Le COVID-19 pousse les agences fédérales américaines à étudier des alternatives aux VPN et renforce la nécessité du BYOD

L'année dernière, et même le mois dernier encore, seule une partie des employés et des sous-traitants du gouvernement américain travaillait à distance. Aujourd'hui, en pleine pandémie de coronavirus, le Bureau américain de la gestion et du budget a publié une circulaire (OMB M:2016) appelant à exploiter au maximum le télétravail, à poursuivre la mission de l'agence et à encourager tous les employés et les sous-traitants qui le peuvent à travailler depuis leur domicile. Cette décision soulève des questions de sécurité et d'accès auxquelles les agences fédérales vont devoir répondre rapidement. MobileIron propose des solutions conformes aux exigences des pouvoirs publics. Vous en trouverez une description dans cet article. Certaines agences fédérales les ont déjà mises en place.

 

Le grand changement

Le nombre de travailleurs qui se connectent aux réseaux fédéraux a augmenté de manière fulgurante quasiment du jour au lendemain. Parmi ces travailleurs, certains avaient déjà fait l'expérience du télétravail, au moins à titre occasionnel ou dans des circonstances exceptionnelles. Toutefois, pour la plupart des agences fédérales, la part de télétravail, et donc de connexions à distance, n'avait jamais dépassé 20 %, même lors de fermetures prolongées en raison des conditions météorologiques. Aujourd'hui, dans certaines agences, 80 % des employés, voire plus, tentent de se connecter depuis leur domicile et, avec la circulaire de l'OMB, ce chiffre va encore augmenter et restera élevé dans un avenir proche. Pour de nombreux utilisateurs, aucune disposition n'a été prise afin de leur permettre d'exercer officiellement leurs activités en télétravail. Ils ne bénéficient ni d'équipements fournis par le gouvernement (GFE), ni d'une formation appropriée sur la marche à suivre pour se connecter et accéder aux applications, ressources et réseaux fédéraux via les méthodes d'authentification adéquates. Ils utilisent leurs propres appareils, tels qu'un smartphone, une tablette et (souvent) un ordinateur portable ou de bureau vieillissant et peu entretenu, doté d'un système d'exploitation et d'une protection antivirus (quand il y en a une) obsolètes.

Cette déferlante de connexions aux réseaux fédéraux à partir des appareils personnels des utilisateurs a conduit à l'assouplissement de certaines règles d'accès et de sécurité, et au contournement d'autres. En outre, même si les utilisateurs accèdent à un réseau du gouvernement via un réseau privé virtuel (VPN) établi, ces VPN n'ont pas été conçus pour prendre en charge un tel volume de trafic, ni pour fournir des contrôles de sécurité supplémentaires pour les appareils personnels (BYOD) et mobiles en général.

L'augmentation du nombre de télétravailleurs et de connexions réseau à distance a élargi la surface d'attaque, et les agences fédérales et leurs employés sont plus que jamais exposés. Ces appareils personnels, dont l'utilisation professionnelle n'a pas été anticipée, ne disposent pas forcément de fonctionnalités d'authentification appropriées, et bon nombre d'entre eux n'utilisent probablement pas l'authentification multifacteur ou des identifiants dérivés approuvés. Les usurpations d'identité, les attaques de phishing visant à capter et à compromettre les données d'authentification (notamment les identifiants et mots de passe de l'utilisateur), le code malveillant et les menaces persistantes avancées se multiplient. Et, avec l'augmentation du nombre de télétravailleurs, ces menaces ont de plus en plus de chances d'aboutir, notamment auprès de ceux qui maîtrisent le moins les processus et les technologies de sécurité. Ces derniers jours, le département américain de la Santé et des Services sociaux (HSS) a essuyé des cyberattaques commanditées par des États-nations pour répandre la désinformation et accroître la peur et l'incertitude au sein de la population américaine. Les attaques par déni de service (DoS), par force brute et de type « Man-in-the-Middle » (MITM) contre des portails d'accès utilisant un système d'authentification de base devraient également augmenter.

 

Le défi

Pour essayer de protéger leur réseau et leurs ressources informatiques, les agences fédérales demandent à leurs utilisateurs d'utiliser un VPN, entre autres. S'il existe différents types de VPN (accès à distance, site à site, MPLS de couche 3, multipoint dynamique ou DMVPN, etc.), ils ont tous pour objectif de chiffrer et de sécuriser les communications de bout en bout, mais partagent également certaines limites. Tous les VPN ou presque peuvent fonctionner dans différents modes : au niveau de l'appareil, toujours actif, à la demande ou par application. Le mode par application est uniquement activé si, après le lancement de l'application configurée, seul le trafic de cette application traverse le tunnel chiffré. Résultat : l'épuisement de la batterie est moindre qu'avec un VPN toujours actif. Toutefois, le trafic protégé est très ciblé. Dans le cas du télétravail, le VPN d'accès à distance est le plus approprié. Les VPN d'entreprise traditionnels sont coûteux et complexes, et leur mise en œuvre prend du temps. Ils se terminent à l'extrémité du réseau de l'entreprise, ne peuvent prendre en charge qu'un nombre limité de connexions simultanées et sont soumis à des clés de licence. La configuration de ces VPN et le déploiement des points de terminaison appropriés demandent beaucoup de temps et d'efforts aux administrateurs réseau.

En outre, les licences VPN sont coûteuses et ne proposent souvent pas l'extensibilité dynamique nécessaire pour s'adapter à l'augmentation drastique du nombre d'utilisateurs et d'heures de connexion par jour. De nombreuses agences fédérales continuent d'utiliser ces types de VPN d'entreprise traditionnels. Dans un effort de modernisation de l'informatique, certaines agences fédérales ont adopté une solution de VPN par application, qui offre un contrôle plus précis sur les points d'origine et de terminaison du tunnel VPN, ainsi qu'un chiffrement plus fort et des fonctionnalités supplémentaires. Toutefois, cette solution ajoute des contraintes de bande passante, des coûts de licence et une complexité supplémentaire pour les administrateurs réseau au niveau de la maintenance et des mises à niveau nécessaires, de la configuration des paramètres des passerelles VPN, et de la gestion de la cryptographie et des certificats requis.

Dans la quasi-totalité des cas, ces VPN n'ont pas été conçus pour les appareils mobiles ou le trafic de tels appareils. Les VPN d'entreprise n'ont pas la capacité d'appliquer des règles de sécurité sur un appareil mobile ou d'évaluer la conformité d'un tel appareil selon les critères de base établis.

 

Notre solution est différente et plus efficace

La solution de gestion unifiée des terminaux MobileIron UEM exploite un composant VPN intégré appelé Tunnel, utilisé avec le système d'exploitation natif pour sécuriser les données statiques et appliquer des règles de cybersécurité permettant de valider la conformité de l'appareil avant le lancement de l'application et l'autorisation d'accès. MobileIron détermine si l'appareil est jailbreaké, si son système d'exploitation est à jour, s'il utilise un réseau Wi-Fi autorisé (ou non autorisé/public), si une application est approuvée et provient d'un magasin d'applications fiable, et si l'appareil est actuellement protégé au moyen d'une solution de protection contre les menaces mobiles capable de détecter et de neutraliser les menaces et les applications malveillantes. En outre, MobileIron fournit une authentification multifacteur plus forte et une meilleure reconnaissance contextuelle de l'utilisateur, de l'appareil et des identifiants, autant d'éléments inclus dans le contrôle d'accès « zero sign-on ».

Avec MobileIron Tunnel, les agences fédérales peuvent autoriser toute application professionnelle interne ou tierce à accéder aux ressources du réseau de l'entreprise ou de l'intranet via une connexion réseau sécurisée. Elles peuvent établir un VPN par application sur tout type de réseau, y compris les réseaux cellulaires, afin de garantir en permanence la sécurité des données fédérales. MobileIron Tunnel exploite également le moteur de conformité en boucle fermée (closed-loop) avancé de MobileIron pour garantir que les appareils non conformes ne sont pas autorisés à accéder aux données sensibles des agences.

Par ailleurs, Tunnel améliore considérablement l'expérience utilisateur en établissant des connexions VPN par application à la demande ou toujours actives, sans nécessiter d'actions supplémentaires de la part de l'utilisateur. Les applications personnelles et malveillantes sont bloquées, de sorte que seules les données appropriées circulent via Tunnel, pour une protection renforcée des données fédérales et de la vie privée des utilisateurs.

En octobre 2019, Branko Bokan de l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), rattachée au département de la Sécurité intérieure (DHS), a déclaré que « [p]our assurer une protection maximale contre les menaces mobiles, les organisations doivent déployer conjointement des fonctionnalités de gestion de la mobilité en entreprise (EMM), de protection contre les menaces mobiles (MTD) et de contrôle des applications mobiles (MAV) dans une solution intégrée, et non pas avec une série de produits autonomes. »

MobileIron propose une solution complète intégrée, qui offre une plateforme de cybersécurité innovante pour les appareils sous iOS, Android, macOS et Windows 10, et associe des fonctionnalités EMM, MTD et MAV dans une seule et unique solution de sécurité de type « vigilance absolue » centrée sur les mobiles. Grâce à cette approche, les agences fédérales bénéficient d'un contrôle total sur les données administratives qui transitent via les appareils, les applications, les réseaux et les services cloud.

Avec l'entrée en vigueur du confinement pour enrayer le COVID-19, la nécessité de déployer ces fonctionnalités devient de plus en plus pressante. Si vous souhaitez obtenir plus d'informations, cliquez ici : un représentant MobileIron vous contactera dans les meilleurs délais.

Bill Harrod

Bill Harrod

Federal CTO, MobileIron

About the author

Bill Harrod is the Federal CTO at MobileIron. He is an accomplished information security executive and cybersecurity professional with experience managing cybersecurity risk and designing and delivering security solutions to federal agencies and Fortune 500 companies. He is an expert on Federal Identity, Credential and Access Management Architecture (FICAM). Previously, he served as a senior manager at Deloitte and senior principal consultant at CA Technologies.