[COVID-19] Les défis du télétravail de masse – Acte I

Introduction

La situation inédite vécue par le monde aujourd’hui éprouve nos infrastructures de télécommunication jusqu’à impacter le réseau Internet lui-même. Cet événement d’une ampleur
jamais égalée nous appelle à l’humilité, mais surtout également à la constance dans nos efforts. C’est toutefois un moment passionnant à vivre. Au sein de ce climat parfaitement anxiogène, nous
pouvons totalement exprimer notre savoir-faire ainsi que notre savoir-être. Plus que jamais nous sommes au service de nos utilisateurs, de nos clients afin de trouver des solutions et de sauver
l’activité. Cela stimule notre créativité et valorise l’expérience et les connaissances capitalisées durant tout ce temps. Aujourd’hui notre métier a un sens profond et nous ne pouvons tout
simplement pas nous défiler.
Nous sommes obligés de déclencher une série de processus opérationnels qu’il est important d’identifier afin d’ajuster les priorités.
Nous vous proposons de regrouper une liste succincte de ces derniers en 4 phases bien distinctes.

Processus Opérationnels

La surprise et l’urgence

Le 17 Mars 2020, le gouvernement Français a décrété le début d’un confinement de la population nationale qui s’est précisé petit à petit jusqu’à la fermeture des aéroports internationaux. Malgré la situation en Chine, la France comme tant de nations pensait réussir à juguler la menace et ne s’attendait pas à devoir faire face à une telle urgence sanitaire. Nous avons alors dû réagir extrêmement vite à compter de la fermeture des écoles la semaine du 9 Mars 2020. Si le télétravail était envisagé, parfois encouragé pour des populations précises dans des contextes spécifiques, il a fallu transformer les processus métiers en seulement quelques jours et envisager très vite tous les besoins les plus concrets (Ordinateurs portables, imprimantes, écrans, …), mais
aussi toutes les problématiques d’infrastructure et de gestion des accès (licences, filtrage, …). Cette phase d’urgence a pris tout le monde de court et selon les dogmes ou choix technologiques et
architecturaux précédents, la difficulté a été variable pour chacun d’entre nous. Cette phase critique digne d’une explosion a forcé à tout repenser pour faire tenir tout le monde en peu de temps, dans ce qui était disponible.
C’était le temps des compromis, qu’ils furent de performances, d’accès, de fiabilité ou de sécurité. Cette phase parfaitement stressante a accéléré les projets au sacrifice de leur préparation au profit
d’une gestion façon « advienne que pourra ». Il ne faut pas s’en flageller, l’urgence ne peut appeler la préparation. Elle appelle la flexibilité, l’adaptabilité, la rapidité. L’accepter c’est passer à la phase suivante avec clairvoyance et abnégation.

« Au regard de l’urgence je n’ai pas pu envoyer de PC à tout le monde ! On s’est vraiment fait surprendre ! Alors on a dû permettre les PC personnels avec un client VPN… »

 

Stabilisation

Si la première phase a débuté plus ou moins en même temps pour tous, la phase de stabilisation connaît un point de départ plus variable selon les entreprises et leurs efforts déployés durant la
phase d’urgence. Effectivement par définition la phase d’urgence nous a confronté à l’inattendu. Si la frontière peut paraître flou entre les deux, il suffit d’appeler les dogmes du référentiel ITIL pour mieux la définir. Nous venons de fixer un incident de production majeur d’une manière un peu violente mais efficace et devons désormais traiter un problème de manière plus durable. Le feu
circonscrit est sous contrôle, nous devons recenser les fumerolles pour sécuriser et éviter une reprise. Nous avons plusieurs axes pour assurer un véritable contrôle du risque global. Le mot
sécurité entend aussi sécuriser les exécutions contre les pannes ou les troubles de performances. En prenant du recul nous pouvons alors revoir les priorités et les dogmes principaux, à savoir :

  • Garantir l’accès aux ressources
  • Garantir la sécurité
  • Garantir la fiabilité

Nous vous proposons de traiter ces points afin d’apporter notre vision et nos conseils d’intégrateur basé sur notre connaissance du marché, les retours d’expérience de nos partenariats et clients.

 

Constat de départ

Télétravail Changement de paradigme

Nos architectures ont été conçues pour supporter des flux internes au sens d’une composition étendue de vos Systèmes d’informations. Les principaux noeuds de connexions sont présents au sein même des bureaux et unités productives de nos entités. Des infrastructures ont donc été déployées pour faire face à cette réalité. Le dimensionnement, la sécurité et les choix technologiques y
sont directement sub-conséquents. Le télétravail y était alors abordé sous une dimension presque anecdotique.

« Clairement nous n’étions pas prêt, jamais nous n’aurions placé ce scénario en tête dans nos analyses de risques, imaginez ! »

La situation aujourd’hui a complètement inversé la tendance, nos infrastructures sont presque totalement inversées. L’ensemble de notre population se trouve hors de nos murs, hors de toutes prévisions évolutives de nos projets. Les points faibles sont nombreux entre les surcharges pondérales de trafic, les volumes de session, de chiffrement, de trafic externe, de saturation de liens…

Alors comment stabiliser, quels sont les leviers pour tenir le siège à l’heure où le confinement se rallonge de plus en plus et que l’on sait que nous n’en sortirons pas de sitôt ? Comment protéger
nos activités, nos utilisateurs et nos métiers ?

 

Défis N°1 : Garantir l’Accès

La construction traditionnelle de nos accès distant a fortement évolué dans la forme, mais pas dans la conception. Afin de bénéficier de plus de modularité et de flexibilité, nos Systèmes d’Informations (SI) se sont étendus hors de nos murs dans des centres de données. Dans une conception en nuage, les applications sont accessibles en directe depuis n’importe quelle connexion internet et l’on a abandonné le contrôle de l’usage (d’où l’émergence ensuite du CASB). Mais pour les connexions réseaux plus spécifiques, nous sommes restés sur des VPN nomades centralisés
facilités par des bandes passantes plus abordable, des technologies plus légères et mature. Devant la masse colossale des connexions VPN utilisateurs, et afin de protéger l’équipement, de
sacraliser la disponibilité et d’économiser la bande passante, plusieurs compromis ont été faits notamment en permettant l’évasion locale des flux internet en dehors de toute protection de cyber
sécurité.

Architectures Complexes

Fort heureusement, fruit de la concentration des technologies et de la convergence des marchés, nos moyens de distribution des accès VPN se sont multipliés. En effet, chaque zone d’exposition de
nos SI est désormais protégée par des Pare-feu eux même capable de prendre en charge leur propre lots d’utilisateurs. De ce constat, nous pouvons envisager une répartition des utilisateurs sur
des zones de distributions spécifiques en continuant à se baser sur l’existant. Bien sûr la quantité de travail requise pour atteindre un tel objectif même partiellement dépendra de la capacité
administrative et de la simplicité des produits choisis et déployés précédemment.

Si cette solution semble rapide et facile, elle ouvre toutefois inquiétudes quant au re-routage de flux par des biais qui n’ont pas été prévus pour. Sans compter la complexification du routage lui-même et des règles d’accès pouvant laisser des affres administratives importantes sur vos architectures pour plusieurs années. Bref, cela ressemble très rapidement à une fausse bonne idée.

Mais notre marché est dynamique et regorge bien souvent de pépites sous-exploitées. Le Secure Access Service Edge en est une. Définie et Institutionnalisée par le sacro-saint cabinet Gartner,
cette nouvelle nomenclature désigne les technologies à même d’offrir un point de connexion au sein du Cloud et offrant un niveau de sécurité cohérent, stable et homogène partout et tout le temps.
Connectez vos utilisateurs au cloud, il les sécurisera et ne descendra que les flux nécessaires à vos infrastructures. Vous faisant gagner en ressources, en bande passante et sans compromis.

 

Défis N°2 : Garantir la Sécurité

« Ouvrez grand les portes ! » Oui ! mais à qui ? Comment peut-on offrir l’accès à une population contrôlée ? Comment dans l’urgence juguler l’afflux ? Comment contrôler tout le monde ? D’une
directive simple, nous nous retrouvons à remettre en cause tous les dogmes ayant dirigés nos architectures :

  • Notre annuaire est-il suffisamment bien organisé ?
  • Comment assurer une identification correcte ?
  • Et si un compte est usurpé ? Je vais ouvrir la porte à quoi ?
  • Comment je contrôle les terminaux ? à qui je donne le droit de venir chez moi ?
  • Mes applications sont-elles assez robustes ?

Authentications

Et vous avez bien raison, car la criminalité se nourrit des drames. La mort de Michael Jackson ou les déboires des présidents américains ont permis, les beaux jours, des arnaques sous toutes leurs formes. Sans même atteindre le même niveau que la psychose mondiale actuelle, c’est pour dire !

Commençons par le début, en garantissant que seuls nos utilisateurs se connectent. Il faut alors retirer les jalons limitatifs de l’utilisations VPN qui sont en place pour donner l’accès à tous. Si le protocole LDAP est encore utilisé, il faut déployer rapidement son pendant sécurisé: LDAPs. Tous les mécanismes de protection contre les tentatives de brutes force dont le verrouillage sur de multiples échec d’authentification doivent impérativement être rétablis. Tant pis pour M. Dupond qui se trompe tout le temps sur la date anniversaire de sa femme.

Mais enfin et surtout, rappelez-vous que les temps ont changé, les utilisateurs se sont habitués aux challenges complémentaires de l’authentification forte (MFA) par le biais de leurs services bancaires. Alors il est temps de franchir le pas d’autant plus que leur intégration ne demande que quelques heures de votre temps.

 

Réseaux Résidentiels Nocifs

Confinés, nos utilisateurs sont théoriquement éloignés de la menace infectieuse du Coronavirus. Mais en est-il de même pour leurs ressources numériques ? En effet un réseau résidentiel est aujourd’hui statistiquement extrêmement nocif. Les mauvais usages des membres du foyer et les attaques permanentes ont bien souvent raison des objets connectés ayant trouvé place dans nos foyers. Ajoutons à cela que les terminaux transmis en urgence sont probablement reconditionnés et anciens avec des versions systèmes et applications vulnérables.

Il faut alors renforcer les stratégies des firewalls de postes, limiter l’utilisation des clefs USB et placer le terminal utilisateur en confinement au sein de sa propre maison. Refaire le point sur les capacités de détection et de prévention des malwares est un bon réflexe afin de vérifier si celle-ci est suffisamment moderne, efficace et peu gourmande en ressources. De plus, il y a fort à parier que les licences antivirales à disposition ne permettent pas de couvrir tout le parc ainsi doublonné. Par conséquent, une revue des activations est nécessaire. A défaut nombre d’entre eux vous accompagnent et vous proposent des aménagements sur les licences ou des offres de découvertes gratuites et très ouvertes pour les nouveaux clients.

Toutefois n’oublions pas l’essentiel, nos infrastructures. Perdre un terminal utilisateur serait bien dommage en cette période de confinement où il nous est impossible de le secourir rapidement. Mais perdre un élément d’infrastructure serait dramatique, son usage serait perdu pour tous. Pourtant en l’état vous les exposez à des équipements hétérogènes en type, en maîtrise, en vétusté, en sécurité. Cela dit et en prenant le temps de cette remise en question, vous imaginez facilement un scénario que vous n’auriez jamais admis en temps réel.

Sécurité Globale EffectiveLes moyens de protection sont pourtant extrêmement fiables et connus depuis des années. Nous pourrions citer de manière non-succincte à savoir :

  • Le filtrage fin des flux autorisés par Rôle (RBAC)
  • Activer la sécurité des flux (a minima IDS/IPS)
  • Pratiquer au maximum le bris de session (TSE,VDI, …)

Vous l’avez compris, cela demande de refaire le point sur tous vos actifs filtrants afin de vérifier leur niveau de licence et leurs capacités matérielles à prendre en charge. Selon les disponibilités et l’utilisation des ressources matérielles, il faut alors les activer de manière séquentielle et pilotée. Sans cela vous risqueriez d’avoir une mauvaise surprise très vite.

 

Défis N°3 : Garantir la Fiabilité

Fiabilisation par extension

Nos architectures se voient sollicitées d’une façon clairement imprévue lors des projets qui les ont dessinés. Parfois il n’y a pas d’autre choix que de devoir pousser les murs pour sanctuariser les activités principales. Si vos architectures sont basées sur de la virtualisation et que vous avez la main sur les éléments réseaux, vous pouvez rapidement étendre vos capacités de traitement d’accès ou de sécurisation par l’ajout d’instances en machines virtuelles (VM). Elles peuvent représenter un pare-feu d’appoint pour un flux particulier, un Web Application Firewall, une
Appliance dédiée aux VPN,…

Malheureusement les ressources à votre disposition au sein même de votre SI sont finies en ceci qu’elles admettent une limite non franchissable en l’état. Le confinement a causé la fermeture de certains datacenters aux personnes extérieures, les livraisons sont hasardeuses, les dérogations demandent une organisation et l’on doit respecter la santé des employés. Mais alors qu’il est aussi difficile de procéder à des évolutions matérielles, le modèle Cloud prend tout son sens. Il ne reste alors qu’à le démystifier et gérer l’anxiété qu’il nous provoque.

Oui, déporter une infrastructure sur des solutions cloud demande des projets et des études pour être pérenne, pour mesurer les coûts, déterminer le retour sur investissement (ROI), garantir une
extensibilité, … Mais sans parler de déplacer tout votre SI nous pouvons cibler les applications les plus critiques, les plus consommatrices en bandes passantes et les redéployer en un temps très court inférieur à la semaine et ce dans une mini architecture tout aussi sécurisée que l’originale. Nous pouvons même au choix rediriger ou répartir la charge, c’est selon !

Des extensions Faciles

Conclusion

Nous pouvons par conséquent retenir que notre époque nous offre un éventail de solution absolument incroyable qui ne laisse pas beaucoup de place à l’échec. C’est plutôt une bonne chose
car il ne nous est pas permis d’échouer !

Vous l’avez compris, nos compétences et notre expérience est aujourd’hui mise à l’épreuve. Alors il ne faut pas oublier les dogmes fondamentaux, ni même et que l’urgence ne saurait justifier
l’imprudence. Enfin, veillez à ne pas faire pire en voulant le mieux et profitez de vos partenaires de confiance pour vous orienter, vous guider, vous aider.

Nous avons là l’occasions parfaite de démontrer tous ensemble notre savoir-faire et l’esprit de collaboration propre à notre corporation aux services de nos clients et utilisateurs. CS-Novidy’s
s’inscrit complètement dans cette démarche afin de vous aider du mieux que nous le pouvons à affronter cette situation si particulière.

« Prenez soin de vous, prenez soin de vos proches, vous êtes importants pour nous ! »

pdffile