Une tribune de Chris Kozup, directeur marketing d’Aruba, qui conseille sur les bonnes pratiques à adopter pour sécuriser l’accès réseau en entreprise.
Par Chris Kozup, Directeur marketing d’Aruba Networks
Nous sommes de plus en plus nombreux à utiliser un ou plusieurs équipements mobiles, souvent personnels dans le cadre de notre travail, en complément de nos ordinateurs portables d’entreprise. Au sein des entreprises qui accueillent favorablement ce phénomène de consumérisation, les utilisateurs accèdent à certaines applications et données métier via leurs smartphones et tablettes. Certaines entreprises vont jusqu’à participer financièrement à l’équipement de leurs collaborateurs en dispositifs mobiles. Dans les deux cas, une authentification sécurisée de ces plateformes non conventionnelles constitue un défi majeur pour les directions informatiques.
Voici l’essentiel des bonnes pratiques sur le sujet :
1. Assurez-vous de définir les règles de sécurité en amont (qui accède à quoi et via quel équipement mobile).
2. Assurez-vous également que le réseau sans-fil identifie l’utilisateur et l’équipement qui s’authentifient.
3. Sur la base des identifiants d’authentification, appliquez des règles de contrôle prédéfinies pour chaque paire utilisateur-équipement.
La façon la plus sécurisée pour authentifier un utilisateur et son équipement consiste à utiliser des certificats au niveau du poste client. Puisqu’il s’agit de plateformes autres que Windows, l’authentification par machine, telle que nous la connaissons, n’est pas possible. Pour les entreprises informatiques qui optent pour des certificats sur les postes clients, il est recommandé d’employer un mécanisme automatique de gestion à distance pour les smartphones et tablettes personnels ou professionnels utilisés au sein de l’entreprise. À défaut, le nombre d’équipements devant être autorisé manuellement constituerait une tâche de support bien trop colossale.
Notons également que de nombreux réseaux sans fil existants utilisent des mécanismes d’authentification sur le réseau d’entreprise qui ne valident pas l’équipement de l’utilisateur final. Cette carence facilite la tâche pour les collaborateurs qui se connectent via leur smartphone ou tablette, mais en utilisant leur login et mot de passe d’entreprise, de manière totalement transparente pour les directions informatiques et sans leur autorisation. Cette réalité est évidemment source de risque. Il est impossible de sécuriser ce qui n’est pas visible, et les directions informatiques gagneraient à utiliser une solution capable, à minima, d’identifier le profil des équipements qui accèdent au réseau.
Autre défi pour les équipes informatiques : activer une authentification sécurisée pour les utilisateurs invités et leurs équipements. Les accès invités au Wi-Fi sont simples, mais il est essentiel de garder trace de l’historique de ceux qui ont accédé au réseau dédié aux invités. Et il s’agit d’utiliser un outil d’enregistrement en self-service, puisque les directions informatiques ne disposent que rarement du temps et des ressources nécessaires pour créer manuellement les identifiants de connexion à l’intention de chaque équipement utilisé par les invités, avec applications de règles différentes selon le profil de l’invité (sous-traitant, intérimaire, partenaire, etc.).
Ainsi, en demandant aux collaborateurs d’autoriser et de gérer les accès Wi-Fi pour leurs invités, il est possible de déployer un enregistrement réseau qui serait réalisé par l’invité, après autorisation par un collaborateur, ces deux opérations étant menées de manière autonome. Cette approche crée également un historique des personnes ayant fourni les autorisations, renseignant les dates et les raisons. Il est important de noter que les systèmes d’enregistrement automatique doivent être suffisamment simples pour que chaque utilisateur puisse l’utiliser, et la solution doit interagir de manière transparente avec le maximum de navigateurs disponibles sur les équipements mobiles. Voilà comment éviter les demandes incessantes des utilisateurs vis-à-vis du support informatique.