Inloggen op het intranet van Inetum vanuit huis vereist niet dezelfde beveiligingslagen als een verbinding vanuit de bedrijfsruimten. De werkplek valt buiten het beschermde netwerkgebied, de gegevensstromen verlopen via een thuisverbinding, en de authenticatiemechanismen moeten het gebrek aan fysieke controle compenseren. Welke technische parameters scheiden werkelijk een veilige externe toegang van een eenvoudig slecht geconfigureerd VPN?
Normatieve compliance en externe toegang bij Inetum: ISO 27001 en AVG in de praktijk
De meeste gidsen over intranetbeveiliging bij telewerken geven generieke adviezen (sterk wachtwoord, actuele antivirussoftware) zonder deze praktijken te koppelen aan een specifieke normatieve kader. Bij Inetum is het beleid voor externe toegang afgestemd op de ISO 27001-norm en de vereisten van de AVG voor de gegevens die namens Europese klanten worden verwerkt.
Zie ook : Laserprinter: waarom kiezen voor het model M281FDW?
Concreet betekent dit beperkte toegangsrechten op basis van het gebruikersprofiel en een verbeterde traceerbaarheid van elke verbinding met het intranet. Een medewerker die thuiswerkt heeft niet dezelfde rechten als een systeembeheerder op locatie. De sessies worden gelogd en elke abnormale toegangspoging genereert een waarschuwing.
Om het volledige proces van verbinding beter te begrijpen, kunt u toegang krijgen tot het intranet van Inetum op Ô Business waar elke stap gedetailleerd wordt beschreven.
Verder lezen : De complete gids voor het verbranden van calorieën tijdens het wandelen: ontdek hoeveel calorieën je kunt verliezen met 10 km wandelen!
Deze aanpak gaat verder dan eenvoudig individueel advies. Het integreert het beheer van externe toegang in een bredere compliance-logica, waarbij de verbinding met het interne portaal (projectbeheer, tickets, verlof, interne verkiezingen) dezelfde regels volgt als de toegang tot klantensystemen.
Multifactorauthenticatie Inetum: wat de MFA verandert voor telewerken
Sinds 2023 generaliseert Inetum de multifactorauthenticatie (MFA) voor externe toegang tot zijn interne systemen. Deze uitrol maakt deel uit van een programma ter versterking van de beveiliging van toegang en ter bestrijding van accountcompromittering.
De MFA voegt een extra verificatielaag toe bovenop het wachtwoord. In de praktijk ontvangt de medewerker na het invoeren van zijn inloggegevens op het intranetportaal een melding op een authenticatie-app of een tijdelijke code. Zonder deze validatie is de toegang geblokkeerd, zelfs als het wachtwoord correct is.
| Authenticatiemethode | Beschermingsniveau | Beperking voor de gebruiker |
|---|---|---|
| Alleen wachtwoord | Laag (kwetsbaar voor phishing en credential stuffing) | Geen extra beperking |
| MFA via app (TOTP) | Hoog (weerstand tegen wachtwoorddiefstal) | Installatie van een app, validatie bij elke verbinding |
| MFA via fysieke sleutel (FIDO2) | Zeer hoog (weerstand tegen gerichte phishing) | Bezit van een speciaal hardwareapparaat |
Het verschil tussen deze methoden is niet onbelangrijk. Een alleenstaand wachtwoord, hoe complex ook, blijft blootgesteld aan phishingcampagnes. De MFA via app neutraliseert de meeste van deze aanvallen. De fysieke sleutel beschermt daarentegen ook tegen gerichte phishing (spear phishing), maar vereist dat men het apparaat bezit.
De MFA via app is de meest voorkomende compromis voor dagelijks gebruik bij telewerken. Het vertraagt de verbinding slechts met enkele seconden terwijl het risico op compromittering drastisch wordt verminderd.
Bedrijfs-VPN en intranet Inetum: configuratie en veelvoorkomende valkuilen
Toegang tot het intranet tijdens telewerken verloopt doorgaans via een bedrijfs-VPN dat een versleutelde tunnel creëert tussen de werkplek van de medewerker en het interne netwerk. Deze beveiligde verbinding maakt het mogelijk om toegang te krijgen tot de functionaliteiten van het portaal (projectbeheer, IT-tickets, consultatie van verlof, interne rechten) alsof de werkplek zich fysiek in de bedrijfsruimten bevindt.
Er zijn verschillende veelvoorkomende configuratiefouten:
- Een persoonlijk of gratis VPN gebruiken in plaats van de door de IT-afdeling geleverde VPN-client. Deze consumentenhulpmiddelen routeren het verkeer niet naar het interne netwerk van Inetum en bieden geen enkele garantie voor privacy die geschikt is voor professioneel gebruik.
- Updates van de VPN-client negeren, waardoor de verbinding blootgesteld wordt aan kwetsbaarheden die in recente versies zijn verholpen. Beveiligingsbeleid dat is afgestemd op ISO 27001 vereist een regelmatige vernieuwing van deze componenten.
- Verbinden via een openbaar Wi-Fi-netwerk (coworking, hotel, station) zonder te controleren of de VPN actief is voordat de browser wordt geopend. Elke verbinding met het intranet zonder actieve VPN stelt de inloggegevens bloot in platte tekst op het lokale netwerk.
- Gevoelige documenten lokaal opslaan op de persoonlijke werkplek in plaats van direct op de gedeelde ruimtes van het intranet te werken. Verschillende continuïteitsgidsen verbieden deze praktijk expliciet.
Controleer de status van uw VPN-verbinding voor elke sessie
Een eenvoudige reflex is om het pictogram van de VPN-client in de taakbalk te controleren voordat u het intranetportaal opent. Als de tunnel niet is opgezet, zal de poging tot verbinding mislukken of, in het slechtste geval, via een onveilige route verlopen. Sommige bedrijfsconfiguraties blokkeren automatisch de toegang tot het portaal bij afwezigheid van een actieve VPN, maar deze bescherming is niet universeel.
Telewerken en continuïteitsplan: het intranet als crisisbeheertool
Een zelden besproken aspect in beveiligingsgidsen betreft de integratie van telewerken in het continuïteitsplan (PCA). Franse publieke organisaties stellen inmiddels specifieke procedures verplicht voor externe intranettoegang in het kader van hun PCA: verplicht gebruik van het bedrijfs-VPN, regelmatige vernieuwing van wachtwoorden, verbod op lokale opslag van gevoelige documenten.
Voor een digitale dienstverlenende onderneming zoals Inetum, waarvan de medewerkers betrokken zijn bij verschillende klantprojecten, is het vermogen om een veilige toegang tot het intranet te behouden in verslechterde situaties (lokale netwerkuitval, beveiligingsincident, gezondheidscrisis) rechtstreeks bepalend voor de continuïteit van de operaties. Het intranet concentreert het beheer van tickets, projectmonitoring, interne verkiezingen en administratieve functionaliteiten (verlof, rechten).
Een PCA dat de beveiliging van externe toegang niet integreert, blijft incompleet. De kwaliteit van de verbinding, de robuustheid van de authenticatie en de traceerbaarheid van de sessies vormen een onlosmakelijk geheel.
Het laatste punt om in gedachten te houden: de beveiliging van een intranetverbinding tijdens telewerken berust op de samenwerking tussen drie technische lagen (VPN, MFA, privilegebeheer) en niet op slechts één. Het verwijderen van een van deze lagen verzwakt het geheel, ongeacht de kwaliteit van de andere twee.