Publicité en cours de chargement...
Sécurisation du télétravail, deuxième effet COVID – volet technique
Si les solutions sont nombreuses, pour reprendre le célèbre slogan des années 70 promu par l’auvergnat qui nous a encore fait changer d’heure ce week-end [1], « En France, on n’a pas de pétrole, mais on a des idées »… Le problème, c’est qu’elles ne sont pas toujours bonnes, d’autant plus quand elles viennent dans l’urgence. Et c’est là que survient le deuxième effet COVID.
1. Le choix du terminal utilisateur
Vous vous rappelez sûrement de l’effet de mode BYOD, cette absurdité dont on ne parle plus depuis plusieurs années, qui consistait à faire travailler les utilisateurs avec leurs terminaux personnels sur le SI professionnel. Je ne sais pas si l’idée est française, mais mieux vaut avoir du pétrole que des idées comme celle-là.
Dans l’urgence et pour faire face à cette situation de crise, certaines structures auront donc fait le choix de demander à leurs employés d’utiliser leurs terminaux personnels pour travailler à distance pendant la durée du confinement. Un peu comme du BYOD, mais depuis la maison, ce qui n’est pas vraiment mieux. Nous risquons donc d’avoir des postes Windows 7, complètement vérolés, partagés entre accès distant au DPI de l’établissement, parties de Fortnite pour les enfants et vidéos pour les plus grands, en somme, le rêve de tout RSSI. « Une fois de plus, les données de santé, comme la Team Rocket, risquent de s’envoler vers d’autres cieux... »
D’autres auront fait le choix d’acheter des PC dédiés, maîtrisés par l’établissement et d’équiper leurs employés de clés 4G. Si cela ne garantit pas qu’ils seront exclusivement utilisés pour un usage professionnel, le fait que l’utilisateur ne soit pas administrateur du poste et qu’une solution « endpoint » permettant l’application des règles de pare-feu, la restriction des accès Web et des applications, ainsi que le blocage des périphériques USB, cela devrait malgré tout limiter les dégâts. L’utilisation de la clé 4G dédiée sera toujours moins risquée que le Wifi du Mc Do ou la box personnelle sur laquelle tout l’immeuble à l’habitude de « squatter ».
Ne soyons pas dupes, les prestataires, éditeurs, constructeurs de DM, eux aussi, ont très probablement adopté le télétravail, et qui nous dit que derrière nos jolis VPN IPSEC connectés H24, respectant les préconisations de l’ANSSI, ce bon vieux Popeye n’est pas connecté via un Team Viewer, à son ordinateur professionnel depuis son PC tout « cracra » à la maison. « Je t’expliquerai… Te casse pas on a compris » [2]
2. Le choix de la solution
Là encore, le potentiel d’idées brillantes est illimité.
La solution privilégiée par l’apprenti informaticien : la mise en place d’un accès de type Team Viewer, LogMeIn ou autres, sur un poste client ou un serveur pour prendre la main à distance. Si cela peut s’avérer très pratique pour dépanner le PC de votre tante Berthe qui habite à 500 kilomètres, l’idée de s’appuyer sur une telle solution pour faire du télétravail, n’est sûrement pas la meilleure chose à faire… Pour commencer, Team Viewer n’est pas gratuit lorsqu’il s’agit d’un usage professionnel, certains ont tendance à l’oublier. Ensuite, il est accessible à n’importe qui disposant d’un identifiant et d’un mot de passe, qui est souvent du type abc123 ou 12345. Il nécessite que la machine soit démarrée et bien souvent qu’une session utilisateur soit ouverte, autant dire qu’en terme de disponibilité, c’est n’est pas forcément gagné. Pour finir, la connexion est établie est tripartite, la machine connectée au SI, le poste utilisateur à la maison, mais entre les deux, il y a les serveurs de la société Team Viewer, qui n’est pas à ma connaissance certifié HDS. Alors quelles données peuvent être interceptées par le prestataire ou les attaquants qui sont déjà connectés à leur infrastructure ? [3] Je n’ai pas la réponse, mais, il se dit que le gouvernement Chinois pourrait peut-être vous donner des infos…
L’informaticien bête et discipliné, « on m’a dit d’ouvrir les accès, moi j’ouvre » :
Mettre en place des serveurs RDP « tout pétés », obsolètes, vulnérables à BlueKeep [4] (et autres) sans authentification NLA, accessibles directement depuis Internet, au risque de voir des invités mystère s’inviter à la fête. Vous pensez pensez qu’en 2020, plus personne ne fait ça ? Il suffit de regarder les chiffres, le moteur de recherche Shodan en recense près de 91 000, rien qu’en France.
Si vous pensez que dans le lot, aucun établissement de santé ou prestataire n’est dans ce cas, de mon côté, je n’en mettrai pas ma main au feu…
Pour les DSI aux budgets limités, l’utilisation de clients VPN SSL (ou plutôt TLS aujourd’hui) comme OpenVPN ou Wireguard par exemple, sur des PC maîtrisés peut s’avérer être une bonne alternative. Attention tout de même, il est important de maintenir ses infrastructures à jour. Certaines vulnérabilités connues depuis plusieurs mois [5] ne sont pas patchées partout… Là encore, la visite d’invités non désirés est à prévoir, si ce n’est pas déjà fait !
Les passerelles et bastions Web restent évidemment les solutions les moins risquées, et si par miracle une authentification double facteurs est mise en place, c’est la cerise sur le gâteau ! Là encore, il ne faut pas oublier de maintenir les solutions à jour, comme les passerelles Cirtix [6] par exemple.
Je ne veux pas vous plomber le moral, c’est bien beau de tirer des plans sur la comète, mais, vous avez pensé à l’infra, les connexions, et la bande passante nécessaire pour faire fonctionner tout ça ? Sans oublier la protection anti DDOS...
Je ne sais pas vous, mais j’ai envie de confinement tout d’un coup...
[1]
[2]
[3]
[4]
[5]
[6]
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...