Inscrivez-vous gratuitement à la Newsletter BFM Business
Sujet considéré comme banal, parent pauvre des projets de sécurité, la protection des postes de travail n'a pourtant jamais été plus d'actualité. Fuite des données confidentielles, pertes et vols d'ordinateurs portables ont rappelé que l'architecture réseau seule ne suffit pas à sécuriser les postes.
Doit-on encore et toujours sécuriser le poste de travail en entreprise ? Si la question peut surprendre, elle est loin d'être une simple provocation. Il n'est pas absurde de penser que, par défaut, si le système d'information est sécurisé, les postes de travail le seront. Et s'il est un concept qui a prédominé à ce sujet ces dix dernières années, c'est bien celui de la sécurité périmétrique.Dès lors, pourquoi se soucier de la protection de postes de travail retranchés au sein de la forteresse créée par toute entreprise et sécurisés par une infrastructure réseau moderne ? Passerelles antivirus, pare-feu, boîtiers UTM (Unified Threat Management, ou gestion unifiée des menaces), systèmes de prévention d'intrusion (IPS pour Intrusion Prevention System) aux débits surboostés, appliances de filtrage de contenu… devraient être bien suffisants. Hélas, cette façon de raisonner n'est pas réaliste. Le poste de travail, aux mains d'un utilisateur lambda, reste un point majeur de vulnérabilité des systèmes d'information. Son pouvoir d'attraction pour de multiples nuisances n'a cessé de croître : virus, vers, spywares, malwares, phishing, chevaux de Troie… Mal contrôlé, il peut finir sa vie comme minable “ zombie ” d'un botnet.
La tentation du poste client léger ou virtualisé
Cette dernière tendance souligne – contrairement au postulat suggéré par la question d'introduction – l'importance de sécuriser avec soin ses postes de travail. Et la croissance des ordinateurs mobiles au sein des parcs d'entreprises a renforcé cette prise de conscience. Fort heureusement, le marché a su s'adapter à l'évolution des menaces et proposer des parades. Reste aux sociétés à considérer le chantier de la sécurisation des postes de travail avec autant de sérieux que d'autres projets d'infrastructures. “ On a longtemps pensé se débarrasser de la problématique en combinant antivirus et protection périmétrique. Le poste de travail n'était pas une priorité, il le redevient ”, constate Etienne Busnel, directeur de l'entité sécurité chez Euriware.Face au problème, certaines entreprises choisissent d'autres voies, celles de la simplification du poste de travail avec le recours aux clients légers ou à la virtualisation. Une approche teintée de nostalgie selon Thierry Ramard, PDG d'Ageris Group : “ On rebanalise ainsi le poste de travail en revenant à la période où l'architecture qui dominait était celle d'un terminal peu intelligent, doté de peu de puissance et de capacité, dans un monde où l'informatique était centralisée. ”
Faut-il un chiffrement des portables ?
La sécurisation de ces postes n'implique pas forcément un parcours semé d'embûches. Pour cerner le problème, trois points fondamentaux sont à envisager : qui accède aux postes de travail ? Quelle est la cible de sécurité et comment y répondre ? Comment s'assurer du suivi et de la cohérence de l'ensemble ? C'est en fonction des réponses à ces questions que se fera le choix entre les solutions du marché. Avec une règle à respecter : évaluer les briques technologiques seulement selon les risques et les objectifs fixés par l'entreprise. Ainsi, prendre conscience de la pertinence du chiffrement n'a d'intérêt que si l'on réalise que celui-ci ne s'adresse pas exclusivement aux ordinateurs portables. D'ailleurs, ces derniers n'ont pas nécessairement tous besoin de cette technologie.De même, si SSO (Single Sign-On, ou authentification unifiée) séduit les utilisateurs, il est parfois délicat à mettre en œuvre, et ne peut être considéré comme le sésame miraculeux du contrôle d'accès. L'authentification forte s'impose, mais que préférer, token ou carte à puce ? Les suites intégrées combinent des fonctionnalités à utiliser à la demande, mais le client unique reste le seul garant des performances et d'une intégration digne de ce nom. En outre, toutes les fonctions de sécurité ne sont pas nécessairement à déployer au niveau du poste de travail. Indirectement, ce dernier est aussi protégé par des choix faits en amont au niveau du réseau.
Votre opinion