Priorité au poste de travail

10/07/2008 à 00h00

Sujet considéré comme banal, parent pauvre des projets de sécurité, la protection des postes de travail n'a pourtant jamais été plus d'actualité. Fuite des données confidentielles, pertes et vols d'ordinateurs portables ont rappelé que l'architecture réseau seule ne suffit pas à sécuriser les postes.

Doit-on encore et toujours sécuriser le poste de travail en entreprise ? Si la question peut surprendre, elle est loin d'être une simple provocation. Il n'est pas absurde de penser que, par défaut, si le système d'information est sécurisé, les postes de travail le seront. Et s'il est un concept qui a prédominé à ce sujet ces dix dernières années, c'est bien celui de la sécurité périmétrique.Dès lors, pourquoi se soucier de la protection de postes de travail retranchés au sein de la forteresse créée par toute entreprise et sécurisés par une infrastructure réseau moderne ? Passerelles antivirus, pare-feu, boîtiers UTM (Unified Threat Management, ou gestion unifiée des menaces), systèmes de prévention d'intrusion (IPS pour Intrusion Prevention System) aux débits surboostés, appliances de filtrage de contenu… devraient être bien suffisants. Hélas, cette façon de raisonner n'est pas réaliste. Le poste de travail, aux mains d'un utilisateur lambda, reste un point majeur de vulnérabilité des systèmes d'information. Son pouvoir d'attraction pour de multiples nuisances n'a cessé de croître : virus, vers, spywares, malwares, phishing, chevaux de Troie… Mal contrôlé, il peut finir sa vie comme minable “ zombie ” d'un botnet.

La tentation du poste client léger ou virtualisé

Cette dernière tendance souligne – contrairement au postulat suggéré par la question d'introduction – l'importance de sécuriser avec soin ses postes de travail. Et la croissance des ordinateurs mobiles au sein des parcs d'entreprises a renforcé cette prise de conscience. Fort heureusement, le marché a su s'adapter à l'évolution des menaces et proposer des parades. Reste aux sociétés à considérer le chantier de la sécurisation des postes de travail avec autant de sérieux que d'autres projets d'infrastructures. “ On a longtemps pensé se débarrasser de la problématique en combinant antivirus et protection périmétrique. Le poste de travail n'était pas une priorité, il le redevient ”, constate Etienne Busnel, directeur de l'entité sécurité chez Euriware.Face au problème, certaines entreprises choisissent d'autres voies, celles de la simplification du poste de travail avec le recours aux clients légers ou à la virtualisation. Une approche teintée de nostalgie selon Thierry Ramard, PDG d'Ageris Group : “ On rebanalise ainsi le poste de travail en revenant à la période où l'architecture qui dominait était celle d'un terminal peu intelligent, doté de peu de puissance et de capacité, dans un monde où l'informatique était centralisée. ”

Faut-il un chiffrement des portables ?

La sécurisation de ces postes n'implique pas forcément un parcours semé d'embûches. Pour cerner le problème, trois points fondamentaux sont à envisager : qui accède aux postes de travail ? Quelle est la cible de sécurité et comment y répondre ? Comment s'assurer du suivi et de la cohérence de l'ensemble ? C'est en fonction des réponses à ces questions que se fera le choix entre les solutions du marché. Avec une règle à respecter : évaluer les briques technologiques seulement selon les risques et les objectifs fixés par l'entreprise. Ainsi, prendre conscience de la pertinence du chiffrement n'a d'intérêt que si l'on réalise que celui-ci ne s'adresse pas exclusivement aux ordinateurs portables. D'ailleurs, ces derniers n'ont pas nécessairement tous besoin de cette technologie.De même, si SSO (Single Sign-On, ou authentification unifiée) séduit les utilisateurs, il est parfois délicat à mettre en œuvre, et ne peut être considéré comme le sésame miraculeux du contrôle d'accès. L'authentification forte s'impose, mais que préférer, token ou carte à puce ? Les suites intégrées combinent des fonctionnalités à utiliser à la demande, mais le client unique reste le seul garant des performances et d'une intégration digne de ce nom. En outre, toutes les fonctions de sécurité ne sont pas nécessairement à déployer au niveau du poste de travail. Indirectement, ce dernier est aussi protégé par des choix faits en amont au niveau du réseau.

Glossaire

Identification d'une personne sur des caractères physiologiques ou morphologiques (empreintes digitales, forme de la main, dessin du réseau veineux de l'œil, voix) ou des traits comportementaux reconnaissables et vérifiables (façon d'utiliser un clavier, dynamique de la signature).

Désigne la personne ou l'organisation qui contrôle un réseau de bots (ou botnet), c'est-à-dire un ensemble de PC infectés (ou PC zombies) dont les ressources combinées servent à diverses malveillances informatiques.

Host-based Intrusion Prevention Systems. Ces outils logiciels de sécurité fonctionnent sur la machine à protéger (poste de travail ou plus rarement serveur). Ils sont destinés à identifier les comportements jugés suspects puis à bloquer les processus qui en sont à l'origine. Les HIPS contribuent souvent à verrouiller efficacement la configuration du poste de travail. Ils favorisent ainsi une application plus granulaire de la politique de sécurité.

Contrairement à un pare-feu d'infrastructure, qui filtre surtout les connexions entrantes pour un ensemble du SI, le pare-feu personnel protège chaque poste de travail individuellement et filtre également les connexions sortantes.

Public Key Infrastructure ou infrastructure à clé publique (ICP) ou encore infrastructure de gestion de clés (IGP). Ensemble des mécanismes et solutions utilisant la cryptographie à clé publique pour des procédures d'authentification, de chiffrement, et de signature.

Unified Threat Management (gestion unifiée des menaces). L'UTM désigne essentiellement la tendance à intégrer plusieurs fonctions de sécurité (souvent du filtrage) sur une même plate-forme. Et plus rarement la capacité de ces solutions à communiquer entre elle et à corréler leurs alertes.

Stéphane Bellec et Christophe Élise

Votre opinion