Gérer la connectivité d'une main-d'œuvre dispersée sur plusieurs continents et fuseaux horaires figure parmi les défis majeurs des opérations informatiques modernes. Si vos employés sont basés dans différentes régions géographiques, les connecter en toute sécurité aux systèmes et outils dont ils ont besoin ne peut se limiter à une solution ponctuelle ou à une approche standardisée. Cela implique que les équipes informatiques doivent adopter une approche réfléchie en matière d'infrastructure et de politiques de sécurité dès le déploiement, et veiller à l'exploitation dans différents environnements réseau tout en préservant l'expérience utilisateur.

Pour les organisations soucieuses de sécuriser la connectivité distribuée, accès à distance pour les équipes internationales Il s'agit d'un sujet qui mérite une planification minutieuse plutôt que des solutions improvisées et mises en place au fil du temps.

Ce qu'implique réellement l'accès à distance global

En effet, l'accès à distance pour une équipe géographiquement dispersée est différent du simple fait d'autoriser certains employés à travailler à domicile de temps à autre. Les appareils des utilisateurs finaux se situant souvent entre l'équipe informatique et une partie de leur infrastructure essentielle, la distance géographique complique déjà le dépannage. Mais lorsque les utilisateurs sont répartis dans de nombreux pays, les différences de fiabilité d'Internet selon les juridictions, les différences réglementaires entre ces mêmes juridictions et les appareils fonctionnant sous des systèmes d'exploitation ou des spécifications locales variés complexifient encore davantage le maintien du contrôle d'entreprise.

La première étape consiste à évaluer objectivement les besoins de l'organisation. Il s'agit de recenser la localisation des personnes, les systèmes à utiliser, la fréquence d'accès et le niveau de latence ou de dégradation des performances tolérable pour chaque cas d'usage. Par exemple, les besoins d'un développeur basé à Singapour accédant à un serveur de compilation à Francfort diffèrent considérablement de ceux d'un analyste financier au Brésil récupérant des rapports depuis une application cloud. Dans les deux cas, un accès sécurisé et fiable est indispensable, mais l'architecture sous-jacente peut varier sensiblement.

L'accès à distance entre équipes internationales est un domaine qui nécessite une planification minutieuse, et non une solution ad hoc ajoutée au fil du temps, pour les organisations soucieuses de sécuriser leur connectivité distribuée.

Choisir la bonne architecture d'accès

Choisir la bonne architecture d'accès

Au cœur de l'accès distant mondial se trouve une décision architecturale : le trafic doit-il être acheminé via une infrastructure centralisée, ou adopter une approche plus distribuée où les connexions sont proches de l'endroit où se trouvent réellement les utilisateurs ?
Les approches traditionnelles qui centralisent le trafic distant dans un centre de données unique conviennent aux petites structures ou aux organisations dont le trafic est prévisible. Cependant, ce modèle engendre des problèmes de latence qui impactent fortement la productivité, notamment avec l'augmentation du nombre d'utilisateurs à travers le monde. Par exemple, un utilisateur à Tokyo dont le trafic transite par un centre de données à Chicago peut subir des retards qui s'accumulent rapidement au cours d'une journée de travail.

Pour contourner ce problème, les solutions modernes proposent des points de présence distribués associés à une infrastructure d'accès hébergée dans le cloud ou à des configurations de tunnels séparés. Ces dernières acheminent le trafic non sensible (utilisation générale d'Internet) et les connexions entrantes sensibles via des contrôles centralisés, tandis que le trafic sortant reste local. Chaque solution présente des avantages et des inconvénients en matière de sécurité, de coût, de performance et de complexité administrative.

Évaluation des options de tunnel et de protocole

La sécurité et les performances des connexions d'accès à distance sont intrinsèquement liées aux protocoles sous-jacents. Les déploiements à l'échelle mondiale sont souvent sujets à des pertes de paquets, des liaisons à latence élevée et des transitions de réseau mobile ; les équipes informatiques doivent donc tester ces scénarios afin de déterminer les meilleures options.

D'autres facteurs pratiques, tels que les normes de chiffrement, les exigences d'authentification et le comportement de reconnexion après une interruption de réseau, influencent l'utilisation quotidienne. Ce qui fonctionne correctement avec une connexion filaire au bureau peut s'avérer très peu performant pour un utilisateur connecté via un réseau cellulaire dans une zone à couverture irrégulière, notamment en raison des limitations du protocole.

Considérations de sécurité pour les environnements distribués

Offrir un accès à distance à l'ensemble des employés, même éloignés de leur environnement local, accroît considérablement la surface d'attaque par rapport à un environnement sur site classique. Les utilisateurs se connectent depuis des réseaux que l'entreprise ne contrôle pas, des appareils potentiellement non conformes aux normes de sécurité de l'entreprise (BYOD) et peut-être même depuis des pays présentant des profils de menaces très variés.

Cela implique une approche de sécurité multicouche. Il s'agit notamment de garantir des exigences d'authentification fortes, de réaliser des contrôles d'intégrité des appareils, de segmenter les réseaux et de surveiller les comportements afin d'identifier les tentatives d'accès anormales, quelle que soit leur origine. L'authentification multifacteurs doit être la norme, et non une option supplémentaire.

L'Institut national des normes et de la technologie (NIST) a publié des recommandations faisant autorité sur les bonnes pratiques de sécurité en matière de télétravail. Ces recommandations servent de cadre aux équipes informatiques pour évaluer et renforcer la sécurité de leurs configurations d'accès à distance. Elles détaillent les méthodes d'authentification, la sécurité des appareils clients et les exigences en matière de chiffrement, ainsi que l'élaboration d'une politique de sécurité. Elles constituent ainsi une référence pratique pour les organisations qui mettent en place ou auditent leur approche.

Les contrôles d'accès doivent respecter le principe du moindre privilège ; autrement dit, seul le niveau d'accès requis par les utilisateurs peut leur être accordé. Cependant, pour les équipes internationales, la situation se complexifie rapidement : les employés situés dans différentes régions du monde exercent des fonctions différentes, des environnements réglementaires variés encadrent leur accès aux données et, en définitive, leur profil de risque est lié à la sensibilité des systèmes auxquels ils doivent accéder.

Considérations de sécurité pour les environnements distribués

Gestion des terminaux transfrontaliers

L'extension de l'accès distant à l'échelle mondiale représente sans doute l'un des défis les plus importants en matière de sécurité des terminaux. Les entreprises doivent choisir entre fournir des appareils fournis par l'entreprise à tous leurs employés en télétravail, leur permettre d'utiliser leurs propres appareils (BYOD), ou opter pour une solution hybride.

Les différents modèles présentent des implications différentes en matière de sécurité. Les appareils gérés offrent aux équipes informatiques les outils nécessaires pour appliquer des normes de configuration, déployer des correctifs, assurer la protection des terminaux et effacer à distance les données des appareils en cas de perte ou de compromission. Les systèmes non gérés engendrent une incertitude quant aux logiciels installés, à la mise à jour du système d'exploitation et à l'application des protocoles de veille sur les menaces.

Une solution intermédiaire sans fioritures, adoptée par les organisations dont le personnel se trouve dans des zones géographiques où l'expédition de matériel géré est impossible, trop coûteuse ou impraticable, peut être mise en œuvre sans compromettre la sécurité, afin d'exiger que les appareils personnels répondent à un niveau minimal de sécurité, de passivité et de contrôles de santé avant d'accorder l'accès.

Fiabilité et performance du réseau au sein des régions

La qualité d'Internet peut varier considérablement d'une zone géographique à l'autre. Les régions dotées d'une infrastructure haut débit performante bénéficieront d'une expérience fondamentalement différente de celles où la connectivité est lente, plus coûteuse ou moins fiable. Les équipes informatiques doivent tenir compte de cette variabilité lors de la conception de solutions d'accès distant global, au lieu de supposer que tous les utilisateurs disposent du même niveau de connectivité.

La compression des données, l'optimisation des protocoles, le streaming à débit adaptatif pour les applications de partage d'écran et les stratégies de mise en cache (réduction des transferts de données lors des opérations courantes) sont quelques-unes des techniques permettant d'améliorer les performances dans les environnements réseau complexes. Certaines organisations déploient une infrastructure régionale afin de réduire la latence pour les utilisateurs situés dans des zones à forte latence.

L'agence de cybersécurité responsable des infrastructures fédérales a compilé des directives fédérales sur le télétravail qui abordent à la fois les dimensions de sécurité et opérationnelles de l'accès à distance à grande échelle, fournissant un point de référence utile même pour les organisations non fédérales qui conçoivent leurs propres programmes.

Gestion des identités et des accès évolutive

Gestion des identités pour une main-d'œuvre mondiale – Un système de gestion des identités et des accès doit être suffisamment robuste pour prendre en charge les utilisateurs travaillant dans différentes régions, s'intégrer aux systèmes RH qui déterminent les changements de rôle et les cessations d'emploi, et également prendre en charge des mécanismes d'authentification fonctionnant de manière fiable dans différentes zones géographiques.

L'authentification unique (SSO) réduit considérablement les contraintes d'authentification pour les utilisateurs, tout en offrant aux équipes informatiques un point de contrôle unique. Lorsqu'un employé change de poste ou quitte l'entreprise, ses accès peuvent être mis à jour ou résiliés en un seul endroit, évitant ainsi une mise à jour manuelle sur chaque système auquel il avait accès.

Pour les organisations dont le personnel travaille dans des secteurs réglementés ou des pays exigeant une localisation spécifique des données, la gestion des identités doit également prendre en compte l'emplacement et le traitement des données d'authentification. Ces éléments peuvent avoir un impact considérable sur les décisions architecturales, notamment lorsqu'une entreprise a initialement supposé qu'un fournisseur d'identité mondial unique pourrait servir les utilisateurs de différentes régions géographiques sans difficulté particulière.

Contrôles d'accès privilégiés et d'administration

Dans tous les environnements, les comptes privilégiés permettant d'obtenir un accès étendu aux systèmes, aux configurations ou aux données sensibles doivent être assortis de contrôles renforcés. Ceci est particulièrement important pour les équipes internationales, car un accès privilégié depuis une localisation géographique inattendue peut être un signe d'alerte de compromission.

Le contrôle d'accès temporel, l'enregistrement des sessions des opérations privilégiées et les alertes en cas d'accès depuis des lieux et des heures inhabituels constituent des mesures d'atténuation potentielles que les organisations devraient envisager. L'accès administratif à l'infrastructure critique devrait suivre des procédures spécifiques, avec une surveillance encore plus poussée que celle de l'accès utilisateur.

Élaboration et maintenance de la politique d'accès à distance mondiale

La technologie ne représente que la moitié du problème. Bien que ces systèmes soient conçus techniquement en tenant compte de la sécurité, sans politiques précisant comment l'accès à distance est accordé, utilisé, surveillé et révoqué, ils ne garantissent pas une sécurité optimale en pratique.

La politique d'accès à distance mise en place à l'échelle de l'entreprise doit déterminer quels appareils sont autorisés, quelles conditions réseau entraîneront le blocage d'un appareil se connectant, comment l'authentification est effectuée, quelles actions les utilisateurs peuvent et ne peuvent pas effectuer lors des sessions à distance, comment les incidents peuvent être signalés et à quel moment la résiliation rapide de l'accès est déclenchée.

La formation est un prolongement de la politique de l'entreprise. Les employés de différentes régions ont besoin de comprendre clairement les attentes à leur égard, comment identifier les menaces à la sécurité (pas seulement physiques) et quelles mesures prendre en cas de suspicion d'incident. Dans un contexte de travail mondialisé, les supports de formation doivent être adaptés aux spécificités linguistiques et réglementaires, et les méthodes de formation doivent tenir compte des contraintes liées aux fuseaux horaires et aux horaires de travail décalés.

Surveillance – Intervention en cas d’incident sur tous les continents

L'organisation est littéralement opérationnelle en permanence lorsque des employés travaillent dans différents fuseaux horaires. Par conséquent, la surveillance de la sécurité ne peut se limiter aux heures de bureau. Pour les équipes informatiques et de sécurité, une visibilité continue sur l'activité d'accès à distance est indispensable, grâce à un système automatisé de détection et de réponse des anomalies, disponible 24h/24 et 7j/7.

L'agrégation des journaux, l'analyse comportementale et les alertes automatisées permettent d'identifier rapidement toute activité suspecte. Dans ce contexte, la coordination d'une réponse rapide malgré les décalages horaires représente un véritable défi à prendre en compte dans les procédures de gestion des incidents.

Le fait de disposer de procédures d'escalade claires, de responsabilités d'astreinte et de plans d'intervention prédéfinis signifie que lorsqu'un problème survient, il sera résolu en quelques minutes plutôt qu'en quelques heures – et c'est une distinction importante car les utilisateurs peuvent facilement se trouver à l'autre bout du monde.

Foire aux questions

Quel est le principal défi en matière de sécurité que pose une main-d'œuvre mondiale lorsqu'on active l'accès à distance ?

Ou encore, le risque majeur réside peut-être dans l'accès non autorisé via des identifiants compromis ou des terminaux non sécurisés. Les attaquants peuvent exploiter les connexions d'utilisateurs provenant de réseaux non contrôlés par l'organisation et présentant une authentification multifacteurs faible, voire inexistante. Le renforcement de l'authentification et la sécurité des terminaux doivent être des impératifs fondamentaux pour toute organisation, et non une option supplémentaire.

Comment le service informatique Teams doit-il gérer l'accès des employés travaillant à distance dans des pays où la connexion Internet est mauvaise ?

Évaluez les défis d'accès spécifiques à chaque région et adaptez les solutions en conséquence. Parmi les options possibles : une infrastructure régionale pour réduire la latence, le choix d'un protocole adapté aux réseaux à latence élevée ou sujets aux pertes de paquets, la prise en charge du travail hors ligne et de la synchronisation sécurisée, ainsi que la mise en cache du contenu le cas échéant. Une solution conçue pour les environnements à haut débit ne conviendra pas nécessairement à tous les utilisateurs à l'échelle mondiale.

Quand et à quelle fréquence une organisation doit-elle revoir périodiquement sa politique d'accès à distance mondiale ?

Les politiques d'accès à distance doivent être mises à jour au moins une fois par an et systématiquement en cas de changement significatif au sein de l'organisation, comme l'entrée sur de nouveaux marchés, une évolution des technologies d'accès, la survenue d'incidents de sécurité ou l'introduction d'exigences réglementaires liées aux activités dans une juridiction donnée. Les politiques non mises à jour régulièrement sont inadaptées aux pratiques réelles et à l'évolution des menaces.

Un accès distant mondial réussi ne repose pas uniquement sur la connectivité. En combinant une architecture sécurisée, une gestion robuste des identités, la protection des terminaux, une surveillance continue et des politiques claires, les organisations peuvent accompagner leurs équipes distribuées tout en minimisant les risques de sécurité, en garantissant la conformité et en offrant une expérience utilisateur fiable à l'échelle mondiale.

Autres sujets liés à la technologie immersive

Metamandrill.com fournit des informations explicatives et pratiques sur les technologies immersives et des sujets connexes, comme réalité augmentée, réalité virtuelle, mondes et jeux virtuels, appareils et équipement, Entretiens avec les fondateurs, informations sur l'événement, et explicateurs et guides.