Avec l’adoption croissante de « l’espace de travail numérique », les employés ne sont plus liés à un lieu fixe pour travailler, qu’ils soient au bureau, à la maison ou dans une cafétéria sur une plage. Les entreprises se sont adaptées à ce changement de paradigme, et ont investi dans de nouvelles solutions et de nouveaux outils.

Dans cette transformation, le poste de travail physique de l’utilisateur joue évidemment un rôle crucial. Les entreprises investissent dans du nouveau matériel, soit sous la forme de clients légers, soit en repositionnant leur matériel existant en client léger. Cette approche leur fournit un moyen efficace, sécurisé et pratique de gérer tous les appareils à l’aide d’un outil de gestion centralisé.

Même quand l’utilisateur et l’administrateur se trouvent sur des sites différents, l’outil de gestion permet de configurer le client léger à distance.

L’utilisation d’un client léger est également synonyme de sécurité, puisque les paramètres de configuration sont entièrement contrôlés par le service informatique. L’utilisateur ne peut rien installer ni télécharger en local. En bref, les périphériques clients légers offrent de nombreux avantages en matière de sécurité.

Idéalement, les clients légers doivent être configurés à distance, à l’aide d’un outil de gestion faisant partie intégrante de la solution. La configuration souhaitée est définie par l’administrateur, puis transmise aux clients légers. Un outil de gestion performant doit être capable de gérer des milliers d’appareils simultanément. L’outil de gestion communique avec les appareils à l’aide de différents protocoles tels que HTTPS, SSH, etc, selon les solutions.

Cependant, certains constructeurs offrent également la possibilité de modifier la configuration du client léger en local. Ceci est un contresens complet par rapport à certains avantages essentiels du client léger, notamment la sécurité et l’administration centralisée du parc.

Voici les deux raisons principales pour lesquelles il ne faut PAS configurer ses clients légers en local.

Parce que configurer un client léger en local n’est pas sécurisé

Un client léger est qualifié de « dumb terminal », car il n’est utilisé que pour se connecter aux bureaux et applications virtuels. Cependant, pour se connecter à ces applications, le client léger utilise certains outils internes.

Les paramètres d’accessibilité et de sécurité de ces outils sont configurés par l’administrateur selon les besoins de l’utilisateur. Pour autant, si l’utilisateur a la possibilité de modifier ces paramètres de lui-même, cela peut poser de sérieuses questions en matière de sécurité. En effet, un client léger ne doit avoir aucune surface d’attaque. Si l’utilisateur peut accéder comme bon lui semble aux paramètres de configuration, la sécurité du client léger est fortement compromise. Même si l’utilisateur n’a pas de mauvaises intentions au départ, d’autres avec des intentions malveillantes peuvent en profiter.

Parce que configurer un client léger en local génère une charge de travail supplémentaire pour les équipes support

Passer aux clients légers simplifie considérablement la tâche des administrateurs, puisque toutes les actions de configuration sont centralisées. Permettre de configurer chaque client léger en local annule complètement les avantages de cette fonctionnalité.

Chaque client léger peut potentiellement avoir une configuration différente, augmentant ainsi la charge de travail de l’équipe de support, qui doit surveiller et manager chaque poste de travail de façon individuelle, alors qu’une action de configuration centralisée peut s’effectuer au contraire en quelques secondes.

De la même façon, résoudre un problème sur un client léger configuré localement peut requérir la présence physique de l’administrateur. Dans un scénario où les utilisateurs travaillent à distance, cela est presque impossible à réaliser.

Par ailleurs, les risques de mauvaise configuration par l’utilisateur existent, avec un impact possible sur l’ensemble de l’infrastructure, ou le fonctionnement de certaines applications stratégiques.

Impossibilité de modifier localement la configuration des clients légers

Si vous n’avez pas le choix : protéger l’outil de configuration local par un mot de passe

Nous recommandons donc fortement de ne pas avoir d’outil de configuration local sur le client léger. Cependant, il peut y avoir quelques cas spécifiques pour lesquels c’est la seule option possible.  Dans de tels scénarios, la meilleure approche du point de vue de la sécurité serait d’avoir un outil protégé par mot de passe, filtrant ainsi les interventions non autorisées sur les appareils.

Cependant, le choix du mot de passe choisi pour l’outil de configuration local doit suivre certaines règles :

  • Un mot de passe par client léger
  • Un mot de passe suffisamment long et complexe pour ne pas être craqué aussi facilement via certains outils
  • Un changement régulier de mot de passe (par exemple, tous les 1 mois)
  • Un mot de passe unique, qui n’est pas utilisé pour d’autres applications

Vous souhaitez en savoir plus sur la meilleure manière de configurer vos clients légers ? Réservez une session de consulting gratuite avec un de nos ingénieurs.