Le Cybersecurity and Infrastructure Security Agency (CISA) du département américain de la Sécurité intérieure a récemment fait un grand pas en avant en définissant une expérience de télétravail sécurisée pour les travailleurs fédéraux au moment où c’était le plus nécessaire. Les dirigeants de la CISA ont mis en avant l’accès Zero Trust dans les nouvelles directives destinées aux agences gouvernementales qui emploient plus de télétravailleurs que jamais.
Federal News Network rapporte que les lignes directrices visent à « soulager la latence de la connexion aux réseaux des agences par le biais de réseaux privés virtuels et aux services cloud gouvernementaux, tels qu’Office 365 ». En d’autres termes, le gouvernement tente d’aider les agences à offrir une expérience utilisateur exceptionnelle et sécurisée pendant cette pandémie de COVID-19 avec un nouvel ensemble de bonnes pratiques.
Cette orientation apporte un changement radical et indispensable à la politique de télétravail. C’est la première fois que les responsables gouvernementaux de la cybersécurité recommandent une approche d’accès Zero Trust comme moyen de connecter en toute sécurité les utilisateurs distants. Le Zero Trust réduit considérablement la surface d’attaque en connectant directement un utilisateur autorisé à une application métier via un service cloud tel que Zscaler Private Access (ZPA) sans jamais toucher au réseau. La politique fédérale précédente exigeait que les connexions reviennent via le réseau, ce qui ralentissait considérablement l’expérience utilisateur et introduisait d’énormes risques de sécurité.
Avertissement de sécurité VPN destiné au gouvernement et au secteur des soins de santé
Les nouvelles directives gouvernementales rappellent également la diligence requise pour surmonter les dangers de cybersécurité que représentent les VPN. La CISA a également tiré la sonnette d’alarme concernant la sécurité des VPN il y a quelques semaines à peine, et Microsoft Security a récemment averti les hôpitaux qui utilisent des VPN du risque imminent d’être la cible d’attaques de ransomware.
Je ne peux que plaider auprès des gouvernements et des opérateurs d’entreprise chargés de gérer les VPN pour qu’ils suivent de près les conseils de ces experts, mais tout cela semble tellement inutile dans un monde qui migre vers le cloud. La CISA prodigue de nombreux conseils sur la manière de sécuriser les VPN, notamment : mettre à jour les correctifs logiciels et les configurations de sécurité de tous les VPN, de l’infrastructure réseau et de tous les appareils qui se connectent au système ; s’assurer que le SOC peut rapidement surveiller, détecter, répondre et se remettre des attaques ; mettre en œuvre une authentification multifacteur ; et tester les limites d’utilisation du système afin de savoir comment évaluer la limite pour les utilisateurs prioritaires.
La simple lecture de cette liste de recommandations épuiserait la plupart d’entre nous. En tant que DSI, cela signifie que vous devez vous assurer que chaque appareil lié au VPN est à tout moment mis à jour et configuré correctement ; vous devrez également continuer à dire à certains de vos utilisateurs que leurs connexions sont plus lentes afin que celles de « personnes importantes » puissent être plus rapides. Même Cisco a dû rationner l’usage des VPN auprès de son personnel. Aucune entreprise n’est à l’abri des conséquences des technologies traditionnelles.
Vous pouvez adopter le télétravail en alliant rapidité et sécurité
Cette approche ne doit pas être aussi difficile. Cette approche ne doit pas être aussi lente. Cette approche ne doit pas être aussi peu sécurisée. L’ancienne conception des VPN et des pare-feu traditionnels est l’une des raisons pour lesquelles Zscaler a été fondé il y a plus de 10 ans : pour permettre à tout utilisateur d’entreprise, où qu’il soit, de bénéficier de connexions rapides, sécurisées et fiables au Web et à ses applications hébergées dans le cloud et dans le data center.
Nous vivons dans un monde en perpétuelle activité. Pourquoi alimenter ce monde avec une technologie parfois opérationnelle et rarement sécurisée ? Bien que je sois déconcerté par l’utilisation toujours plus répandue de la technologie VPN alors que nous sommes à l’ère du cloud, j’ai bon espoir que la reconnaissance du Zero Trust par le gouvernement en tant qu’approche moderne marquera le début d’une nouvelle ère de progrès.
Jay Chaudhry est le fondateur et PDG de Zscaler