Logo IS Decisions

Sécuriser les réseaux protégés par air gap avec la MFA et les contrôles d’accès

Un réseau sous air gap ne dispose d’aucune connexion physique à Internet, ni à aucun autre réseau ou système local n’étant pas lui-même protégé par une technologie d’air gapping. Voici comment UserLock permet de mettre en œuvre l’authentification multifacteur (MFA) sécurisée et les contrôles d’accès sur les réseaux protégés par air gap.

Publié le 20 novembre 2024

La mise en réseau repose sur un grand principe : on estime que relier les ordinateurs à d’autres parties réseau de l’entreprise ou à Internet est en soi une bonne chose. Néanmoins, dans un grand nombre de scénarios de sécurité, les architectes réseau s’attèlent à faire précisément l’inverse en créant des réseaux isolés, protégés par air gap. Voici comment UserLock peut vous aider à appliquer une technologie robuste d’authentification multifacteur (MFA) adaptée aux réseaux air gap.

Qu’est-ce qu’un réseau protégé par air gap ?

L’expression « air gap » revient souvent dans les sujets de discussion, mais sa signification précise dépend du contexte, et il n’existe pas de définition unique claire. Alors, à quoi faisons-nous référence lorsque nous parlons de réseau protégé par air gap ?

Dans le domaine de la sécurité réseau, les architectes réseau peuvent isoler les ordinateurs les uns des autres, de manière physique ou logique.

La séparation logique a lieu lorsque l’architecte place des ordinateurs sur un segment de réseau défini de façon logicielle.

Un réseau protégé par air gap va plus loin et isole les ordinateurs à la fois de manière physique et de manière logique.

Un réseau air gap ne dispose d’aucune connexion câblée ou sans fil à un autre réseau local ou externe, et il n’est pas connecté à Internet. Parfois, le réseau air gap se situe dans une salle ou un bâtiment dédiés afin de l’isoler encore davantage.

Autrement dit, la technique d’air gapping vise à créer un « îlot » qui réduit grandement la surface d’attaque.

Le principe est simple : si un ordinateur ou un réseau n’est connecté à rien, il devient extrêmement difficile de le pirater ou de l’infecter par un malware à distance.

Naturellement, contrôler les accès non autorisés à ces réseaux reste vital. C’est là que l’authentification sécurisée a un rôle critique à jouer, que nous analysons ci-dessous.

Difficultés liées à la gestion des réseaux protégés par air gap

Dans un premier temps, examinons les deux principales difficultés liées à la gestion des réseaux protégés par air gap : la complexité et le coût.

Les avantages des réseaux air gap en matière de sécurité sont indéniables, mais ils nécessitent des efforts de gestion plus importants. Les réseaux protégés par air gap doivent être gérés comme n’importe quel autre réseau, mais les opérations de routine sont plus difficiles en l’absence de toute connectivité. Par exemple, la gestion du réseau s’avère plus compliquée lorsqu’il est impossible d’autoriser les accès, les mises à jour ou l’application de correctifs à distance.

Dans un réseau isolé, l’infrastructure est non seulement plus complexe, mais aussi plus coûteuse : vous devez d’abord dupliquer tous les systèmes sous-jacents de base, comme Windows Active Directory (AD). Et lorsque le nombre de réseaux protégés par air gap augmente dans votre entreprise, la complexité et les coûts s’envolent rapidement.

Qui utilise les réseaux protégés par air gap et pourquoi ?

La mise en œuvre des réseaux sous air gap étant une entreprise d’envergure, leur utilisation se cantonne généralement à certains cas d’utilisation spécifiques nécessitant d’appliquer différents niveaux de sécurité. Exemples :

  • Les structures administratives ou militaires pour qui la sécurité est une priorité absolue, et pour lesquels l’accès à l’environnement opérationnel est soumis à des règles de conformité strictes, comme la norme FIPS-140-2 aux États-Unis.

  • Les infrastructures critiques comme les sites de production d’énergie, de production industrielle, les transports en commun ou le contrôle aérien, où l’air gapping offre une plus grande résilience aux systèmes industriels et IoT.

  • Les institutions financières, places boursières et autres secteurs hautement réglementés, où le recours à l’air gapping s’inscrit dans les procédures de reprise après sinistre, pour protéger les systèmes financiers stratégiques ou isoler les postes de contrôle industriels hérités exécutant des logiciels vulnérables.

  • Les établissements de santé, qui utilisent souvent l’air gapping pour sécuriser certains types de matériels médicaux.

Dans certains réseaux protégés par air gap, aucun dispositif n’est autorisé à pénétrer ou à quitter le réseau. D’autres sont plus souples sur ces points. Cet aspect détermine la façon dont on applique la sécurité dans chaque environnement.

Traditionnellement, on imagine que les réseaux protégés par air gap sont basés sur des systèmes plus anciens. Pourtant, certaines entreprises mettent aujourd’hui en place des infrastructures de cloud privé derrière un air gap, à l’image de Cloud distribué de Google sous air gap.

Les réseaux air gap sont-ils aussi sûrs qu’il y paraît ?

En théorie, le recours à l’air gapping élimine une grande partie des problèmes de sécurité. Après tout, si un réseau est isolé de toute forme de connectivité ou d’accès distant, il est probablement protégé contre les attaquants, n’est-ce pas ? Malheureusement, la réponse est non.

L’incident tristement célèbre lié au malware Stuxnet, rendu public en 2010, a bien montré que le recours à l’air gapping ne constituait pas à lui seul un bouclier magique. Une simple clé USB a permis d’introduire un malware sur la cible : un réseau Windows protégé par air gap sur le site d’enrichissement d’uranium de Natanz, en Iran. Stuxnet nous a appris que, pour bien sécuriser un environnement protégé par air gap, il faut impérativement prendre de nombreuses précautions. Et ne pas partir du principe que l’air gap sera suffisant.

Après tout, quelqu’un aura toujours besoin d’accéder aux réseaux isolés pour les gérer ou installer les logiciels pour lesquels ils sont conçus. Et tout accès entraîne un risque. Des acteurs internes mal intentionnés peuvent abuser de leur accès au réseau, des malwares peuvent arriver de l’extérieur par accident ou volontairement, et des acteurs externes peuvent accéder aux identifiants permettant d’accéder au réseau protégé.

On l’a vu à maintes reprises : il n’est pas difficile pour des cybercriminels de mettre la main sur des identifiants, même ceux de comptes privilégiés. Encore récemment, la campagne liée à un ransomware inconnu de novembre 2022 a touché de nombreuses entreprises du secteur logistique en Ukraine et en Pologne. Lors de cette attaque, un hacker a déployé un payload de ransomware, après une phase de compromission initiale lors de laquelle il était parvenu à mettre la main sur des identifiants hautement privilégiés.

La MFA est désormais essentielle pour la sécurité des réseaux protégés par air gap

Dans un réseau protégé par air gap, les postes de travail deviennent le nouveau périmètre de sécurité. Autrement dit, la procédure d’authentification sur ces ordinateurs devient un facteur critique de la sécurité des systèmes protégés. Malheureusement, la sécurité des accès sur les réseaux protégés par air gap dépend très souvent du mot de passe Windows, particulièrement vulnérable aux détournements et au vol.

Certaines entreprises n’étendent pas la MFA aux îlots air gap, parce qu’elles imaginent que cette cyber-douve la protègera comme par magie. Une supposition aussi fausse que dangereuse.

D’autres n’appliquent pas la MFA aux réseaux protégés par air gap parce qu’elles pensent que c’est impossible. La plupart des solutions de MFA proposant l’authentification à deux facteurs (2FA) ne fonctionnent pas en l’absence d’une connexion à Internet, ce qui est effectivement incompatible avec l’air gapping. Et lorsque la MFA est disponible hors connexion, les méthodes d’authentification sont trop limitées.

La solution de repli habituelle consiste à utiliser des smartcards propriétaires, mais cette approche peut être complexe et coûteuse à concrétiser. Restent les jetons physiques FIDO2. Ces derniers fonctionnent bien, mais ils s’appuient sur des protocoles qui ne sont pas toujours compatibles avec les postes de travail, les réseaux et les systèmes hérités.

La MFA hors ligne vous permet de profiter de cette couche de sécurité importante pour les réseaux protégés par air gap de la même façon que pour les réseaux locaux conventionnels connectés à Internet.

UserLock résout le problème de la MFA pour les réseaux air gap

La réponse ? Utiliser une solution de MFA comme UserLock, conçue pour maintenir la MFA et les restrictions d’accès même hors ligne. Vous pouvez ainsi continuer d’appliquer vos politiques d’accès et la MFA même sans connexion à Internet.

Lorsque vous installez les micro-agents d’UserLock sur le poste de travail local ou l’ordinateur portable de vos collaborateurs, ils utilisent les protocoles Windows pour communiquer avec un serveur UserLock installé à l’intérieur du réseau protégé par air gap.

Au moment où vos utilisateurs s’authentifient auprès d’un service Active Directory (AD) local, UserLock applique vos politiques de MFA et de contrôle d’accès sans se connecter à Internet. Cette fonctionnalité permet ainsi à UserLock de prendre nativement en charge les environnements protégés par air gap et hors ligne.

Pour l’utilisateur, la MFA UserLock fonctionne de la même façon que sur n’importe quel poste de travail. Après avoir saisi ses identifiants Windows, il reçoit une invite de MFA.

Avec UserLock, vous pouvez activer les types d’authentification suivants en tant que moyen principal ou secondaire.

  • Jetons TOTP ou HOTP tels que YubiKey Series 5, FIPS Series, Token2 T2F2 ALU ou jetons programmables.

  • Mots de passe à usage unique basés sur le temps (TOTP) générés par une application d’authentification sur smartphone, ou par notre application UserLock Push (une connexion à Internet est requise dans un premier temps pour synchroniser les smartphones). L’application UserLock Push peut authentifier les utilisateurs à l’aide de notifications Push (uniquement disponibles avec une connexion à Internet), mais aussi avec des codes TOTP dans les situations où Internet n’est pas disponible.

Grâce à UserLock, les administrateurs peuvent déployer la MFA sur leur réseau protégé par air gap de la même façon que sur un réseau standard connecté à Internet. Cependant, UserLock permet également aux administrateurs de réseaux air gap d’aller plus loin que le MFA en implémentant des contrôles d’accès supplémentaires. La plupart de ces contrôles sont critiques dans les environnements protégés par air gap, par exemple :

Contrôles d’accès granulaires

Les contrôles d’accès granulaires de UserLock permettent de limiter les risques en cas d’attaque interne. Les administrateurs peuvent mettre en œuvre des restrictions d’accès basées dans le temps afin de définir les moments où un utilisateur peut accéder à un poste de travail (ou pas). Il est également possible de limiter la durée des sessions à une durée fixe, ou encore d’imposer des quotas à un utilisateur, un groupe d’utilisateurs ou une unité d’organisation (UO) AD.

Surveillance et alertes en temps réel

La gestion des sessions d’UserLock permet aux administrateurs de suivre les tentatives de connexion au fil du temps et de paramétrer des alertes personnalisées qui ajoutent de nombreuses couches de sécurité. Les équipes peuvent ainsi répondre à distance en cas de comportement anormal, bloquer une session d’un clic, ou créer des scripts en vue d’automatiser les réponses.

Restrictions liées aux postes de travail

Avec les restrictions par type de session proposées par UserLock, vous pouvez empêcher un utilisateur ou un groupe d’utilisateurs d’utiliser une machine donnée. Par exemple, les administrateurs peuvent limiter les utilisateurs aux accès établis par des machines de domaines connus.

Audit et reporting pour les réseaux protégés par air gap

Les scénarios d’utilisation qui justifient l’adoption de l’air gapping imposent généralement des contrôles stricts en matière d’audit et de conformité. UserLock enregistre et documente les événements de MFA, l’historique des sessions et les événements d’accès utilisateur, ce qui lui permet de produire des pistes d’audit et des rapports exhaustifs répondant aux exigences de conformité les plus élevées.

Restriction des sessions simultanées pour l’accès aux clouds privés protégés par air gap

Aujourd’hui, de nombreuses charges de travail sensibles sont gérées par un cloud privé protégé par air gap. Par exemple, le cloud distribué de Google sous air gap est un environnement de cloud entièrement isolé, conforme aux contrôles de sécurité stricts imposés par NIST SP 800-53 (en anglais) et FedRAMP dans le secteur de la défense ou d’autres industries réglementées qui ont l’obligation de protéger leurs charges de travail sensibles.

En tant que partenaire du réseau GDC (Google Distributed Cloud Hosted), UserLock est compatible avec le cloud distribué de Google sous air gap. UserLock permet aux environnements hébergés sur un cloud distribué de Google sous air gap de limiter les sessions simultanées pour les utilisateurs comme pour les administrateurs.

Sécurisez l’accès à vos réseaux sous air gap avec la MFA et les contrôles d’accès

La MFA est un composant critique de la protection des accès dans toutes les entreprises. Ces dernières doivent sécuriser l’accès aux postes de travail et aux comptes utilisateurs protégés par air gap de la même façon que n’importe quelle autre machine ou compte Windows sur leur réseau.

Sachant que la plupart des solutions de MFA ne prennent pas en charge les environnements sous air gap, beaucoup d’entreprises abandonnent totalement la MFA pour leurs réseaux les plus sensibles. Cette approche est non seulement moins sécurisée, elle expose potentiellement l’entreprise à une infraction de ses obligations réglementaires et de conformité.

C’est pourquoi nous avons conçu UserLock pour prendre en charge la MFA même sans connexion à Internet, immédiatement, sans configuration supplémentaire. La MFA UserLock vous permet également d’utiliser les mêmes applications d’authentification, jetons physiques ou clés de sécurité déjà utilisées par vos équipes pour s’authentifier sur un réseau IT traditionnel. Ainsi, UserLock permet d’éviter toute explosion des coûts et de la complexité, tout en relevant le niveau de sécurité global en appliquant la MFA et le contrôle des accès à l’ensemble des accès utilisateur protégés par air gap.

XFacebookLinkedIn

Essayez UserLock gratuitement

Plus de 3400 organisations comme la vôtre utilisent UserLock pour sécuriser les accès des identités Active Directory et répondre aux exigences de conformité.

Télécharger une version d'essai gratuite