Que les employés travaillent sur site ou à distance, UserLock offre aux administrateurs une plateforme sécurisée pour gérer les authentifications multifacteur (MFA) et pour contrôler les accès au système. De nombreuses méthodes d’accès à distance doivent être protégées, notamment le protocole de bureaux à distance, le réseau virtuel privé et le ‘Internet Information Services’ (IIS).
Grâce à UserLock Anywhere, les administrateurs peuvent aller plus loin pour protéger les connexions à distance sans VPN sécurisé. Un micro agent installé sur la machine distante communique avec UserLock sur site via Internet afin d’appliquer les politiques de sécurité de la MFA et des accès.
L’accélération du travail à distance
Suite à des changements dans la culture des entreprises ou à la pandémie récemment vécue, le travail à distance s’impose de plus en plus et ne semble pas prêt de s’arrêter. Des ajustements de cette envergure peuvent rendre les entreprises de toutes tailles plus vulnérables face aux menaces de sécurité en raison de l’incapacité des utilisateurs finaux à communiquer rapidement avec l’équipe de sécurité informatique. Cela représente un enjeu supplémentaire lié aux difficultés d’application à distance des politiques de sécurité d’accès de l’entreprise et à la gestion (ou surveillance) des contrôles d’accès au système.
Ces types de changements expliquent également pourquoi il est plus important que jamais d’être équipé de ressources technologiques permettant de sécuriser les environnements de télétravail, même lorsque les utilisateurs sont « hors ligne » et non connectés au réseau de l’entreprise. UserLock Anywhere, par exemple, peut aider à gérer une équipe à distance en permettant la mise en place d'une sécurité hors ligne pour garantir que l'authentification multifacteur (MFA) est demandée, que les contrôles d'accès des employés sont appliqués, que l'activité des utilisateurs est surveillée et que les politiques de sécurité de l’entreprise sont respectées.
L’authentification multifacteur pour sécuriser le télétravail
La principale raison pour laquelle les entreprises ont besoin d’utiliser la MFA est qu’elle permet d’empêcher les violations du réseau ou du système de données grâce à une couche d’exigence supplémentaire pour qu’un utilisateur accède au système. Ces couches de sécurité supplémentaires rendent par défaut plus difficiles les attaques malveillantes ou l’accès au réseau des utilisateurs non autorisés, car ils n’auront pas le jeton ou l’application d’authentification requis pour cela.
Un des risques courants associés à l’application de la MFA, ou à la mise en œuvre de n’importe quelle technologie d’ailleurs, est de croire que les utilisateurs se serviront réellement la technologie requise et ne tenteront pas de la contourner car elle leur fait perdre du temps. Un autre de ces risques concerne les cultures d’entreprise qui priorisent les utilisateurs privilégiés en opposition à tous les autres.
Par exemple, une grande entreprise peut exiger la MFA uniquement pour le personnel gérant les systèmes de sécurité et non pour les utilisateurs finaux. Cette philosophie consistant à ignorer la sécurité des utilisateurs finaux est dangereuse parce que ces utilisateurs non privilégiés sont généralement moins informés et moins équipés pour protéger l’entreprise des incidents liés à la cybersécurité.
UserLock a la capacité d’atténuer certains de ces risques liés à l’application de la MFA en exigeant que la MFA soit déclenchée et contrôlée avec Active Directory (AD) sur site.
- Pris en charge par les applications d’authentification telles que Google Authenticator, Microsoft Authenticator et LastPass Authenticator, et également par les jetons logiciels comme Yubikey et Token2, UserLock permet aux administrateurs de contrôler facilement les exigences de la MFA pour l’ensemble des utilisateurs, pas uniquement pour les utilisateurs privilégiés, sur la base d’une multitude de filtres contextuels et d’attributs techniques.
- Lors de l’activation de la MFA, les administrateurs système peuvent exiger des conditions d’authentification déterminées par le type de connexion, le matériel et la session. Ils peuvent également définir des conditions d’intervalles pour la fréquence à laquelle la MFA est activée pour un utilisateur.
- Mettre en œuvre l’authentification MFA pour sécuriser les utilisateurs sans accès au domaine.
Lorsque les utilisateurs travaillent à distance, ils ne sont pas toujours connectés au réseau de l’entreprise. Cet accès au « domaine hors ligne » peut toujours être protégé grâce à UserLock Anywhere qui peut appliquer les demandes de la MFA. En l’absence d’une connexion sécurisée, l’agent présent sur la machine à distance communique via Internet au service UserLock (fonctionnant sur site). De cette façon, l’accès à l’ordinateur distant est toujours protégé avec la MFA, sans nécessiter de connexion VPN.
La gestion des contrôles d’accès pour sécuriser le travail à distance
Agir en tant que contrôleur d’accès pour déterminer qui peut ou ne peut pas accéder au système en fonction de facteurs contextuels, peut aider à la fois à respecter les exigences de conformité et à sécuriser l’environnement de travail à distance. UserLock peut effectuer un contrôle de gestion d’accès à partir de Windows AD avec des restrictions contextuelles basées sur l’origine (lieu, adresse IP ou département), l’heure d’accès, le type de sessions (RDP, VPN, IIS), ainsi que sur le nombre de sessions simultanées.
Voici quelques scénarios courants d’utilisation de UserLock pour contrôler l’accès au système :
- Le contrôle des heures de travail des employés
Si l’entreprise se situe dans une zone où les exigences de conformité requièrent une limitation du temps de travail des employés, UserLock peut être utilisé pour contrôler les temps de connexion et la durée des sessions ainsi que pour documenter les heures travaillées.
- La sécurisation les appareils volés ou perdus
S’il est avéré qu’un appareil (téléphone mobile ou ordinateur portable) de l’entreprise est volé, UserLock peut refuser l’accès de cet appareil en bloquant son adresse IP à tout système distant.
- Gestion de l’accès en fonction des horaires de travail
Si une entreprise a des horaires de travail clairs et précis, UserLock peut être configuré de manière à restreindre automatiquement l’accès des employés une fois leurs horaires terminés et à autoriser l’accès à ceux qui débutent leur journée.
- Le refus d’accès aux identifiants de connexion compromis
S’il a été établi qu’un employé a soumis par négligence ses informations de connexion à une escroquerie par phishing, UserLock peut refuser l'accès à cet utilisateur jusqu'à ce que la compromission des identifiants soit résolue.
Outre le contrôle du système basé sur la situation, UserLock peut gérer le nombre de sessions distantes et simultanées à un moment donné. Les administrateurs système peuvent limiter les points d’accès initiaux, le nombre total de sessions de poste de travail et le nombre de sessions de terminal pouvant être utilisées simultanément.
Ces contrôles empêchent les menaces externes et les employés d’accéder inutilement au système. Par exemple, si vous définissez le nombre de sessions de travail maximum d’un employé à 1, UserLock rejettera automatiquement toutes les tentatives de connexion une fois la première session ouverte. Donc si un employé est connecté sur sa session dans le cadre de ses heures de travail et qu’un hacker tente de rentrer dans cette session-là, l’accès lui sera refusé conformément à la règle définie sur 1 pour les sessions simultanées.
- Appliquer le contrôle contextuel des accès pour sécuriser les utilisateurs sans accès au domaine
Une fois encore en l’absence d’une connexion sécurisé au réseau, l’accès au domaine « hors ligne » pour les utilisateurs distants peut être géré avec des restrictions contextuelles. UserLock Anywhere appliquera des restrictions de connexion pour refuser les connexions et forcera les sessions à distance à se verrouiller ou à se déconnecter, en veillant à ce que les politiques relatives aux heures de travail, aux quotas de temps ou aux horaires de travail soient toujours respectées.
Surveiller l’activité de l’utilisateur pour sécuriser le travail à distance
En complément de la gestion des accès de l’employé pour sécuriser le télétravail, les activités de l’utilisateur doivent être surveillées dans le but de suivre les connexions / déconnexions, d’alerter les administrateurs et les employés d’une activité suspecte et de répondre aux potentielles violations de sécurité en bloquant les accès aux utilisateurs non autorisés.
Prendre l’initiative de surveiller l’activité des utilisateurs, des appareils et des sessions est crucial pour sécuriser à la fois les systèmes à distance et sur site, car cela permet à une entreprise d’être proactive lorsqu’elle répond à une potentielle violation. Par conséquent, la technologie de surveillance doit être facile à utiliser et doit fonctionner en cohésion avec les logiciels de sécurité (comme la MFA) et le système de contrôle d'accès.
Application de politiques organisationnelles à distance pour sécuriser le télétravail
Le plus grand défi de sécurisation d’un environnement distant ou même d'une équipe mobile, est sans doute de s'assurer que les employés respectent les politiques et procédures administratives en matière de sécurité des informations et d'utilisation des technologies de l'entreprise. Cela tend à être difficile parce qu'une entreprise accorde sa confiance à des employés qui, en général, ne se soucient pas beaucoup des politiques de leur entreprise. Dans le même temps, cette entreprise essaie d'appliquer des directives à des utilisateurs qui peuvent être dispersés dans tout le pays ou dans le monde entier.
Avec certaines fonctionnalités de contrôle d’accès et de surveillance de UserLock, les administrateurs système peuvent guider les utilisateurs finaux, tant employés que contractuels, afin de s’assurer que les politiques organisationnelles sont suivies par le biais de restrictions d’activités et de notifications.
Vous trouverez ci-dessous des exemples de la manière dont la technologie UserLock peut aider à appliquer certaines politiques organisationnelles :
- La politique du moindre privilège
Si une entreprise suit le principe du moindre privilège selon lequel les employés doivent avoir accès uniquement aux données et systèmes pertinents dans le cadre de leurs missions, UserLock peut utiliser ses fonctions de rapport et d'audit pour évaluer les droits d'autorisation ainsi que les privilèges autorisés pour chaque utilisateur.
- La politique BYOD (Bring Your Own Device)
Si une entreprise a une règle concernant les sessions ou applications accessibles depuis un appareil personnel, les fonctionnalités de gestion du contrôle des accès de UserLock permettent de restreindre certains accès en fonction des plages d'une adresse IP.
- Les procédures de réponse aux incidents
Si une entreprise dispose d’un plan de réponse formel aux incidents pour gérer les cyber-incidents comprenant la notification du personnel approprié et l'isolement d'un incident potentiel autant que possible, UserLock peut aider à simplifier ces étapes en alertant automatiquement les administrateurs système d'une activité suspecte et en leur permettant de bloquer immédiatement l'utilisateur suspect.
L’essentiel
UserLock est une plateforme de sécurité facile à utiliser qui offre un haut niveau de fonctionnalités pour gérer les exigences de l’authentification multifacteur, pour contrôler les accès distants au système, pour surveiller l’activité de l’utilisateur, et pour appliquer les politiques de sécurité de votre entreprise. Avec UserLock Anywhere, les administrateurs système peuvent même gérer l’authentification MFA et restreindre les accès au système pour les utilisateurs distants qui n’ont pas de connexion VPN au réseau de l’entreprise.