TSplus Advanced Security Logo

Souhaitez-vous voir le site dans une autre langue ?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Changer de langue
Table des matières

Introduction

Le travail à distance et hybride offre aux employés une plus grande flexibilité, mais il étend également l'accès au-delà du réseau de bureau géré. Les utilisateurs peuvent se connecter via des routeurs domestiques, des Wi-Fi publics ou des appareils personnels. Les équipes informatiques ont donc besoin d'un espace de travail sécurisé qui contrôle l'accès, protège les systèmes et les données, et reste suffisamment simple pour le travail quotidien.

Qu'est-ce qu'un espace de travail sécurisé pour le travail à distance ?

Un espace de travail sécurisé pour le travail à distance est un environnement numérique contrôlé où les employés, les sous-traitants et les administrateurs peuvent accéder aux ressources de l'entreprise en dehors du bureau. En fonction de leur rôle, les utilisateurs peuvent avoir besoin d'un bureau Windows complet, d'une application métier spécifique, d'un service cloud ou d'un outil administratif.

Ces connexions peuvent provenir d'ordinateurs portables d'entreprise, d'appareils personnels, de sites clients ou de réseaux domestiques. Parce que l'organisation ne contrôle pas chaque emplacement, la sécurité ne peut plus dépendre entièrement du périmètre de bureau traditionnel. Au lieu de cela, la protection doit suivre l'utilisateur et la session où que la connexion commence.

Un espace de travail est plus qu'une connexion à distance

Le chiffrement est une partie importante de l'accès à distance, mais une connexion chiffrée n'est pas automatiquement sécurisée. Si un attaquant a volé des identifiants valides, que le point de terminaison est infecté ou que l'utilisateur dispose de permissions excessives, cette connexion protégée peut toujours être mal utilisée.

Un espace de travail à distance sécurisé regroupe les contrôles d'identité, la protection des appareils, les restrictions d'accès, la sécurité des serveurs, les autorisations d'application et la surveillance. Ces mesures fonctionnent mieux en tant que couches connectées plutôt qu'en tant que projets de sécurité séparés.

La chaîne de sécurité d'accès à distance

Il est utile de penser à l'accès à distance comme à une chaîne connectée :

Identité de l'utilisateur → Appareil de point de terminaison → Connexion réseau → Plateforme d'accès à distance → Application → Données commerciales

Parce que La sécurité du bureau à distance dépend de la posture des points de terminaison, de l'exposition du réseau et du contrôle des comptes. une faiblesse à tout moment peut affecter l'ensemble de la session. L'authentification multi-facteurs peut empêcher un attaquant d'utiliser un mot de passe volé, par exemple, mais elle ne peut pas protéger un serveur d'application non corrigé ou un compte avec des droits administratifs inutiles. Un espace de travail sécurisé doit donc protéger chaque étape tout en maintenant un accès approprié au rôle de chaque utilisateur.

Pourquoi les espaces de travail à distance sécurisés sont-ils importants ?

Le travail à distance et hybride répartit les utilisateurs, les appareils et les chemins d'accès à travers des emplacements que les organisations ne peuvent pas toujours gérer directement, un défi couvert par Directives du NIST sur le télétravail, l'accès à distance et la sécurité BYOD Les employés peuvent se connecter via des routeurs domestiques, des réseaux Wi-Fi publics, des réseaux mobiles ou des ordinateurs personnels tout en travaillant avec des applications et des données sensibles.

En conséquence, les équipes informatiques ont besoin d'une vue claire de qui se connecte, quel appareil elles utilisent, ce qu'elles essaient d'atteindre et si la connexion correspond au comportement attendu.

Le travail à distance supprime le périmètre traditionnel.

Dans un bureau conventionnel, les contrôles réseau créaient une frontière claire autour des utilisateurs et des systèmes. Le travail à distance modifie ce modèle car les connexions légitimes commencent désormais en dehors du réseau interne.

Les attaquants peuvent cibler les services de protocole de bureau à distance exposés, les portails faiblement protégés, les mots de passe réutilisés, les appareils de réseau privé virtuel non corrigés et les points de terminaison compromis. Une fois qu'ils se connectent avec des identifiants valides, leur activité peut initialement ressembler à celle d'un utilisateur autorisé. C'est pourquoi l'identité, le contexte de l'appareil et le comportement de la session jouent désormais un rôle clé dans la sécurité du travail à distance.

Les contrôles de sécurité doivent préserver l'utilisabilité

Les mesures de sécurité qui rendent le travail normal trop difficile peuvent créer leurs propres problèmes. Lorsque l'espace de travail approuvé est lent, déroutant ou peu fiable, les utilisateurs peuvent enregistrer des mots de passe de manière non sécurisée, déplacer des fichiers via des services personnels ou adopter des applications non approuvées.

Un espace de travail sécurisé bien conçu réduit les risques sans ajouter de friction inutile. Les employés ne devraient voir que les applications dont ils ont besoin, y accéder par un chemin d'accès cohérent et compléter l'authentification sans complexité évitable. En même temps, des politiques et des journaux centralisés devraient faciliter cette expérience pour les équipes informatiques à gérer.

Les couches de sécurité essentielles d'un espace de travail à distance

Aucune technologie unique ne peut protéger le travail à distance à elle seule. Un espace de travail résilient utilise plusieurs couches de défense afin que l'échec d'un contrôle n'expose pas immédiatement les applications ou les données.

Identité et authentification

Les contrôles d'identité déterminent si une personne doit être autorisée à démarrer une session à distance. Les mots de passe jouent encore un rôle dans la plupart des systèmes d'authentification, mais ils ne suffisent pas à protéger contre le phishing, la réutilisation de mots de passe et le remplissage de justificatifs.

Les utilisateurs distants et les administrateurs devraient utiliser l'authentification multi-facteurs chaque fois que cela est possible. Les politiques de verrouillage de compte, les limites de taux de connexion et les alertes pour les échecs répétés ajoutent une couche de protection supplémentaire. Les organisations devraient également supprimer rapidement les comptes inactifs et garder les identités des utilisateurs standard séparées des comptes administratifs privilégiés.

Confiance des points de terminaison

Le point de terminaison est l'appareil à partir duquel la connexion à distance commence. Même lorsque l'utilisateur est légitime, un ordinateur compromis peut exposer des identifiants, introduire des logiciels malveillants ou permettre à des fichiers sensibles de quitter l'organisation.

Les appareils gérés doivent recevoir des mises à jour du système d'exploitation, une détection et une réponse des points de terminaison, une protection anti-malware, des politiques de pare-feu et un chiffrement des disques. Les équipes informatiques doivent également décider si les utilisateurs peuvent stocker des données localement, rediriger les presse-papiers ou connecter des lecteurs locaux à une session distante.

Les politiques de Bring Your Own Device doivent définir les exigences minimales de sécurité pour les équipements personnels. Lorsque l'organisation ne peut pas faire entièrement confiance à un point de terminaison, l'accès aux applications basées sur un navigateur ou une session distante restreinte peut aider à réduire l'exposition des données locales.

Accès à distance contrôlé

La couche d'accès détermine comment les utilisateurs accèdent aux applications internes et aux bureaux. Dans la mesure du possible, les équipes informatiques devraient éviter d'exposer directement les serveurs d'applications backend à Internet. Une passerelle sécurisée, un proxy inverse ou un portail web peuvent fournir un point d'entrée contrôlé à la place.

La publication d'applications peut réduire encore plus l'exposition. Un employé des finances qui a seulement besoin d'une application de comptabilité n'a peut-être pas besoin d'accéder à un bureau complet ou au réseau interne plus large.

Quoi que ce soit modèle d'accès à distance sécurisé l'organisation choisit, elle doit fournir des communications cryptées, des attributions d'utilisateurs granulaires et un contrôle centralisé des sessions. Les réseaux privés virtuels restent utiles lorsque les utilisateurs ont réellement besoin d'une connectivité au niveau du réseau, mais ils ne sont pas toujours le meilleur choix par défaut pour chaque travailleur à distance.

Sécurité des applications et des sessions

La sécurité ne s'arrête pas une fois qu'un utilisateur se connecte. Les sessions à distance doivent continuer à limiter l'accès aux applications, fichiers, imprimantes et fonctions administratives nécessaires au travail de l'utilisateur.

Le contrôle d'accès basé sur les rôles et le principe du moindre privilège aident à réduire les dommages qu'un compte compromis peut causer. Les délais d'expiration de session, les restrictions d'heures de travail et les politiques de redirection des appareils peuvent également limiter l'accès non surveillé ou inapproprié.

Les sessions privilégiées nécessitent des contrôles encore plus stricts. Les administrateurs doivent utiliser des comptes séparés, des appareils approuvés et une surveillance supplémentaire lorsqu'ils travaillent avec des systèmes sensibles.

Protection des données

Un espace de travail sécurisé doit empêcher le transfert inutile de données commerciales vers des points de terminaison distants. La livraison centralisée d'applications ou de bureaux peut aider en conservant les fichiers et le traitement sur des serveurs contrôlés par l'organisation tout en envoyant uniquement l'interface de session à l'utilisateur.

Les informations sensibles doivent rester cryptées à la fois en transit et au repos. Les systèmes de sauvegarde doivent également conserver des copies de récupération protégées que compte de production compromis ne peut pas modifier.

Pour les données réglementées ou confidentielles, les organisations peuvent également avoir besoin d'audits d'accès aux fichiers, de politiques de conservation et de contrôles de prévention des pertes de données.

Surveillance et réponse

L'authentification et l'activité de session doivent créer des journaux que les administrateurs peuvent examiner et corréler. Les événements utiles incluent les connexions réussies et échouées, les connexions bloquées, les nouveaux emplacements sources, les changements de privilèges, l'accès aux fichiers et les modifications de configuration de sécurité.

Les alertes sont les plus utiles lorsqu'elles signalent un comportement qui nécessite une action. Des échecs de connexion répétés, un compte privilégié se connectant depuis un nouvel emplacement ou une source essayant d'atteindre plusieurs serveurs sont autant d'exemples.

La surveillance n'aide que lorsque l'organisation sait comment réagir. Les équipes informatiques ont besoin de procédures claires pour désactiver un compte, isoler un hôte, terminer une session et préserver des preuves lorsque des activités suspectes apparaissent.

Quelles sont les menaces courantes pour les espaces de travail à distance ?

Les attaques sur les espaces de travail à distance combinent souvent plusieurs faiblesses ordinaires au lieu de s'appuyer sur un exploit sophistiqué. Examiner le chemin d'attaque probable aide les équipes informatiques à décider quels contrôles méritent le plus d'attention.

Vol de données d'identification et phishing

Le phishing reste l'un des moyens les plus courants d'obtenir des identifiants d'accès à distance. Les attaquants peuvent copier les pages de connexion de Microsoft 365, les portails de support ou les invites d'authentification multi-facteurs pour tromper les utilisateurs afin qu'ils approuvent l'accès.

L'authentification multi-facteurs rend un mot de passe volé moins utile, mais la sensibilisation des utilisateurs reste importante. Les comptes privilégiés et à haut risque peuvent également nécessiter des méthodes d'authentification plus robustes, résistantes au phishing.

Services distants exposés

Les services d'accès à distance exposés à Internet sont continuellement scannés à la recherche de mots de passe faibles, de vulnérabilités connues et d'erreurs de configuration. L'exposition directe du port 3389 du protocole Remote Desktop crée un risque inutile lorsqu'une méthode d'accès par passerelle ou intermédiaire est disponible.

Lorsque l'exposition publique ne peut être évitée, les équipes informatiques doivent restreindre les adresses sources lorsque cela est possible, appliquer rapidement les mises à jour de sécurité, imposer l'authentification au niveau du réseau et surveiller les tentatives de connexion échouées.

Ransomware et activité post-connexion

Un attaquant qui accède à un compte distant peut utiliser des outils système légitimes pour explorer l'environnement, élever les privilèges et déployer des ransomwares. Prévenir la connexion initiale est important, mais un manuel de ransomware pour les environnements RDS doit également limiter ce qu'une session authentifiée peut atteindre.

La segmentation du réseau, les autorisations restreintes, les sauvegardes protégées et la surveillance comportementale peuvent réduire l'impact d'un compromis réussi.

Appareils non gérés et IT fantôme

Les appareils personnels et les services cloud non autorisés peuvent déplacer les données de l'entreprise au-delà du contrôle organisationnel. Les employés se tournent souvent vers ces outils parce que l'espace de travail approuvé ne répond pas à un besoin pratique.

Plutôt que de se fier uniquement à l'interdiction, les équipes informatiques devraient s'attaquer au flux de travail derrière le comportement. Un portail de navigateur fiable, une méthode de transfert de fichiers approuvée ou un service de publication d'applications peuvent rendre l'IT fantôme moins attrayant.

Comment créer un espace de travail à distance sécurisé ?

Un espace de travail sécurisé fonctionne mieux lorsqu'il est introduit comme un programme structuré plutôt que comme un ensemble de produits non liés. La séquence suivante aide les équipes informatiques à traiter d'abord les risques les plus importants.

Mapper les utilisateurs, les appareils et les ressources

Commencez par identifier tous ceux qui ont besoin d'un accès à distance. Les employés, les sous-traitants, les administrateurs, les fournisseurs de services gérés et d'autres tiers doivent être considérés comme des groupes distincts car leurs besoins et risques sont différents.

Pour chaque groupe, enregistrez les applications, les données, les temps de connexion et les types de points de terminaison dont ils ont besoin. Ces informations fournissent la base des politiques d'accès.

Réduire l'exposition inutile

Suivant Directives de la CISA pour sécuriser les logiciels d'accès à distance examinez chaque service d'accès à distance exposé sur Internet et supprimez tout ce qui n'est plus nécessaire. Lorsque cela est possible, placez une passerelle sécurisée, un proxy inverse ou un portail web devant les serveurs d'application au lieu de les publier directement.

La publication d'applications individuelles plutôt que de bureaux ou de réseaux complets peut réduire davantage l'exposition. Une surface d'accès plus petite est généralement plus facile à protéger et à surveiller.

Renforcer l'authentification

Exiger une authentification multi-facteurs pour les utilisateurs distants et les administrateurs. Les comptes privilégiés doivent avoir des conditions plus strictes, telles que des identifiants séparés et un accès depuis des appareils approuvés.

La protection contre les tentatives de connexion répétées doit également être activée et surveillée. Les politiques de mot de passe doivent encourager des identifiants longs et uniques sans s'appuyer sur des calendriers de rotation prévisibles.

Appliquer l'accès avec le moindre privilège

Attribuer des applications et des fichiers par le biais de groupes basés sur les utilisateurs ou les rôles. Chaque personne devrait recevoir uniquement l'accès nécessaire à ses responsabilités actuelles.

Les autorisations doivent être examinées régulièrement et supprimées lorsque les employés changent de rôle ou que les contractuels terminent leur travail. Les comptes administratifs doivent également rester séparés des comptes utilisés pour l'accès quotidien aux applications.

Protéger les points de terminaison et les serveurs

Maintenez les systèmes d'exploitation des points de terminaison, les navigateurs, les applications professionnelles et les logiciels d'accès à distance à jour. Les appareils gérés doivent également utiliser la protection des points de terminaison, les politiques de pare-feu et le chiffrement des disques.

Les hôtes de session à distance et les serveurs d'application nécessitent la même attention. Les équipes informatiques doivent les mettre à jour régulièrement, supprimer les services inutilisés et les protéger contre les tentatives de force brute, l'activité de ransomware et les modifications de configuration non autorisées.

Surveillez l'ensemble du chemin d'accès

Collecter des événements provenant des systèmes d'identité, des passerelles d'accès à distance, des serveurs Windows, des outils de point de terminaison et des applications professionnelles. Rassembler ces enregistrements facilite la visualisation d'une séquence d'activités plutôt que d'une collection d'alertes isolées.

Les seuils de réponse devraient couvrir les échecs répétés, les emplacements inhabituels, les connexions privilégiées et l'accès en dehors des heures approuvées. Les politiques devraient également être révisées après des incidents, des changements d'infrastructure et des changements dans la main-d'œuvre.

Test des procédures de récupération

Les sauvegardes doivent rester disponibles même lorsque les serveurs de production ou les identifiants sont compromis. L'administration des sauvegardes doit être protégée séparément, et les procédures de restauration doivent être testées selon un calendrier régulier.

Les exercices d'incidents devraient confirmer que l'équipe peut révoquer l'accès, isoler les systèmes, restaurer les services et communiquer avec les utilisateurs. Tant que ces procédures n'ont pas été testées, le plan de récupération reste une hypothèse.

Comment pouvez-vous choisir des technologies de bureau sécurisé ?

Un espace de travail à distance sécurisé combine généralement plusieurs technologies, chacune abordant une partie différente du processus d'accès.

Technologie Objectif principal Mieux adapté à
Services de Bureau à Distance Bureaux et sessions Windows centralisés Organisations fournissant des espaces de travail Windows complets
Publication d'applications Livraison des applications sélectionnées Utilisateurs qui n'ont pas besoin d'un bureau complet
Passerelle d'accès sécurisé Accès intermédiaire sans exposition directe au serveur Environnements d'accès à distance exposés à Internet
portail web HTML5 Accès basé sur le navigateur sans client dédié Entrepreneurs, utilisateurs mobiles et points de terminaison mixtes
Réseau privé virtuel Connectivité au niveau réseau chiffrée Utilisateurs nécessitant un accès à plusieurs services internes
Authentification multi-facteurs Vérification d'identité supplémentaire Tous les utilisateurs distants, en particulier les administrateurs
Endpoint protection Détection de logiciels malveillants et défense des appareils Ordinateurs portables, ordinateurs de bureau et serveurs gérés
Surveillance de la sécurité Détection, enquête et réponse Tous les environnements d'accès à distance de production

L'architecture appropriée dépend de ce dont chaque utilisateur a réellement besoin pour atteindre ses objectifs. Dans la plupart des cas, les équipes informatiques devraient choisir la méthode d'accès la plus étroite qui prend encore en charge le travail requis.

Comment évaluer une solution de bureau sécurisé ?

La sélection des produits doit commencer par le modèle d'accès de l'organisation plutôt que par une longue liste de fonctionnalités. Tout d'abord, les équipes informatiques doivent décider si les utilisateurs ont besoin d'un accès complet au réseau, de bureaux complets ou seulement d'applications sélectionnées. Accorder un accès large à tout le monde peut créer une complexité et un risque inutiles alors qu'un modèle plus limité pourrait soutenir le même travail.

L'évaluation devrait se concentrer sur cinq domaines :

  • Contrôles d'identité et d'accès, y compris l'authentification multi-facteurs, les autorisations basées sur les rôles et l'intégration avec les services d'identité existants
  • Options de livraison pour les applications et les bureaux, prises en charge par des capacités de passerelle sécurisée ou de reverse-proxy.
  • Sécurité de session, y compris les politiques de redirection des appareils, les restrictions d'activité et les contrôles administratifs
  • Surveillance et protection grâce à la journalisation, aux alertes, aux rapports, à la sécurité des serveurs et à la défense contre les ransomwares
  • Ajustement opérationnel, y compris l'effort de déploiement, le patching, la compatibilité Windows, l'évolutivité et le coût total

Une preuve de concept devrait utiliser de vrais utilisateurs, applications, dispositifs et conditions réseau. Elle devrait également montrer comment les administrateurs peuvent révoquer l'accès, enquêter sur des activités suspectes, appliquer des mises à jour et restaurer le service après une panne de serveur ou un incident de sécurité.

Comment TSplus prend-il en charge un espace de travail à distance sécurisé ?

TSplus Advanced Security renforce les serveurs Windows qui prennent en charge le travail à distance. Il ajoute une protection spécialisée contre les menaces affectant les sessions du protocole de bureau à distance, les serveurs d'applications et d'autres environnements Windows exposés à Internet. Les administrateurs peuvent gérer ces contrôles de manière centralisée pour réduire l'exposition sans rendre l'accès à distance légitime inutilement complexe.

Ses principales capacités de sécurité incluent :

  • La protection contre les attaques par force brute surveille les tentatives de connexion échouées et bloque les adresses IP qui dépassent les seuils configurés.
  • La protection géographique restreint les connexions entrantes en fonction de leur pays d'origine.
  • La protection contre les ransomwares détecte une activité de fichier suspecte et peut bloquer les processus affectés avant qu'une attaque ne se propage.
  • Les sessions sécurisées et les autorisations limitent ce que les utilisateurs peuvent accéder et effectuer pendant les sessions Windows.
  • Les heures de travail restreignent les connexions à distance aux horaires approuvés.
  • Les appareils de confiance associent l'accès aux points de terminaison autorisés.
  • Les outils de gestion de pare-feu et d'IP aident les administrateurs à autoriser, bloquer et examiner les sources réseau.
  • Les événements de sécurité, les alertes et les rapports offrent une visibilité sur les activités suspectes et les actions de politique.

TSplus Advanced Security devrait fonctionner dans le cadre d'une stratégie de sécurité en couches qui inclut également l'authentification multi-facteurs, la protection des points de terminaison, la gestion des correctifs, les sauvegardes protégées et l'administration des privilèges minimaux. Ensemble, ces contrôles aident les équipes informatiques à protéger les espaces de travail à distance contre les attaques par force brute, les ransomwares et l'accès non autorisé sans s'appuyer sur une seule mesure de défense.

Conclusion

Un espace de travail sécurisé pour le travail à distance n'est pas défini par un produit ou une méthode de connexion spécifique. C'est un environnement en couches qui protège l'identité de l'utilisateur, les appareils de point de terminaison, les connexions réseau, les sessions à distance, les applications et les données commerciales comme une chaîne d'accès continue.

Les équipes informatiques devraient réduire l'exposition inutile, appliquer une authentification forte et mettre en œuvre un accès avec le moindre privilège avant d'ajouter une protection des points de terminaison, un durcissement des serveurs et une surveillance centralisée. Combinées à des procédures de sauvegarde et de récupération testées, ces mesures créent un espace de travail résilient qui soutient la productivité à distance tout en limitant l'impact des comptes, des appareils ou des sessions compromis.

Partager :

Facebook Twitter LinkedIn

Votre équipe TSplus

Lecture complémentaire

back to top of the page icon