Comment Les employés Contournent les Filtres Web du lieu de travail (et Comment les arrêter)

Un filtre Web est un outil omniprésent pour protéger les réseaux et empêcher les employés ou les étudiants d’accéder à du contenu inapproprié. Étonnamment, le rapport 2019 de Dtex sur les renseignements sur les menaces internes a révélé que 95% des entreprises ont surpris leurs employés à chercher activement des moyens de contourner les protocoles de sécurité de l’entreprise.

Dans cet article, je vais décrire les méthodes utilisées par les employés pour contourner les politiques de filtrage de contenu Web et vous fournir des conseils pour les empêcher de se produire.

Logiciel de filtrage Web pour les entreprises

Vous avez besoin d’empêcher vos employés d’accéder à certains sites Web ? Commencez dès aujourd’hui avec un essai gratuit de BrowseControl, le logiciel de filtrage Web de CurrentWare.

 » En tant que « novice », j’ai pu m’installer avec l’aide du support en environ une heure. Les logiciels précédents ont pris une éternité et n’ont pas fonctionné comme annoncé; ce logiciel a fonctionné dès la sortie de la boîte. Cela permet à mes travailleurs d’utiliser Internet et de gagner de l’argent pour la pratique sans distraction / tentation d’utiliser des sites Web personnels / des courriels / des achats. »
– Gerard B., Chef de bureau

Meilleures Pratiques Pour Dissuader Les Utilisateurs De Contourner les Filtres Web

 Graphique d'une ligne d'horizon avec un homme tenant le monde entre ses mains.

Pourquoi Le contournement des filtres Web pose-t-il un problème?

  • Sécurité: Lorsque les utilisateurs contournent les politiques de filtrage Web, ils augmentent la surface d’attaque du réseau en se donnant la possibilité de tomber sur des sites Web malveillants.
  • Productivité: Les administrateurs bloqueront les médias sociaux, les sites de jeux et autres sites Web distrayants pour améliorer la productivité de leur organisation. Les utilisateurs activement désengagés peuvent essayer d’accéder à ces plates-formes pour perdre du temps.
  • Décence: Les filtres Web sont utilisés pour bloquer l’accès au contenu destiné aux adultes et à d’autres sites Web jugés inappropriés. Cela inclut les domaines qui hébergent du contenu pornographique, haineux ou autrement grossier.
  • Conformité CIPA : Pour les écoles et les bibliothèques, un filtre Web est un élément essentiel pour respecter la conformité CIPA. Ces organisations doivent se conformer à la CIPA pour recevoir un financement au tarif électronique pour les télécommunications, l’accès à Internet et les services à large bande.

Évitez de donner aux utilisateurs des privilèges d’administrateur

Réduire le nombre de comptes d’administrateur est une pratique de sécurité fortement recommandée. La prolifération des privilèges d’administrateur inutiles augmente la probabilité que les acteurs de la menace puissent accéder au réseau via des comptes à privilèges élevés compromis.

Du point de vue du filtrage Web, le fait de donner à vos utilisateurs des privilèges limités les empêche de télécharger des applications de contournement indésirables (par exemple des proxys) ou d’apporter des modifications de configuration susceptibles de nuire à la sécurité de votre réseau.

Établissez une Politique d’utilisation acceptable

La politique de votre entreprise doit interdire explicitement les tentatives de contournement des mesures de sécurité. Une politique d’utilisation acceptable (PUA) complète votre logiciel de filtrage Web en fournissant aux employés des directives claires pour l’utilisation de la technologie sur le lieu de travail.

Une PUA crée un précédent pour les mesures correctives si vos utilisateurs tentent de contourner les contrôles de sécurité organisationnels. Une fois que vous avez découvert des preuves de telles tentatives, vous devez vous adresser au(x) utilisateur(s) responsable (s) en temps opportun pour dissuader de futures tentatives d’évitement.

Modèle d’échantillon Gratuit:
Politique d’utilisation d’Internet des employés

Téléchargez cette politique d’utilisation acceptable GRATUITE, personnalisez-la,
et distribuez-la à vos employés pour créer un précédent pour l’utilisation acceptable d’Internet sur le lieu de travail.

Utilisez un filtrage moins restrictif

Qu’est-ce qui est plus important : productivité ou sécurité?

Les sites Web distrayants et improductifs sont souvent bloqués sur le lieu de travail. Voici le truc: si vos employés veulent vraiment utiliser Facebook au travail, ils trouveront un moyen.

Si vous utilisez un filtre Web pour éviter les distractions, les utilisateurs mécontents sont plus incités à contourner votre filtre Web que s’ils l’utilisaient uniquement pour des raisons de sécurité et de décence.

Du point de vue de la sécurité du réseau et des terminaux, permettre à vos utilisateurs d’accéder aux médias sociaux est une préoccupation moindre que de les inciter à contourner les politiques de filtrage Web des entreprises et à visiter des sites Web potentiellement à haut risque.

Vous pouvez également planifier des politiques de filtrage Web moins restrictives pendant les pauses pour permettre à vos employés ou à vos étudiants d’accéder à du contenu distrayant à des périodes désignées.

Ce n’est pas tout, cependant

Il y a une autre raison pour laquelle vos employés ou étudiants veulent contourner votre filtre Web. Parfois, c’est simplement qu’ils veulent accéder à du contenu auquel ils ne devraient pas accéder, mais ce n’est pas toujours le cas. Votre filtre Web peut en fait bloquer l’accès à des recherches légitimes.

Votre solution de filtrage Web doit être facile à gérer. Cela devrait vous permettre de débloquer facilement des sites Web qui ont été mis sur liste noire à tort. Être en mesure de fournir sans effort un accès à des sites Web bloqués réduira la tentation pour vos utilisateurs de rechercher des techniques d’évitement de filtres risquées.

Comment les employés contournent les filtres Web

1) DNS-Over-HTTPS

 Citation: Pour les entreprises, le DoH est un cauchemar depuis qu'il a été proposé. DoH crée essentiellement un mécanisme pour écraser les paramètres DNS imposés de manière centralisée et permet aux employés d'utiliser DoH pour contourner toutes les solutions de filtrage du trafic basées sur DNS. - Catalin Cimpanu, ZDNet

Qu’est-ce que c’est?

DNS-Over-HTTPS (DoH) est un protocole qui crypte les requêtes DNS, rendant l’URL visitée indétectable pour les filtres au niveau du réseau. L’intention de DoH est d’augmenter la confidentialité des utilisateurs en réduisant les données disponibles pour les FAI et autres fournisseurs, mais cela a par inadvertance causé des problèmes dans les environnements d’entreprise qui utilisent des filtres Web basés sur DNS.

Comment il est utilisé pour contourner les filtres Web

Le même cryptage qui masque le trafic DNS des FAI masque également les détails dont les filtres Web au niveau du réseau ont besoin pour bloquer efficacement les sites Web.

Les employés et les étudiants peuvent utiliser des navigateurs Web prenant en charge le DoH pour contourner les stratégies de filtrage Web au niveau du réseau. Certains navigateurs Web tels que Firefox activent DoH par défaut, ce qui pose des problèmes de sécurité dans les organisations qui utilisent des filtres Web pour protéger leur réseau contre les attaques de phishing.

La solution

  • Filtre à base d’agents: Utilisez un filtre Web basé sur un agent, tel que BrowseControl, qui bloque les sites Web au niveau du navigateur plutôt que d’utiliser un filtre DNS au niveau du réseau.
  • Domaine Canary : Les entreprises utilisant des filtres Web basés sur DNS avec Firefox peuvent ajouter le domaine canary use-application-dns.net à leur filtre DNS pour empêcher DoH d’être utilisé par défaut. Malheureusement, Firefox peut toujours respecter les paramètres au niveau de l’utilisateur; si votre utilisateur active manuellement DoH, il peut conserver la possibilité de contourner les filtres Web DNS.
  • Bloquer les navigateurs Web: Utilisez un bloqueur d’applications pour empêcher les utilisateurs de lancer des navigateurs prenant en charge DoH. La liste des navigateurs prenant en charge DoH ne cesse de croître, ce qui risque de ne pas être réalisable à long terme.
  • Active Directory : Utilisez un objet de stratégie de groupe dans Active Directory pour désactiver DoH

2) Proxys Web et Applicatifs

C’est quoi ?

Les Proxys sont des sites Web et des applications qui servent de passerelle entre l’utilisateur et Internet. Les entreprises utilisent souvent leurs propres serveurs proxy spécialement conçus qui servent de pare-feu et de filtre Web, mais les employés peuvent également utiliser des proxy tiers pour contourner les mesures de filtrage de contenu internes.

Comment il est utilisé pour contourner les filtres Web

Les proxys peuvent être utilisés de trois manières clés pour percer les filtres Web d’entreprise:

  1. Vos utilisateurs peuvent utiliser des mandataires tiers pour masquer leur trafic de votre filtre Web et naviguer librement sur Internet. Ces proxy sont accessibles via l’un des nombreux sites proxy dédiés.
  2. Vos utilisateurs peuvent modifier les paramètres de leur navigateur Web pour transférer le trafic vers un serveur proxy qui n’est pas géré par votre entreprise.
  3. Ils pouvaient télécharger des programmes proxy spécialement conçus sur des clés USB à la maison et apporter ces appareils à l’école ou au travail.

La solution

Empêchant efficacement l’utilisation de procurations nécessite une approche à plusieurs volets. Vous devrez combiner le filtrage Web, la restriction des autorisations utilisateur, le contrôle d’accès USB et le blocage des applications pour traiter toutes les méthodes possibles.

  • Filtrage Web: Ajoutez la catégorie Proxy à votre liste de filtrage des catégories pour bloquer de manière proactive tous les sites proxy connus. L’ajout manuel de sites Web et d’applications proxy connus à votre filtre de contenu est une bataille perdue car de nouveaux sites sont créés régulièrement.
  • Surveillance des employés : Surveillez l’activité du moteur de recherche des employés pour les requêtes indiquant qu’ils essaient de trouver des sites proxy débloqués. Vous pouvez également suivre les applications utilisées et les URL visitées sur votre réseau et vérifier si les employés utilisent des sites et des applications proxy débloqués.
  • Restrictions de politique: Utilisez un objet de stratégie de groupe dans Active Directory Prevent pour empêcher les utilisateurs d’apporter des modifications aux paramètres du navigateur. Vous devez également empêcher les employés d’utiliser des périphériques USB – si cela est trop restrictif pour votre organisation, vous pouvez mettre en liste blanche les périphériques fournis par l’entreprise et demander à vos utilisateurs de les conserver sur site.

3) Réseaux Privés Virtuels

C’est quoi ?

Un réseau privé virtuel (VPN) crée un réseau chiffré privé entre deux réseaux. Ces outils sont souvent utilisés pour fournir aux travailleurs distants un accès aux applications logicielles hébergées sur le réseau de leur employeur.

Comment il est utilisé pour contourner les filtres Web

Un VPN contourne les filtres Web et les tunnels à travers des pare-feu en masquant le trafic réseau de l’utilisateur. Cela rend difficile la détection ou le déchiffrement des sites Web qu’ils visitent, obligeant les administrateurs système à bloquer entièrement la connexion VPN s’ils veulent l’empêcher de contourner leurs politiques de filtrage.

La solution

  • Bloquer les ports VPN: Si vous n’avez pas besoin de VPN dans votre organisation, vous pouvez simplement les bloquer complètement. Pour ce faire, bloquez tous les ports réseau prenant en charge les connexions VPN. Les ports exacts utilisés varient selon le VPN, les ports les plus courants étant 443 (TCP), 500 (UDP), 1194 (TCP/UDP), 1701 (TCP), 1723 (TCP), 4500 (UDP) et 10000 (TCP/UDP).
  • Bloquer les extensions VPN : Empêchez vos utilisateurs d’installer des plugins de navigateur VPN.
  • Bloquer les applications : Utilisez un bloqueur d’applications pour empêcher vos utilisateurs d’utiliser des VPN basés sur des applications. Vous pouvez également restreindre les privilèges des comptes employés/étudiants pour les empêcher d’installer des logiciels sans mot de passe administrateur.

4) Utiliser les données cellulaires comme point d’accès Wi-Fi pour leurs ordinateurs portables

 Un homme utilisant un ordinateur portable pour naviguer sur Internet

C’est quoi ?

Les smartphones incluent une fonction appelée « connexion », qui vous permet d’utiliser les données mobiles de votre téléphone pour créer un point d’accès Wi-Fi privé. Ce point d’accès peut être utilisé pour connecter un autre téléphone, une tablette ou un ordinateur à Internet.

Comment il est utilisé pour contourner les filtres Web

Si vous filtrez des sites Web au niveau du réseau avec un filtre DNS ou un pare-feu, vos employés peuvent contourner votre filtre Web en déconnectant leur ordinateur portable de travail de votre réseau filtré et en se connectant au point d’accès Wi-Fi privé de leur téléphone portable.

La solution

Un filtre Web basé sur un agent qui bloque les sites Web au niveau du périphérique ne peut pas être contourné à l’aide de cette méthode. L’agent logiciel met en cache localement les stratégies de filtrage Web, ce qui permet d’appliquer la dernière liste noire connue même lorsque vos employés se connectent à un réseau extérieur.

5) Lancement d’un navigateur Web à partir de l’USB

 Les Périphériques USB Indésirables Nuisent À La Sécurité Des Points de Terminaison

C’est quoi ?

Vos utilisateurs peuvent utiliser des services tels que PortableApps.com pour installer des navigateurs Web portables sur une clé USB. Cette méthode est plus difficile à détecter que les autres méthodes car les navigateurs peuvent être lancés directement à partir du périphérique multimédia amovible sans avoir besoin de visiter un site Web ou d’installer un programme sur leur ordinateur.

Comment il est utilisé pour contourner les filtres Web

Ces navigateurs Web basés sur USB sont configurés pour acheminer leur trafic Internet via une adresse proxy qui contourne les politiques de filtrage Internet de votre réseau.

La solution

  • BrowseControl: Les fonctionnalités de filtrage Web de BrowseControl bloquent le chargement des pages Web sur les navigateurs Web portables
  • Bloquez les USB : Bloquez les périphériques USB ou fournissez aux utilisateurs des autorisations en lecture seule. Si les périphériques USB sont critiques, un administrateur peut mettre en liste blanche une sélection gérable de périphériques approuvés.
  • Bloquer les applications: Vous pouvez empêcher les employés de lancer des applications portables sur leurs ordinateurs à l’aide d’un logiciel de blocage d’applications tel que BrowseControl

Besoin d’une solution pour bloquer les périphériques USB indésirables? Commencez dès aujourd’hui avec un essai gratuit d’AccessPatrol, le logiciel de contrôle de périphérique USB de CurrentWare.

Conclusion

Les filtres Web sont d’excellents outils pour empêcher les employés et les étudiants d’accéder à des sites Web à haut risque et inappropriés. Au fil du temps, les utilisateurs férus de technologie ont découvert des moyens de plus en plus complexes et créatifs de contourner les politiques de sécurité locales.

Pour se protéger contre cette tendance, les politiques fondées sur des restrictions doivent être combinées à la surveillance informatique et aux mesures de protection administratives. Les administrateurs réseau peuvent renforcer davantage l’intégrité de leurs politiques de filtrage en incluant l’utilisation de filtres Web basés sur des agents qui appliquent des listes noires de sites Web lorsque les utilisateurs sont hors du réseau principal.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.