Ces derniers temps, le concept de télétravail est passé d’une simple option à une évidence. Chacun a conscience aujourd’hui des nombreux avantages du télétravail. Mais ce qu’on sait moins, c’est que le télétravail comporte également des risques pour les données de l’entreprise, car les employés se connectent à leur espace de travail en dehors du réseau de l’entreprise, et bien souvent depuis leur ordinateur portable personnel. Le rapport Verizon sur les enquêtes sur les violations de données a révélé que 70 % des intrusions se produisent depuis le poste de travail. Les postes de travail sont donc devenus des cibles de choix pour les hackers, ce qui rend leur protection essentielle pour toute entreprise tenant un tant soit peu à ses données.

Pour nourrir votre réflexion, nous vous donnons ici 7 suggestions pour sécuriser vos postes de travail. Ces conseils peuvent vous aider à protéger vos données contre les menaces potentielles, garantissant ainsi un environnement de travail à distance sécurisé et productif.

1. Déployer une infrastructure VDI

Le déploiement d’une infrastructure de bureaux virtuels (Virtual Desktop Infrastructure, VDI) est un moyen communément admis (bien que complexe à mettre en place) pour sécuriser les données de l’entreprise, puisque celles-ci sont stockées sur un cloud privé sécurisé et non sur le poste de travail local. Même si ce dernier est compromis, cela n’altérera en rien la sécurité des données stockées sur le datacenter, accessibles depuis n’importe quel appareil. De plus, le VDI permet également une administration centralisée. Contrairement au Daas ou aux approches basées sur les clouds publics / hybrides, le VDI repose uniquement sur les ressources de l’entreprise.

2. Mettre en place une approche Zero Trust

Le modèle de sécurité Zero Trust est une approche selon laquelle l’accès au système informatique d’une entreprise est refusé par défaut, et l’authentification des utilisateurs accordée uniquement pour les applications, données, services et systèmes dont ils ont besoin pour travailler.

Au lieu de considérer l’emplacement de l’utilisateur ou de l’appareil par rapport au réseau de l’entreprise, c’est-à-dire à l’intérieur ou à l’extérieur, le modèle Zero Trust permet aux utilisateurs d’accéder aux informations en fonction de leur identité et de leur rôle, qu’ils soient au bureau, à leur domicile ou ailleurs.

Dans un cadre Zero Trust, l’autorisation et l’authentification se produisent en continu sur l’ensemble du réseau, plutôt qu’une seule fois à l’entrée du réseau. Ce modèle limite les mouvements latéraux inutiles entre les applications, les services et les systèmes, et prend en compte la possibilité de menaces internes, ou bien qu’un hacker puisse compromettre un compte légitime. Limiter les parties ayant un accès privilégié aux données sensibles réduit considérablement les possibilités d’intrusion.

Les discours des vendeurs à propos du Zero Trust peuvent être déroutants, voire carrément incorrects sur le fond. Il n’existe pas de produit ou de solution transposable à tous les cas d’usage et prêts à l’emploi, labellisés « Zero Trust ». Au contraire, l’approche Zero Trust est une stratégie globale impliquant un ensemble d’outils, de politiques, de méthodes de travail et de procédures qui érigent une barrière solide autour des données de l’entreprise pour assurer leur protection. Ces outils peuvent inclure des solutions MFA, des solutions de contrôle d’accès, des outils de surveillance, un ensemble spécifique de politiques d’entreprise, des méthodes de travail… Il s’agit plus d’une philosophie que d’un type de produit spécifique.

Gartner prévoit un taux d’adoption du modèle Zero Trust de 60 % pour l’ensemble des entreprises d’ici à 2025.

3. Opter pour un poste de travail client léger

Le système d’exploitation du poste de travail détermine largement son niveau de sécurité. Utiliser Windows peut être pratique pour l’utilisateur, mais c’est aussi pratique pour les hackers… L’utilisation d’un système d’exploitation client léger (par exemple, un système d’exploitation en lecture seule basé sur Linux) peut également vous aider à vous passer de solutions antivirus coûteuses et faciliter la gestion quotidienne des terminaux.

Dans un système d’exploitation (en anglais Operating system, OS) en lecture seule, tous les fichiers que vous créez/modifiez au cours de votre session de travail sont temporairement stockés dans une mémoire vive. En redémarrant le système, cette mémoire est complètement effacée. Par conséquent, même si un hacker parvient à accéder au poste de travail local et à y installer des logiciels malveillants, tous les fichiers suspects seront complètement effacés une fois le poste de travail éteint. Un OS en lecture seule empêche également les utilisateurs de télécharger des fichiers douteux, ou de modifier la configuration du poste de travail local. Avoir un système d’exploitation client léger pour votre terminal signifie également que vous pouvez gérer vos terminaux à distance depuis n’importe où à l’aide d’une console d’administration centralisée.

Comment fournir à vos employés un terminal contenant un système d’exploitation client léger en lecture seule dans le cadre d’une politique BYOD ?

Une option intéressante pourrait être de leur fournir une clé USB bootable contenant un système d’exploitation client léger en lecture seule, qui convertit temporairement le système d’exploitation de leur PC en OS client léger une fois la clé USB branchée. En débranchant la clé, l’utilisateur revient au système d’exploitation d’origine, comme décrit ci-dessous.

Temporarily change the OS of your PC to ZeeOS

4. Désactiver la configuration locale du poste de travail pour l’utilisateur

Les clients légers ont également l’avantage d’être verrouillés pour l’utilisateur. En effet, dans un scénario idéal, les terminaux doivent être configurés uniquement à l’aide de la console d’administration fournie avec le client léger. Trop de fabricants de clients légers autorisent la configuration locale ou, pire encore, l’authentification locale sur un client léger, ce qui va à l’encontre de l’objectif initial d’un client léger, qui est d’être entièrement vierge de toute donnée personnelle. Idéalement, la configuration souhaitée doit être définie par l’administrateur uniquement et appliquée par celui-ci aux terminaux concernés. Nous avons écrit un article dédié expliquant pourquoi vous ne devriez pas fournir de possibilité de configuration en local à vos utilisateurs finaux.

5. Mettre en place une solution de MFA et une politique de mots de passe

Définissez une politique de mot de passe pour éviter les mots de passe à faible niveau de sécurité tels que azerty, 1234, une date de naissance, etc. Apprenez aux employés à définir des mots de passe longs et complexes (mélange de lettres majuscules et minuscules, chiffres, symboles, etc.). Les mots de passe doivent également être changés régulièrement.

Vous pouvez utiliser un coffre-fort de mots de passe tel que ZeeKey qui stocke et renseigne automatiquement les champs pour identifiant et mot de passe pour chaque compte. De cette façon, l’utilisateur final n’a même pas besoin de connaître ses identifiants, ZeeKey les remplit à sa place. De plus, ces identifiants ne sont stockés sur aucun cloud ou serveur, ils sont stockés localement sur un périphérique USB entièrement crypté et révocable à tout moment, tout comme une carte bancaire.

De plus, vous pouvez mettre en place une authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire. Des solutions MFA telles que ZeeOTP offrent généralement plusieurs façons de s’authentifier (notifications push, OTP, carte à puce…).

6. Portez une attention particulière au personnel extérieur à la société

Portez une attention particulière aux politiques de sécurité appliquées aux travailleurs externes à la société (contractuels, consultants, stagiaires et apprentis etc).

Les raisons :

  • Ils peuvent ne pas être au courant des pratiques de sécurité de votre entreprise et il peut également être difficile de les former en raison de la courte durée de leur séjour dans l’entreprise.
  • Ils sont plus susceptibles d’utiliser leur ordinateur personnel, encore plus que les employés « permanents ».
  • La nature de leur travail peut leur donner accès à des données sensibles, y compris par inadvertance.

ZeeTransformer peut être un outil pertinent dans ces cas de figure pour convertir temporairement le poste de travail personnel en poste de travail formaté pour l’entreprise, permettant à ces profils d’accéder à un environnement de travail virtuel normé et standardisé. L’utilisateur n’a qu’à brancher et démarrer le PC à partir de la clé USB contenant ZeeOS lorsqu’il commence à travailler et à débrancher la clé lorsque son travail est terminé. Le poste de travail agit comme un client léger jusqu’à ce que la clé USB soit retirée.

De plus, si vous ne souhaitez pas fournir d’identifiants de connexion aux travailleurs externes, ZeeKey peut se révéler utile. Vous pouvez en effet enregistrer toutes les informations d’identification requises sur ZeeKey. Lorsque l’utilisateur souhaite se connecter à une application, il lui suffit de brancher ZeeKey, et les informations d’identification seront automatiquement renseignées sans que l’utilisateur n’aie à les connaître.

7. Mettre en place une procédure de Remote Browser Isolation

Le procédé de Remote Browser Isolation (RBI) aide à atténuer les risques de sécurité potentiels en exécutant toute la navigation Web sur un serveur distant, distinct de l’appareil local. Grâce à un procédé RBI, l’utilisateur interagit avec un rendu du site Web, et non avec le code réel. Cela peut contribuer à protéger l’appareil et le réseau de tout dommage pouvant résulter de la visite d’un site Web douteux.

En plus de tous les conseils énumérés ci-dessus, n’oubliez pas les bonnes pratiques de base :

  1. Mettez régulièrement à jour vos logiciels et installez les correctifs de sécurité dès qu’ils sont disponibles.
  2. Surveillez votre infrastructure, en particulier la partie réseau qui est la plus vulnérable aux attaques. Vous pouvez par exemple tester une solution de détection basée sur l’apprentissage automatique, telle que les outils Network Detection and Response (NDR) ou Endpoint Detection and Response (EDR).
  3. Sensibiliser les employés aux meilleures pratiques de sécurité.

Depuis sa création, ZeeTim s’est donné pour mission de fournir une solution poste de travail sécurisée, facile à utiliser et facile à administrer pour accéder aux espaces de travail virtuels. La sécurité du poste de travail a toujours été au cœur de nos préoccupations. Ainsi, une expérience de près de 25 ans avec une variété de clients nous a permis de développer ZeeTerm, une solution client léger complète, fortement orientée EUC et composée de :

Mais nous avons aussi développé des solutions complémentaires autour du poste de travail virtuel, pour des besoins bien spécifiques :

En utilisant les solutions orientées EUC (End User Computing, Informatique du Poste de travail) de ZeeTim, vous pouvez traiter efficacement plusieurs problématiques touchant à la sécurité du poste de travail, telles que le BYOD, l’administration des postes de travail à distance, les attaques de virus ou les logiciels malveillants, les accès non autorisés, etc., le tout en une seule solution. Cela permet à vos équipes informatiques d’alléger leur charge de travail et de gagner en sérénité en matière de sécurité des postes de travail.

Testez ZeeTransformer dès aujourd’hui et convertissez vos postes de travail existants en clients mégers ZeeTim sécurisés, faciles à utiliser et faciles à administrer. Nous fournissons 10 licences gratuites pour tout essai de la solution.