposent les systèmes critiques. En outre, la superposition de l’enregistrement automatique de chaque session avec des comportements analysés en temps réel permet de détecter et de corriger rapidement les comportements suspects, le cas échéant.  ​
  4. Réduire la dépendance globale aux VPN. L’essor du travail à distance a entraîné une hausse spectaculaire de l’utilisation des VPN. Dans une récente enquête réalisée par CyberArk, 63 % des employés ont déclaré utiliser des VPN pour accéder aux systèmes critiques de l’entreprise. Les attaquants ciblent depuis longtemps les VPN parce qu’ils donnent accès à l’ensemble du réseau interne. Les VPN ne sont clairement pas conçus pour fournir un accès granulaire aux systèmes et applications critiques et leur mise en place peut prendre beaucoup de temps. La mise en place et l’exploitation de ces outils nécessitent souvent un tel travail manuel qu’ils détournent les équipes de sécurité de leur véritable objectif, à savoir la réduction des risques.
  5. Mettre en place une politique pour autoriser, bloquer ou restreindre les applications. À l’ère du travail à distance, les appels inutiles au service d’assistance explosent. Grâce aux politiques autoriser/bloquer/restreindre, les administrateurs peuvent autoriser les utilisateurs distants à accéder aux systèmes dont ils ont besoin pour leur travail sans soucis supplémentaires. Une autre façon de réduire les appels au service d’assistance consiste à permettre aux utilisateurs d’accéder à des applications de confiance sans avoir à appeler le service d’assistance. Cela permet de libérer des ressources informatiques pour se concentrer sur des initiatives plus stratégiques tout en aidant les utilisateurs finaux à faire leur travail de manière plus efficace.  ​
  6. Déployer des initiatives de libre-service, le cas échéant. À l’instar de ce qui précède, tout ce qu’une entreprise peut faire pour réduire les appels inutiles au service d’assistance peut être un gain de temps et de main-d’œuvre considérable. L’activation de la réinitialisation du mot de passe et du déverrouillage du compte en libre-service, le tout protégé par la MFA, permet aux utilisateurs finaux de réinitialiser leurs propres mots de passe d’entreprise et de déverrouiller leurs propres comptes. Le libre-service appliqué aux demandes d’accès aux applications et aux serveurs permet, quant à lui, aux utilisateurs finaux et aux fournisseurs distants d’effectuer des demandes d’accès aux applications, serveurs et autres systèmes internes critiques, que le service informatique et la direction peuvent approuver sans créer de tickets d’assistance. L’inscription ou le remplacement MFA en libre-service permet aux utilisateurs finaux d’inscrire de nouveaux authentificateurs et de remplacer et réinitialiser les mots de passe. Ces fonctionnalités permettent également aux utilisateurs finaux de remplacer ceux qui ont été perdus ou volés sans avoir à créer de tickets. Enfin, le libre-service offre aussi la possibilité de demander l’accès aux applications ou aux serveurs sans ajouter de charge au service d’assistance.
  7. Fournir un approvisionnement juste à temps pour les utilisateurs tiers. L’effort de mobilisation de la main-d’œuvre a également eu un impact évident sur le nombre de fournisseurs tiers sur lesquels les entreprises comptent. Ces types d’utilisateurs présentent de nouveaux défis, car ils ne font pas partie de l’annuaire de l’entreprise et peuvent être difficiles à gérer et à suivre. Vous pouvez réduire considérablement la surface d’attaque en introduisant des solutions pour fournir et supprimer automatiquement l’accès avec un processus d’intégration unique. De cette manière, les fournisseurs auront un accès juste à temps – juste ce dont ils ont besoin aussi longtemps qu’ils en ont besoin – sans nécessiter de travail manuel de la part des administrateurs de sécurité ou informatiques pour fournir et révoquer l’accès à la surface d’attaque.

Concilier sécurité et commodité est une lutte pour les entreprises à l’ère du travail à distance. Avec de nombreux employés travaillant à distance sans date de fin en vue, la réponse à ce dilemme est plus importante que jamais. En suivant ces meilleures pratiques, les entreprises peuvent fournir à leur personnel distant un accès sécurisé qui n’interfère pas avec la productivité ou les pratiques commerciales.

Vous n’avez pas pu vous rendre à Impact Live ? Pas de problème. Inscrivez-vous à Impact Live on demand pour consulter toutes les sessions à votre convenance.

]]>