Sécurité et mobilité Windows 8 pour les utilisateurs nomades
210 pages
Français

Vous pourrez modifier la taille du texte de cet ouvrage

Sécurité et mobilité Windows 8 pour les utilisateurs nomades

-

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus
210 pages
Français

Vous pourrez modifier la taille du texte de cet ouvrage

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

Description


Windows 8, une plate-forme mobile sécurisée
Capitalisant sur le socle de Windows 7, Windows 8 s'enrichit de nouveaux mécanismes de protection visant à sécuriser les postes de travail et tablettes d'entreprise, toujours plus mobiles en raison d


Windows 8, une plate-forme mobile sécurisée



Capitalisant sur le socle de Windows 7, Windows 8 s'enrichit de nouveaux mécanismes de protection visant à sécuriser les postes de travail et tablettes d'entreprise, toujours plus mobiles en raison de la perméabilité des périmètres personnel et professionnel.



Que vous soyez administrateur de postes de travail, ingénieur systèmes et réseaux ou responsable sécurité, cet ouvrage détaille les scénarios de mobilité des PC en entreprise et vous aide à prévenir les risques liés aux nouveaux postes de travail nomades et à évaluer les réponses techniques disponibles dans Windows 8.



Au programme, de nombreuses technologies comme UEFI SecureBoot, BitLocker, AppLocker, Windows To Go, les cartes à puce virtuelles, SmartScreeen, DirectAccess, les bureaux à distance...



À qui s'adresse cet ouvrage ?




  • Aux directeurs des systèmes d'informations (DSI) et aux responsables de la sécurité des systèmes d'information (RSSI) souhaitant limiter les risques pesant sur leurs postes de travail nomades ;


  • Aux ingénieurs systèmes et réseaux, consultants et architectes.




  • Contraintes du poste de travail mobile


  • Démarrage sécurisé


  • Mécanismes d'ouverture de session


  • Protection contre le code malveillant


  • Contrôle des applications


  • Protection des données


  • Donner l'accès au SI aux populations nomades


  • Publication d'applications et de bureaux distants


  • Réseaux privés virtuels (VPN)


  • DirectAccess pour les postes gérés


  • Windows To Go, environnement mobile

Sujets

Informations

Publié par
Date de parution 13 juin 2013
Nombre de lectures 48
EAN13 9782212233735
Langue Français
Poids de l'ouvrage 3 Mo

Informations légales : prix de location à la page 0,0187€. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Exrait

R sum
Windows 8, une plate-forme mobile sécurisée
Capitalisant sur le socle de Windows 7, Windows 8 s’enrichit de nouveaux mécanismes de protection visant à sécuriser les postes de travail et tablettes d’entreprise, toujours plus mobiles en raison de la perméabilité des périmètres personnel et professionnel.
Que vous soyez administrateur de postes de travail, ingénieur systèmes et réseaux ou responsable sécurité, cet ouvrage détaille les scénarios de mobilité des PC en entreprise et vous aide à prévenir les risques liés aux nouveaux postes de travail nomades et à évaluer les réponses techniques disponibles dans Windows 8.
Au programme, de nombreuses technologies comme UEFI SecureBoot, BitLocker, AppLocker, Windows To Go, les cartes à puce virtuelles, SmartScreeen, DirectAccess, les bureaux à distance…

Au sommaire
Contraintes du poste de travail mobile • Postes d’entreprise versus postes personnels • Portables, tablettes et hybrides. Périphériques connectés. Stockage interne et externe (Cloud). Fin du cloisonnement (dépérimétrisation) • Risques pour les postes nomades • Perte et vol d’informations. Vol d’identité. Hameçonnage ciblé (spear phishing). Infection persistante avancée (APT). Intelligence économique • Principaux vecteurs de menace • Démarrage sécurisé • Firmware • TPM (module de plate-forme sécurisée) • Unités fonctionnelles du TPM : registres de configuration de la plate-forme (PCR), clé d’endossement (EK), mot de passe de propriétaire, clé principale de stockage (SRK), clés d’attestation d’identité (AIK). Measured Boot • Secure Boot • Validation des images UEFI. Implémentation. Administration • Early-Launch of Anti-Malware (ELAM) • Intégrité du code • Mécanismes d’ouverture de session • Authentification des utilisateurs • Types de comptes reconnus par Windows 8. Types de mots de passe acceptés. Authentification forte. Cartes à puce • Contrôle d’accès • Jeton d’accès. Descripteur de sécurité • Contrôle de compte utilisateur • Isolation des applications Windows 8 • AppContainers • Protection contre le code malveillant • Windows Defender, anti-malware. MAPS. Windows SmartScreen. System Center 2012 Endpoint Protection. WSUS. Agent Endpoint Protection et technologie HIPS • Contrôle des applications • Applications de bureau et Windows Apps • Mises à jour automatiques • Windows Update. Téléchargement des fichiers avec BITS. Période de maintenance. Historique. Gestion des redémarrages • Contrôle des applications autorisées et bloquées • AppLocker • Protection des données • BitLocker • Protection quand Windows 8 est éteint. Activation avant l’installation. Modification du mot de passe. Disques auto-chiffrants. Déverrouillage par le réseau. Récupération en ligne avec SkyDrive • Intégration dans Active Directory. Supports amovibles. Automatiser BitLocker avec PowerShell • Contrôle d’accès dynamique • Donner l’accès au SI aux populations nomades • Identité et authentification forte • Contrôle de conformité • Solutions d’accès distant côté serveur • Réseaux privés virtuels. Bureaux à distance. DirectAccess. Forefront Unified Access Gateway (UAG) 2010 • Publication d’applications et de bureaux distants • Infrastructure de bureaux virtuels • Topologie de déploiement d’une passerelle • Configuration • Installation du rôle RD Gateway sur Windows Server 2012. Stratégies d’autorisation. Stratégies CAP et RAP • RD Web. Déploiement sur le poste client. Flux RSS • Réseaux privés virtuels (VPN) • Configuration avec Windows Server 2012 • Surveillance • Configuration manuelle • Création d’un kit de connexion • DirectAccess pour les postes gérés • Architecture • IPv6. Flux réseaux externes et internes. ISATAP. NAT64/DNS64. Mécanismes de transitions IPv6 vers IPv4. IPsec. Serveur d’emplacement réseau. Serveurs d’infrastructure • Topologie déploiement • Comparaison par implémentation • Administration d’un poste connecté en DirectAccess • Windows To Go, environnement mobile • Scénarios d’utilisation. Bring Your Own Device (BYOD) et télétravail. Partage de PC • Configurations matérielles compatibles. Données utilisateur. Administration distante • Créer un support Windows To Go • Le Windows Store.
À qui s’adresse cet ouvrage ?
– Aux directeurs des systèmes d’informations (DSI) et aux responsables de la sécurité des systèmes d’information (RSSI) souhaitant limiter les risques pesant sur leurs postes de travail nomades ;
– Aux ingénieurs systèmes et réseaux, consultants et architectes.
Biographie auteur
A. Jumelet
Ingénieur en informatique diplômé de l’ESIEA et spécialisé dans les domaines de la sécurité de l’information et les architectures Cloud, Arnaud Jumelet travaille à la direction Technique chez Microsoft France où il est entré en 2007 en tant que consultant en sécurité. Il est certifié CISSP, ITIL Foundations et CCSK.
S. Quastana
Stanislas Quastana a été consultant Infrastructure et Sécurité chez Microsoft quatre ans en 2000, avant de devenir architecte Infrastructure dans la division DPE. Spécialisé dans les infrastructures Windows, la sécurité des systèmes d’information, la virtualisation et le Cloud, il est certifié CISSP, ISO 27001 Lead Auditor, ITIL Foundations , CCSK et MCSE.
P. Saulière
Après dix années passées comme architecte sécurité à la direction Technique chez Microsoft France, Pascal Saulière a rejoint en 2012 la division DPE en tant qu’architecte Infrastructure et Sécurité. Ses domaines d’expertise sont Windows Server et client, la sécurité des systèmes d’information et d’Internet, la virtualisation et le Cloud. Il est certifié CISSP depuis 2004 et CCSK.
www.editions-eyrolles.com
Sécurité et mobilité
Windows 8
pour les utilisateurs nomades
UEFI • BitLocker et AppLocker • DirectAccess • VPN • SmartScreen • Windows Defender…
Arnaud Jumelet Stanislas Quastana Pascal Saulière
Préface de Bernard Ourghanlian
ÉDITIONS EYROLLES
61, bd Saint-Germain
75240 Paris Cedex 05
www.editions-eyrolles.com
Remerciements à Anne Bougnoux pour sa relecture.
En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent ouvrage, sur quelque support que ce soit, sans l’autorisation de l’Éditeur ou du Centre Français d’exploitation du droit de copie, 20, rue des Grands Augustins, 75006 Paris.
© Groupe Eyrolles, 2013, ISBN : 978-2-212-13642-5
Chez le même éditeur
Préface
« La sécurité est un voyage… »

SEHOP, DEP, UAC, ASLR, LUA, SRP, Applocker, Bitlocker, AppContainer, SDL… voici une liste non exhaustive des cailloux qui sont venus progressivement paver le long chemin de Windows vers une meilleure sécurité depuis plus de 10 ans.

Voici, sans attendre ce qui sera détaillé dans cet ouvrage, la signification de ces différents sigles et acronymes. SEHOP : Structured Exception Handling Overwrite Protection. DEP : Data Execution Prevention. UAC : User Account Control. ASLR : Address Space Layout Randomization. LUA : Least-privilege User Account. SRP : Software Restriction Policies. AppLocker : pour appliquer des listes blanches ou des listes noires d’applications dans un environnement d’entreprise, peut être utilisé pour permettre ou empêcher l’exécution d’un logiciel en fonction du nom, du numéro de version ou de l’éditeur. BitLocker : chiffrement des volumes disque. AppContainer : fonctionnalité de Windows 8 faisant fonctionner les applications du Windows Store dans un « bac à sable ». SDL : Security Development Lifecycle.
Qu’il me soit permis de revenir brièvement sur quelques-unes de ces étapes. Nous sommes le 15 janvier 2002 et Bill Gates envoie son désormais célèbre e-mail à l’ensemble des collaborateurs de Microsoft, lançant l’initiative pour l’informatique de confiance. Y sont détaillées les qualités premières d’une plate-forme digne de confiance (disponibilité, sécurité et respect de la vie privée) et soulignée l’importance de fournir des solutions informatiques aussi « fiables et sécurisées que le sont les services de téléphonie et de distribution d’eau et d’électricité ». Cet e-mail va affecter durablement et profondément la culture de développement des logiciels chez Microsoft en faisant accomplir à l’entreprise la révolution copernicienne par laquelle ses logiciels sont désormais conçus, en plaçant la sécurité au centre.
Ce changement de culture commença à prendre racine au début du mois de mars 2002, quand Microsoft prit la décision – pour la première fois de son histoire – de stopper net le développement, alors en cours, de Windows Server 2003 afin de former l’ensemble des développeurs de Windows à l’écriture de code sécurisé. En effet, bien peu de développeurs avaient eu l’opportunité de bénéficier d’une telle formation, souvent absente des curriculums. Depuis, ce type de formation est désormais obligatoire pour tous les nouveaux développeurs embauchés par Microsoft ; et tous les développeurs, testeurs et program managers doivent désormais subir une « piqûre de rappel » annuelle en participant à une formation d’environ une semaine afin de se maintenir à jour. Puis, pendant toute l’année 2003, a été développée la méthodologie dont l’usage allait devenir obligatoire pour tous les produits logiciels développés par Microsoft : SDL (Security Development Lifecycle). La première version de SDL à être ainsi rendue d’usage obligatoire, la version 2.0, a été déployée en mars 2004. Depuis cette mise en place initiale, de nombreuses évolutions de SDL – ainsi que de nombreuses versions de Windows – ont vu le jour afin de tenir compte tout à la fois des évolutions technologiques et des nouvelles menaces. Ainsi, au moment où cet ouvrage est mis sous presse, la dernière version applicable à l’ensemble des développements effectués par Microsoft est la version 5.2, qui est en vigueur depuis le 3 octobre 2011. C’est donc cette version de la méthodologie SDL qui s’est appliquée à Windows 8.
Au-delà de la poursuite inlassable de l’amélioration d’une méthodologie qui a désormais fait ses preuves, Windows 8, en matière de sécurité, prend le parti de l’innovation en commençant par se débarrasser de certains de ses oripeaux : c’est notamment le cas avec le BIOS. Le BIOS vient de célébrer récemment son 30 e anniversaire et force est de constater que ce dernier n’avait guère évolué au cours des années : les BIOS d’aujourd’hui s’exécutent toujours en mode 16 bits, ne disposent que d’un maximum de 1 Mo d’espace adressable et ne fonctionnent que sur les architectures x86. C’est un peu comme si le monde s’était arrêté il y a 30 ans… Avec l’arrivée de nouveaux types de terminaux (tablettes, hybrides…), de nouvelles architectures (notamment l’architecture ARM), et de nouveaux scénarios d’usage, il était devenu urgent que le BIOS se mette au goût du jour sous la forme d’UEFI (Unified Extensible Firmware Interface).
UEFI est une interface firmware construite au-dessus – ou pouvant le remplacer purement et simplement – du BIOS traditionnel. Quand elle est construite au-dessus du BIOS, UEFI en remplace la plupart des fonctions traditionnelles, laissant simplement au BIOS des fonctions telles que la configuration du système et le Setup . UEFI est indépendante de l’architecture qui fournit à la fois l’initialisation et le fonctionnement du terminal. C’est ainsi que l’environnement précédant l’amorçage du système peut autoriser une expérience utilisateur riche avec notamment la prise en charge d’une souris, du graphique, etc.
Sur le plan de la sécurité, UEFI joue un rôle clé dans la mesure où elle offre la possibilité d’un boot sécurisé, la prise en charge des disques chiffrés en hardware (Encrypted Hard Drives) et un certain nombre d’autres éléments complémentaires qui vous seront présentés dans cet ouvrage et qui font certainement de Windows 8 la version de ce système d’exploitation la plus sécurisée jusqu’à aujourd’hui.
Un autre élément de la sécurité de Windows 8 est TPM.Next. Windows Vista a introduit la gestion de TPM (Trusted Platform Module) pour le chiffrement de volumes disques grâce à la fonctionnalité BitLocker. Pourtant, ce TPM et sa prise en charge n’ont pas été sans présenter un certain nombre de défis jusqu’à présent ; ainsi, tous les PC n’en disposaient pas pour des raisons de coûts ou de restrictions territoriales (ainsi, des pays comme la Chine, la Russie, le Bélarus, le Kazakhstan n’autorisent pas l’accès aux données ou aux clés stockées dans un TPM), sans parler des difficultés de provisionnement du TPM par les utilisateurs finaux. Pour relever ces défis, le TCG (Trustworthy Computing Group), qui est responsable des spécifications du TPM, a apporté des améliorations très significatives à ce module dans la version dite TPM. Next. Parmi ces améliorations, on pourra noter la possibilité d’étendre les algorithmes de chiffrement afin d’accommoder les besoins de territoires spécifiques, ou encore la possibilité d’implémenter un TPM en firmware afin de ne pas exiger la mise en œuvre d’une puce TPM discrète (ainsi TPM.Next peut être implémenté au sein des environnements TrustZone ® d’ARM ou Platform Trust Technolog y ® d’Intel). La prise en charge de TPM.Next est d’ailleurs une exigence pour tous les terminaux AOAC (Always On/Always Connected) afin d’obtenir le Logo Windows.
Windows 8 mise donc de manière délibérée sur les améliorations du matériel afin de faire progresser la sécurité, en ancrant la confiance dans ce matériel.
Cependant, Windows 8 se veut aussi un acteur engagé de la mobilité, y compris dans des scénarios innovants comme ceux promus par le phénomène de la consumérisation de l’informatique. Rappelons brièvement ici de quoi il s’agit. Ce phénomène se manifeste sous trois formes principales.
• Les usages innovants sont importés au sein de l’entreprise depuis la maison : contrairement à ce qui se passait il y a une dizaine d’années, quand les innovations apparaissaient d’abord au sein des entreprises, c’est l’inverse qui se produit désormais. Il suffit de considérer l’adoption des réseaux sociaux, de la messagerie instantanée, de la téléphonie mobile, des solutions collaboratives ou de création de contenu telles que blogs ou Wikis : toutes ces solutions ont été d’abord adoptées dans l’univers personnel avant de rentrer progressivement – quelquefois à contrecœur – au sein des systèmes d’information.
• Les univers privés et professionnels s’interpénètrent de plus en plus, à tel point que l’on peut parler de « floutage » entre les deux. Doter ses collaborateurs de solutions mobiles (PC portables ou smartphones) a pour conséquence qu’ils peuvent travailler depuis n’importe où et à n’importe quel moment en restant connectés au système d’information ; cela permet notamment la mise en œuvre du « temps choisi », du « travail à distance » ou du télétravail… La contrepartie, c’est que les collaborateurs ne comprendraient pas qu’ils ne puissent pas accéder au système d’information depuis n’importe où et n’importe quand.
• Dans un certain nombre d’organisations, les métiers qui, demandant à l’informatique la fourniture d’un certain service, trouvent trop long le temps de fourniture de ce dernier, se comportent comme de véritables consommateurs en allant acheter directement ce service (par exemple dans le cloud) dont ils ont besoin, sans nécessairement en référer à l’informatique, ce qui n’est pas sans poser des problèmes de sécurité, de gouvernance, de mode de responsabilité…
Comme se plaisent à le rappeler certains sociologues – notamment Patrick Flichy – les usages et les technologies sont codéterminés. Autrement dit, les technologies influencent les usages, mais la réciproque est vraie. C’est la raison pour laquelle il faut considérer que la consumérisation de l’informatique est un phénomène de nature essentiellement sociologique et qu’il serait donc vain de chercher à en contrarier l’épanouissement. C’est pour cela qu’il faut s’y préparer dès maintenant.
Une de ses manifestations est sans nul doute l’apparition dans certaines organisations du phénomène du BYOD (Bring Your Own Device), par lequel les collaborateurs sont autorisés (souvent contre une certaine compensation financière) à utiliser leur propre équipement informatique (PC, tablette, smartphone) pour travailler. Cette mise en place n’est pas non plus sans poser un certain nombre de problèmes de toutes natures : RH, juridique, fiscal, sécurité, technique, gouvernance…
Afin d’aider les utilisateurs et les entreprises à faire face aux défis posés par de tels usages, Windows 8 (et son compagnon d’aventure, Windows Server 2012) apportent, à mon sens, deux innovations tout à fait fondamentales. La première concerne la prise en charge native de ce que l’on appelle des « revendications », c’est-à-dire des affirmations telles que « je suis membre de la division RH », « j’ai plus de 18 ans », « j’ai un CDI »… Un contrôleur de domaine Windows Server 2012 va donc être capable d’émettre des groupes, mais aussi des revendications ! Et ces dernières concerneront non seulement l’utilisateur, mais aussi le terminal qu’il utilise, afin de créer une identité composite qui fait correspondre un utilisateur au terminal qui sera autorisé comme un principal (au sens Kerberos). De même, un jeton Windows 8 dispose de sections données utilisateur et terminal et des revendications ! Ceci va permettre de donner vie à la deuxième des innovations fondamentales de Windows 8/Windows Server 2012 : la notion de contrôle d’accès dynamique. Cette notion fonde l’accès aux ressources de type fichiers sur la base d’étiquettes, qui peuvent être ajoutées dynamiquement aux ressources en fonction de la localisation, de l’application, ou être ajoutées manuellement par le possesseur du contenu concerné. Ainsi, un système de contrôle intelligent sera mis en place, qui tirera dynamiquement parti des propriétés des utilisateurs et des états du terminal utilisé pour prendre des décisions d’autorisation.
Et l’on arrive au cœur de ce qui permet la mise en œuvre efficace et sécurisée d’une politique de BYOD. L’utilisateur obtiendra ou non l’accès à la ressource qu’il demande en fonction d’un contexte déterminé dynamiquement à l’aide des éléments suivants :
• la qualité de l’identité (identité Facebook ou identité interne, authentification à deux facteurs ou simple couple nom/mot de passe) ;
• la nature du terminal (approuvé, authentifié, en kiosque, géré, autogéré ou pas géré du tout) ;
• l’emplacement du terminal (derrière le pare-feu ou connecté à un hotspot Wi-Fi, depuis quel pays ?) ;
• les données (confidentielles ou non) et les applications (approuvées ou non, signées ou non) ;
• le rôle (collaborateur ou sous-traitant, membre de la direction…).
Une telle approche qui se définit par un niveau d’accès et une expérience utilisateur variable en fonction du contexte est, à mon sens, l’une des clés essentielles pour mettre en place le BYOD sans faire courir à l’entreprise des risques majeurs en termes de sécurité.
« Ceux qui comprennent ne comprennent pas qu’on ne comprenne pas » nous disait Paul Valéry. C’est parce que ceux qui ont choisi d’écrire cet ouvrage ne croyaient pas que cette citation leur était destinée qu’ils ont chaussé leurs bottes de pédagogues et mis tout leur talent pour porter au plus grand nombre des concepts quelquefois bien peu évidents.
« La sécurité est un voyage, pas une destination » dit-on souvent. Windows 8 sera donc pour vous, ami lecteur, une étape sur ce voyage. Voyageur, prenez donc le temps de visiter Windows 8 et sa sécurité au sein de cet ouvrage : vous ne serez pas déçu !
Bernard Ourghanlian
Directeur Technique et Sécurité
Microsoft France
Table des matières
Avant-propos
À qui ce livre s’adresse-t-il ?
Comment ce livre est-il structuré ?
Systèmes nécessaires
Remerciements
Arnaud Jumelet
Pascal Sauliere
Stanislas Quastana
CHAPITRE 1 Les contraintes du poste de travail mobile
Postes d’entreprise vs postes personnels
Portables, tablettes et hybrides
État des lieux : la fin du cloisonnement (dépérimétrisation)
Risques pesant sur les postes en situation de nomadisme
La perte ou le vol d’informations
Vol d’identité par hameçonnage
Hameçonnage ciblé (spear phishing)
Infection persistante avancée (APT) et intelligence économique
Rappel sur les principaux vecteurs de menace
Poste de travail non à jour
Navigation Internet
Réseau
Périphérique amovible
Courrier électronique
CHAPITRE 2 Démarrage sécurisé
Qu’est-ce qu’un firmware ?
Les types de firmwares
Démarrage d’un ordinateur sous Windows 8
Démarrage d’une plate-forme compatible BIOS
Démarrage d’une plate-forme compatible UEFI
Configuration du gestionnaire de démarrage Windows
Qu’est-ce qu’un TPM ?
Unités fonctionnelles du TPM
Gérer le TPM
Préparer le module de plate-forme sécurisée (TPM)
Measured Boot
Secure Boot
Modes de fonctionnement
Base des signatures
Validation des images UEFI : liste blanche et liste noire
Implémentation du Secure Boot pour Windows 8
Administration du Secure Boot
Early-Launch of Anti-Malware (ELAM)
Windows Defender est compatible avec ELAM
Positionnement d’ELAM dans la séquence de démarrage
Code Integrity
CHAPITRE 3 Mécanismes d’ouverture de session
Authentification des utilisateurs
Ouverture de session
Les types de comptes reconnus par Windows 8
Les types de mots de passe acceptés par Windows 8
Authentification forte : combiner plusieurs méthodes
Contrôle d’accès
Identification, authentification, autorisations
Le jeton d’accès
Le descripteur de sécurité
Contrôle de compte utilisateur
Isolation des applications Windows 8
Modèle Windows Vista et Windows 7
Les AppContainers
CHAPITRE 4 Protection contre le code malveillant
Protection contre les programmes malveillants
Windows Defender, l’anti-malware de Windows 8
Windows SmartScreen ou comment prendre la bonne décision
Protection à l’échelle de l’entreprise avec System Center 2012 Endpoint Protection
CHAPITRE 5 Contrôle des applications
Les applications Windows 8
Les applications de Bureau
Les Windows Apps
Mises à jour automatiques sous Windows 8
Que sont les mises à jour automatiques ?
Windows Update
Téléchargement des fichiers avec BITS
Services de mises à jour en ligne pour Windows
Accéder à Windows Update
Configurer les paramètres de Windows Update
Configurer la période de maintenance
Afficher l’historique des mises à jour installées
Gestion des redémarrages sous Windows 8
Mises à jour des Apps
Infrastructure WSUS pour l’organisation
Contrôle des applications autorisées et bloquées
AppLocker
Principe de fonctionnement AppLocker
Choix d’une approche
Les règles AppLocker
Les règles AppLocker pour les Windows Apps
Construction des règles AppLocker
Commandes AppLocker
Les avertissements AppLocker
Le journal d’événements AppLocker
CHAPITRE 6 Protection des données
BitLocker et la protection des données
Protéger son ordinateur lorsque Windows 8 est éteint
Les nouvelles fonctionnalités BitLocker
Fonctionnement de BitLocker
Liste des protecteurs BitLocker
Intégration dans Active Directory
Préparer le disque pour BitLocker
Utiliser BitLocker
Contrôle d’accès dynamique
Une évolution naturelle
Fonctionnement
Avantages et mise en œuvre pratique de DAC
CHAPITRE 7 Donner l’accès au SI aux populations nomades
Quelles technologies d’accès ?
Points communs à toutes les solutions d’accès à distance – Bonnes pratiques
Identité et authentification forte
Contrôle de conformité pour l’accès aux réseaux
Quelles solutions d’accès distant côté serveur chez Microsoft ?
Réseaux privés virtuels dans Windows Server
Windows Server – Services de Bureaux à Distance
DirectAccess
Forefront Unified Access Gateway (UAG) 2010
Les solutions d’accès distants chez Microsoft en résumé
CHAPITRE 8 Publication d’applications et de Bureaux distants
Infrastructure de Bureaux virtuels
Topologie de déploiement d’une passerelle Bureau à distance
Gestion des accès au travers d’une passerelle Bureau à distance
Configuration d’une passerelle Bureau à distance
Installation du rôle RD Gateway sur Windows Server 2012
Configuration des propriétés de la passerelle Bureau à distance
Configuration des stratégies d’autorisation de la passerelle Bureau à distance
Offrir l’accès aux utilisateurs nomades
RD Web
Déploiement sur le poste client
Flux RSS
CHAPITRE 9 Réseaux privés virtuels
Fonctionnement
Configuration d’un serveur de réseaux privés virtuels (VPN) avec Windows Server 2012
Surveillance des services VPN
Configuration manuelle d’une connexion VPN
Création et utilisation d’un kit de connexion
CHAPITRE 10 DirectAccess pour les postes gérés
Architecture
Composants d’une architecture DirectAccess
IPv6
IPsec
Serveur d’emplacement réseau
Les serveurs d’infrastructure
Topologie de déploiement de DirectAccess
Topologies à base de Windows Server 2008 R2 versus Windows Server 2012
Matrice de compatibilité des topologies de déploiement réseau de DirectAccess
Configuration de DirectAccess (Windows Server 2012 et Windows 8)
Installation de DirectAccess en mode Simplifié
Exploration de la configuration simplifiée DirectAccess
Surveillance de l’état du serveur DirectAccess
Vérification de la configuration sur les postes clients
Matrice comparative des fonctionnalités par implémentation DirectAccess
Administration d’un poste connecté en DirectAccess
CHAPITRE 11 Windows To Go – Un environnement de travail vraiment mobile
Fonctionnement
Différences entre Windows To Go et une installation classique
Scénarios d’utilisation de Windows To Go
Prestataires
Bring Your Own Device
Voyager léger/télétravailler
PC partagés/libre-service
Quelques considérations à prendre en compte
Quelles sont les configurations matérielles compatibles ?
Quid des données de l’utilisateur ?
Comment ces espaces de travail vont-ils être administrés ?
Création d’un support Windows To Go
Windows To Go et Windows Store
Glossaire
Index
Avant-propos

Il y a à peine quelques années, le « poste de travail » portait bien son nom : PC fixe, fidèle au poste, immobile sur le bureau de l’utilisateur. La sécurité était relativement simple à appréhender : il y avait le réseau interne, la périphérie et le reste du monde. Le poste de travail, comme les serveurs, était du bon côté de la barrière.
C’est un lieu commun de dire que l’utilisateur d’aujourd’hui est mobile, travaille chez lui, dans le train ou les aéroports, et pas uniquement sur un PC : la tablette et le smartphone sont plus que des périphériques compagnons d’un PC portable. L’utilisateur a aussi son propre matériel et entend l’utiliser, ou, dans certains cas, fait un usage personnel d’un matériel fourni par la DSI.
Il faut donc tenir compte des appareils variés, maîtrisés ou non, personnels ou non, mobiles dans tous les cas, et toujours en faisant en sorte que le bon niveau de sécurité soit appliqué en fonction des risques. Le contexte étant posé, nous allons exposer dans cet ouvrage les réponses de Windows 8 et quels éléments il apporte dans le nécessaire équilibre à trouver entre les nouveaux usages et la maîtrise des données de l’entreprise.
À qui ce livre s’adresse-t-il ?

Ce livre s’adresse à tous les passionnés des nouvelles technologies Microsoft. Le sujet de la sécurité du poste de travail et du télétravail en situation de mobilité est un sujet récurrent et plus que jamais d’actualité en entreprise.
Ce livre intéressera les directeurs des systèmes d’information, les responsables de la sécurité des systèmes d’information, les ingénieurs systèmes et réseaux, les architectes, les consultants, mais aussi certains chefs de projets.
Travailler en situation de mobilité sur un poste de travail de confiance où les données sont sécurisées est désormais un besoin vital et commun à toutes les entreprises, quelle que soit leur taille (de la TPE à la multinationale).
Le niveau de connaissances requis pour la lecture de cet ouvrage est relativement élémentaire pour une personne impliquée de près ou de loin dans les technologies Microsoft.

Les explications fournies à travers les chapitres démarrent à partir de connaissances généralistes sur les systèmes et architectures basées sur Windows (Active directory, DNS, DHCP…).
Cet ouvrage est donc abordable par toute personne connaissant les fondamentaux de l’informatique et des produits Microsoft. Les sujets traités dans cet ouvrage sont également couverts par plusieurs certifications Microsoft.
Voici la liste de ces certifications :
71-410 - Installing and Configuring Windows Server 2012
70-412 - Configuring Advanced Windows Server 2012 Services
70-413 - Designing and Implementing a Server Infrastructure
70-414 - Implementing an Advanced Server Infrastructure
70-415 - Implementing a Desktop Infrastructure
70-416 - Implementing Desktop Application Environments
70-417 - Upgrading Your Skills to MCSA Windows Server 2012
70-687 - Configuring Windows 8
70-688 - Managing and Maintaining Windows 8
Comment ce livre est-il structuré ?

Ce livre est découpé en deux grandes parties. La première concerne les mécanismes de sécurité disponibles dans Windows 8 (combiné parfois avec son pendant côté serveur). La seconde expose les différentes approches technologiques permettant à un utilisateur d’entreprise de travailler en situation de nomadisme .
Le chapitre 1 propose de faire un état des lieux du poste de travail nomade moderne avec ses défis en termes de besoins utilisateur par rapport à la sécurité, à l’administration et au coût.
Les chapitres 2 à 6 sont focalisés sur les aspects sécurité et mécanismes de protection d’un poste de travail fonctionnant avec Windows 8.
• Le chapitre 2 est consacré au rôle du matériel avant, pendant et après le démarrage de Windows 8. Il décrit l’intérêt d’avoir un firmware UEFI et un module de plate-forme sécurisée TPM lors du démarrage de Windows 8. Ce chapitre est sûrement le plus technique de l’ouvrage, puisqu’il expose les arcanes les plus méconnus du système d’exploitation.
• Le chapitre 3 décrit quelques-uns des mécanismes liés à des fonctions de base de la sécurité du système, comme l’authentification des utilisateurs, l’ouverture de session, le contrôle d’accès, le contrôle de compte d’utilisateur et l’isolation des applications Windows 8. Ce chapitre est plutôt technique, mais explique certains aspects du fonctionnement du système.

• Le chapitre 4 présente les services intégrés dans Windows 8 pour la protection et la lutte contre les malwares. Au-delà de Windows Defender, un anti-malware non intrusif, la vraie valeur ajoutée réside certainement dans Windows SmartScreen, qui aide les utilisateurs à prendre la bonne décision face à un programme inconnu et n’ayant aucune réputation.
• Le chapitre 5 est dédié aux applications traditionnelles et modernes. Le maintien en conditions opérationnelles est détaillé avec Windows Update. Il est essentiel de télécharger, appliquer ou mettre à disposition les toutes dernières mises à jour. Enfin, il est expliqué comment contrôler les applications avec AppLocker, c’est-à-dire comment les autoriser ou non à s’installer et à s’exécuter.
• Le chapitre 6 est consacré à la protection des données et au contrôle d’accès. Lorsqu’un ordinateur est électriquement éteint, le fait de chiffrer les données du disque au repos par BitLocker prémunit contre l’accès physique non autorisé. Le contrôle d’accès dynamique est la seconde partie de ce chapitre ; il s’agit du contrôle d’accès moderne avec une prise de décision dynamique en fonction du contexte d’accès.
Les chapitres 7 à 11 sont axés sur l’aspect mobilité et nomadisme des postes de travail d’entreprise.
• Le chapitre 7 a pour objectif d’ aider à démarrer un projet de mise en place d’accès distants au système d’information en proposant un état des lieux des solutions technologiques possibles, une aide à la décision pour le choix des technologies, un rappel des bonnes pratiques et une vue rapide des solutions existant chez Microsoft. C’est un chapitre peu technique, mais essentiel pour la lecture des chapitres suivants.
• Le chapitre 8 concerne l’ accès distant aux applications et Bureaux distants pour les postes gérés ou nongérés (personnels). Il détaille notamment les services web et de passerelles présents dans Windows Server 2008 R2 et 2012.
• Le chapitre 9 traite de la mise en œuvre d’accès distants au travers de réseaux privés virtuels (VPN) pour les postes gérés ou non gérés. Il comprend l’installation des composants serveurs sur Windows Server 2012 et la configuration de ces connexions sur un poste Windows 8.
• Le chapitre 10 présente les infrastructures DirectAccess et détaille les mécanismes utilisés dans cette nouvelle méthode de connexions distantes au système d’information avec Windows 8 couplé à Windows Server 2008 R2 ou, mieux, Windows Server 2012.
• Le chapitre 11 présente Windows To Go, qui est une installation de Windows 8 Entreprise sur un média amovible . Ce chapitre détaille les prérequis à respecter, les scénarios d’usage et la méthode pour créer un espace de travail Windows To Go.
Systèmes nécessaires

Il est possible de tester l’ensemble des technologies détaillées dans ce livre sur une plateforme d’intégration.

Pour cela, il faut idéalement se munir d’une machine assez puissante sur laquelle le rôle Hyper-V de Windows Server 2012 sera installé (au minimum 16 Go de RAM). Cela permettra de mettre en œuvre et de tester les différentes technologies et scénarios présentés au sein de cet ouvrage. Il est également possible de mixer des serveurs physiques et virtuels.
Afin de tester les différents scénarios, voici un exemple de configuration :
• un serveur hébergeant les rôles Active Directory, DNS et DHCP ;
• une machine cliente Windows 8 pour effectuer les tests ;
• 1 à 5 serveur(s) pour mettre en œuvre les infrastructures sur lesquelles va se connecter le poste de travail de test ;
• un équipement réseau de type commutateur (Switch) ;
• des câbles réseaux Ethernet pour connecter les machines ;
• un support (clé USB, DVD, disque dur USB) afin de stocker éventuellement des données nécessaires à l’accomplissement de certaines parties du livre ;
• une connexion Internet pour télécharger l’ensemble des outils et produits nécessaires.
Les systèmes d’exploitation (Windows 8 et Windows Server 2008 R2 ou Windows Server 2012) présentés dans cet ouvrage sont téléchargeables gratuitement en versions d’évaluation (limitée à 180 jours d’utilisation) sur le centre de téléchargement de Microsoft ( www.microsoft.com/fr-fr/download/ ).

L’histoire d’une aventure de 13 passionnés !
Nous ne pouvions pas vous laisser démarrer la lecture sans vous expliquer comment ce projet a démarré. Ce livre fait partie d’un ensemble de quatre ouvrages consacrés au poste de travail Windows 8. Ce projet a réellement démarré au début de l’année 2012. Les 13 auteurs de ces ouvrages sont des passionnés et experts reconnus dans leurs domaines respectifs.
Voici la liste des ouvrages :
Sécurité et mobilité du poste de travail Windows 8, Arnaud Jumelet, Stanislas Quastana et Pascal Sauliere.
Développement Windows 8, Louis-Guillaume Morand, Luc Vo Van et Alain Zanchetta.
Virtualisation du poste de travail Windows 7 et 8, William Bories, Abderrahmane Laachir, Philippe Lafeil, David Thieblemont et François-Xavier Vitrant.
Déploiement et migration Windows 8, par William Bories, Olivia Mirial et Stéphane Papp.
D’autres passionnés chez Microsoft sont venus contribuer à ces ouvrages en apportant une relecture profonde et pragmatique. Certains de ces relecteurs sont également des experts reconnus, ils ont pu nous défier sur notre propre terrain. D’autres relecteurs, n’ayant aucune expertise technique, ont eu la volonté de lire des dizaines de pages pour améliorer la qualité de ces ouvrages. Bref, c’est un projet atypique sur lequel nous avons tous pris beaucoup de plaisir à participer !
En espérant que vous partagerez ce plaisir, je vous souhaite une excellente lecture.
William Bories,
Coordinateur du projet

Remerciements

Comme expliqué précédemment, ce projet d’ouvrages est l’œuvre de nombreux intervenants et c’est pour cette raison que nous souhaitons remercier nos relecteurs avant toute autre personne !
Ils furent nombreux à participer aux relectures, experts techniques ou non. Ils ont su avec brio s’adapter à nos styles respectifs, défier la cohérence globale de cet ouvrage et bien évidemment, corriger la forme et le fond malgré nos relectures personnelles ! Nous remercions ainsi chaleureusement : Guillaume Barray, Christophe Besançon, Philippe Labeil, Sébastien Chavenas, Frédéric Esnouf, Arnaud Lheureux, Ismaël Limbada, Louis-Guillaume Morand, Félix Ndouga, Didier Pilon, Angélique Pichard, Julien Massé et Roxana Garraud.
Les éditions Eyrolles ont également joué un rôle important dans la réussite de cet ouvrage. La qualité des relectures chez cet éditeur a permis à ce livre de s’élever à un tout autre niveau. Merci Muriel, Laurène, Sophie, Géraldine et Éric pour tout ce travail et cette confiance que vous nous avez accordée.
Enfin, nous remercions également Bernard Ourghanlian qui a su, avec toute sa sympathie et sa grande expérience dans l’industrie IT, préfacer notre ouvrage avec brio. Merci Bernard, c’est un honneur de t’avoir en préfacier.
Arnaud Jumelet

J’ai été ravi de participer à ce projet d’écriture avec à bord Stanislas et Pascal, une bonne équipe de geeks, des vrais de vrais ! Merci aussi aux relecteurs et à William pour son enthousiasme contagieux. Nous n’imaginions pas le temps que cela nous prendrait ; heureusement avec de la bonne musique cela devient tout de suite plus agréable.
Je tiens à remercier Anne-Sophie, ma moitié, pour son soutien et sa compréhension tout au long de ce projet et plus particulièrement durant les week-ends !
Pascal Sauliere

Être l’épouse d’un geek n’est pas tous les jours facile, mais quand celui-ci s’essaie à l’écriture, les week-ends deviennent encore plus compliqués. Merci donc à Chantal pour sa patience sans limite. Ce projet étant collectif, que tous ceux qui ont participé soient également remerciés, et en premier lieu Arnaud, Stanislas et nos relecteurs pour leur exigence et leur grande rigueur.

Stanislas Quastana

Pour faire original, je vais remercier mes compagnons d’aventure, Arnaud et Pascal, qui ont relevé avec moi ce défi passionnant, ainsi que les relecteurs techniques qui ont passé du temps à nous aider à améliorer cet ouvrage.
Je remercie également William Bories, coordinateur du projet, qui a su m’embarquer dans ce navire (qui aurait pu devenir rapidement une galère sans son aide précieuse !), ainsi que Louis-Guillaume Morand qui m’a particulièrement poussé sur le style de ma rédaction (et il avait bien raison, fort de sa grande expérience d’auteur !).
Je tiens finalement à remercier mes amis et ma famille, qui m’ont parfois supporté en mode « grognon » durant mes phases de rédaction.
1
Les contraintes du poste de travail mobile

Si on demande aux utilisateurs professionnels les caractéristiques idéales de leur futur poste de travail, la majorité des réponses devrait être : léger, autonome, ultraconnecté, beau et suffisamment puissant.
La même question posée à des responsables de parc informatique se verra complétée par : sécurisé, administrable, avec un coût raisonnable.
Ce chapitre a pour objectif de faire un état des lieux du poste de travail nomade moderne avec ses défis en termes de besoins utilisateur versus sécurité, administration et coût.
Postes d’entreprise vs postes personnels

La consumérisation de l’informatique est une tendance selon laquelle les utilisateurs professionnels font usage de matériels, logiciels ou services personnels pour leur travail dans l’entreprise. Le résultat de cette utilisation « sauvage » de technologies est une véritable pression sur les responsables des systèmes d’information et sur les responsables de la sécurité des systèmes d’information (RSSI) !
Le terme consumérisation n’est pas nouveau (il a été popularisé en 2001, Gartner en parlait déjà en 2005), mais le fort développement des services de Cloud Computing et de la mobilité a beaucoup accéléré le développement de cette tendance.

En août 2011, le cabinet Gartner a publié son célèbre Hype Cycle for Emerging Technologies, dans lequel ses analystes estiment que la consumérisation mettra 5 à 10 ans à imposer son potentiel dans les systèmes d’information.
Il ne faut pas se voiler la face : aujourd’hui, de plus en plus d’employés utilisent pour leur travail quotidien des équipements personnels inconnus des services informatiques . Au-delà des clés USB, disques durs externes et autres smartphones, c’est aujourd’hui les PC et tablettes tactiles qui entrent dans nos systèmes d’information.
Le phénomène n’est pas nouveau (cela fait déjà quelques années que des netbooks ont fait leur apparition sur les bureaux), mais il subit désormais une forte accélération pour plusieurs raisons.
• Les PC portables sont de plus en plus puissants et attrayants, et de moins en moins chers . Un PC portable avec processeur multicœur, 4 Go de mémoire, lecteur de DVD… se trouve facilement à moins de 400 euros.
• Dans certains parcs vieillissants d’entreprises, les employés doivent encore travailler sur des PC d’un autre âge (écrans cathodiques, moins de 1 Go de RAM…) avec des systèmes inconnus des jeunes enfants ; il existe encore des professionnels utilisant en production des serveurs Windows NT 4.0 et des postes clients avec Windows 2000 professionnel. Il est donc compréhensible, à défaut d’être acceptable, que de nombreux collaborateurs prennent l’initiative d’emmener leur(s) propre(s) périphérique(s) sur leur lieu de travail. Les Anglo-Saxons ont d’ailleurs un acronyme pour décrire cette tendance : BYOD (Bring Your Own Device) ou BYOPC (Bring Your Own PC).
• L’arrivée en force de nombreuses tablettes tactiles complète l’attirail technophile domestique . Actuellement cantonnées majoritairement à un usage ludique, elles sont également en train de s’implanter officiellement en entreprise avec des systèmes adaptés aux contraintes plus exigeantes des systèmes d’information (Windows 8 en est une parfaite illustration).

M ATÉRIEL Entre portables et PC fixes
Au-delà de la tablette tactile, avec Windows 8 c’est aussi l’arrivée de PC hybrides, capables de se transformer de tablette à PC portable simplement en branchant un clavier, qui transforme le paysage des équipements mobiles d’entreprise.
Quels que soient les périphériques (PC, tablette, PC de bureau ou smartphone), les gens en font en grande majorité un usage mixte : personnel et professionnel.
Avoir des employés utilisant leurs périphériques personnels au sein du système d’information implique plusieurs problématiques :
• perte de la conformité du parc des postes connectés au système d’information ;
• infection possible du système d’information via le réseau depuis le périphérique personnel (il est bon de ne pas oublier Blaster, Sasser, Slammer…) ;

• risque de vol ou de perte du périphérique contenant des informations sensibles sans qu’aucune information ne soit remontée au service d’assistance à l’utilisateur ou à l’équipe sécurité ;
• violation possible des droits d’utilisation d’un logiciel installé et utilisé par l’utilisateur ;
• risque d’incompatibilité entre des documents créés sur les postes personnels et ceux créés sur les postes de travail (valable en cas de forte différence entre les versions employées) ;
• perte de contrôle sur l’homogénéité du parc matériel et logiciel.
Portables, tablettes et hybrides

Le poste de travail de l’employé nomade moderne prend désormais deux formats pas forcément exclusifs : le PC ultraportable ou la tablette tactile.

Figure 1–1 Quelques exemples de postes de travail modernes
Ces nouveaux périphériques de travail viennent avec plusieurs caractéristiques qu’il va falloir prendre en compte dans leur gestion par les équipes informatiques.
Des périphériques connectés
Le développement de l’Internet mobile grâce aux efforts des différents opérateurs et l’explosion des points d’accès Wi-Fi publics ou semi-publics (inclus dans les offres des fournisseurs d’accès Internet) font qu’il devient désormais possible de travailler depuis presque n’importe où. La généralisation de la 3G et bientôt de la 4G permet, de fait, l’utilisation de toutes les applications connectées.
Poussé dans ses limites, l’accès à Internet devient même possible dans certains transports comme le train (la SNCF propose l’accès Wi-Fi à bord de certains de ses TGV) et même durant un vol en avion (avec des compagnies comme Oman Air, Emirates, Etihad, Lufthansa ou encore British Airways).

Figure 1–2 Exemples d’offres d’accès Internet utilisables dans le train ou l’avion
Et bien entendu, nous ne parlons pas des accès Internet domestiques avec des opérateurs proposant des bandes passantes toujours plus importantes (dépassant les 100 Mbps pour les plus chanceux).
Ces différentes options de connexion à Internet se retrouvent donc naturellement intégrées dans les périphériques (ultraportable, tablette, smartphone et hybride) sous la forme de modem 3G, carte Wi-Fi et solution de partage de connexion Internet (Tethering) dans les smartphones.
Stockage interne, externe, dans le système d’information, dans le Nuage
Les ultraportables récents et tablettes disposent le plus souvent d’un stockage interne allant de 32 Go à plusieurs centaines de Go pour ceux basés sur des disques SSD et à quelques To pour ceux basés sur des disques magnétiques.
Pour pallier l’espace parfois trop faible ou pour simplement faire des copies de sauvegardes, il est courant d’associer aux PC et tablettes du stockage externe complémentaire sous la forme de disque dur ou clé USB.
Les utilisateurs d’entreprise ont généralement un espace de stockage dédié au sein de leur système d’information . Celui-ci peut prendre différentes formes : profil itinérant, lecteur sur un partage de fichiers, espace SharePoint, disque dur virtuel utilisateur… Bien entendu, cet espace de stockage interne à l’entreprise nécessite la connectivité au système d’information.
Et pour terminer ce tour des emplacements de stockage, les services dans les clouds (Nuages) publics, basés le plus souvent sur un modèle de type Freemium (c’est-à-dire gratuit jusqu’à une certaine taille, puis payant pour de l’espace supplémentaire), sont consommables par tous les types de périphériques mobiles (PC, tablette, smartphone) au travers d’applications clientes ou d’un navigateur web.


Figure 1–3 De multiples périphériques stockant et synchronisant leurs données dans le cloud
Voici quelques exemples de services de stockage en cloud pour le grand public, mais souvent également utilisés dans le cadre professionnel :
• Microsoft SkyDrive ( http://www.skydrive.com ) : 5 à 25 Go de stockage gratuit ;
• DropBox ( http://www.dropbox.com ) : 2 Go de stockage gratuit ;
• Box.Net ( https://www.box.com/ ) : 5 Go de stockage gratuit ;
• Google Drive ( https://drive.google.com/start ) : 5 Go de stockage gratuit ;
• Amazon Cloud Drive ( https://www.amazon.com/clouddrive ) : 5 Go de stockage gratuit ;
• Hubic ( http://www.ovh.fr/hubiC/ ) : 25 Go de stockage gratuit.
Avec des applications locales, distantes, virtualisées
Les applications exécutées par les utilisateurs d’un poste nomade moderne sont disponibles sous différentes formes.
La plus classique est l’installation locale de l’application sur le poste. Dans ce cas, tous les binaires sont présents sur un des disques de la machine et sont déployés ou mis à jour de manière manuelle ou via une solution de télédistribution (System Center Configuration Manager par exemple).
Une application distante, quant à elle, installe et exécute ses binaires sur une machine déportée et l’utilisateur s’y connecte via un client léger type navigateur web ou client de Connexion Bureau à distance. L’avantage de ce type de déploiement, c’est la maintenance simplifiée de l’application, qui est centralisée (à l’inverse des applications télédistribuées sur les postes).
L’application virtualisée est une sorte d’hybride entre une application locale et une application distante . Le principe est d’installer et d’exécuter l’application dans une bulle applicative rendant l’application isolée et peu intrusive dans le système d’exploitation du poste de travail. L’utilisateur clique pour lancer les applications virtualisées sur son poste, comme si elles étaient installées localement. Les solutions de virtualisation d’applications (par exemple Microsoft Application Virtualization ) permettent pour la plupart d’envoyer en streaming les applications aux utilisateurs. Là encore, l’avantage de ce type de déploiement réside dans la maintenance simplifiée de l’application, qui est centralisée et téléchargée à la demande vers les postes utilisateurs. Une fois streamée , l’application est utilisable en mode déconnecté. Un autre avantage de la virtualisation d’application est de pouvoir faire cohabiter plusieurs versions d’une même application.
Avec des applications gérées et non gérées
Sur un poste de travail nomade, il est assez classique de trouver des applications installées et gérées par les équipes informatiques et d’autres installées directement par l’utilisateur. Le poste restant déconnecté du système d’information durant des périodes plus ou moins longues, il est souvent difficile aux équipes informatiques de connaître l’inventaire logiciel exact de ce type de PC.
Les applications conformes aux standards de conformité de l’entreprise sont le plus souvent couvertes par des licences achetées et maintenues à jour par les équipes en charge des postes de travail grâce à des solutions de télédistribution.
Les applications installées par l’utilisateur ne sont pas gérées par les équipes informatiques ; elles sont parfois téléchargées illégalement et occasionnellement non couvertes par une licence d’utilisation conforme. Ce point pose la question sur la responsabilité légale de l’entreprise en cas de contrôle.
Dans un monde idéal, les utilisateurs standards ne devraient pas avoir les privilèges suffisants pour installer des applications supplémentaires sur le poste de travail nomade fourni par leur entreprise.
Dans la réalité, trop nombreux sont les utilisateurs également administrateurs de leur poste. À cela, il faut ajouter les logiciels ne nécessitant pas de privilèges d’administration pour être installés. Google Chrome en est une parfaite illustration : ce navigateur installe l’ensemble de ses composants dans le profil de l’utilisateur, un espace sur lequel, par définition, il dispose de tous les droits.
État des lieux : la fin du cloisonnement (dépérimétrisation)

Il ne faut plus se voiler la face : le périmètre réseau de l’entreprise devient de plus en plus flou, voire inexistant. L’époque des réseaux cloisonnés, filtrés et parfaitement contrôlés par des administrateurs de pare-feu est désormais révolue. Aujourd’hui, de nombreux postes mobiles de l’entreprise sont connectés depuis des réseaux externes à l’entreprise et donc plus difficiles à contrôler en termes de flux réseaux. De plus, ces postes nomades nécessitent de plus en plus d’ouverture du système d’information vers l’extérieur (Internet).
Cette dépérimétrisation prend ses racines dans deux grandes évolutions technologiques : la banalisation de l’accès à Internet et le développement des solutions de type Cloud Computing .

L’informatique dans le cloud prend différentes formes, dont celle de logiciels prêts à l’emploi et disponibles sous la forme de services. On parle ici de solutions cloud public de type SaaS (Software as a Service) utilisables soit par des entreprises, soit par des particuliers.
Les outils de travail collaboratif, tels que la messagerie, le calendrier ou la gestion de présence, sont de parfaites illustrations de ce type de solution. Chez Microsoft par exemple, l’offre Office 365 est le pendant SaaS des produits Exchange, SharePoint et Lync installés dans les entreprises.

Figure 1–4 Vue simplifiée de la dépérimétrisation
Avec les services de cloud public, certains utilisateurs nomades réduisent de manière drastique la nécessité de se connecter directement au système d’information de l’entreprise.
Risques pesant sur les postes en situation de nomadisme
La perte ou le vol d’informations

Les ordinateurs portables, tablettes, clés USB et autres disques externes utilisés avec un poste nomade d’entreprise sont facilement perdus ou volés.
Du fait de l’évolution technologique et de la baisse de prix du stockage (une clé de 32 Go valant environ 20 € et un disque dur externe de 500 Go environ 50 €), les utilisateurs se contentent alors simplement de remplacer leur support personnel volé ou perdu par un modèle plus récent, sans pour autant prévenir le service informatique de la perte potentielle de certaines informations.

Figure 1–5 Quelques chiffres sur le nombre d’ordinateurs portables « perdus » dans les aéroports européens. Étude « Airport Insecurity : The Case of Missing & Lost Laptops » par Ponemon Institute (juin 2008)
L’usage de mécanismes de chiffrement ou de contrôle d’accès (par mot de passe ou biométrie) sur ces ordinateurs ou périphériques amovibles personnels reste aujourd’hui marginal pour la majorité des utilisateurs.

Figure 1–6 Les protections mises en place sur les postes nomades pour protéger l’information.
Étude « Airport Insecurity : The Case of Missing & Lost Laptops » par Ponemon Institute (juin 2008)

Dans les actions de sensibilisation auprès des employés, il est donc fortement recommandé de passer le message suivant : « la valeur du matériel volé ou perdu n’est rien en regard de la valeur du contenu » .
Si les équipes informatiques ne mettent pas en place de solutions techniques pour limiter ces risques de perte ou de vol de périphériques, il est vivement conseillé d’encourager les utilisateurs à faire usage de clés incluant des mécanismes de sécurité (chiffrement intégré, mot de passe…).
Vol d’identité par hameçonnage

Les tentatives de vol d’informations de connexion par hameçonnage (phishing) sont de plus en plus courantes. Initialement très ciblées sur les institutions bancaires ou les services de paiement en ligne (comme PayPal), ces attaques ciblent désormais également les fournisseurs d’accès Internet, les opérateurs téléphoniques, les sites de commerce en ligne, les réseaux sociaux et les plates-formes de jeux en ligne.
Le principe de l’attaque est relativement simple : un courrier électronique est envoyé à un panel très large de cibles potentielles. Ce courrier, souvent alarmiste, demande à l’utilisateur de réinitialiser son compte ou de donner des informations sur ce dernier. Pour cela, un lien vers une page web est inclus dans le courrier et redirige vers un site web à l’apparence du service ciblé.

Figure 1–7 Exemple d’attaque par hameçonnage sur une banque française avec courrier d’alerte et lien vers un faux site web
Une fois que l’utilisateur est sur le faux site web et qu’il a validé ses informations d’authentification, il est renvoyé sur le site légitime et pense alors qu’il a dû faire une mauvaise saisie. Naturellement, les identifiants qu’il a saisis sur le faux site web ont été enregistrés pour un usage postérieur par les personnes malveillantes.

Hameçonnage ciblé (spear phishing)

L’hameçonnage ciblé (spear phishing) est une variante de l’attaque par hameçonnage (phishing) dont l’objectif demeure le vol d’informations (identifiant/mot de passe, le plus souvent), mais cette fois-ci limité à un périmètre de cibles restreintes (les employés d’une entreprise, les clients d’une société…).
Généralement, une attaque par hameçonnage ciblé offre un taux de réussite supérieur à une attaque par hameçonnage classique en raison de la qualification de la cible.
Les informations collectées lors de ce type d’attaque permettent ensuite aux assaillants de s’introduire plus en profondeur au sein du système d’information de leur cible.
Ce type d’attaque est couramment employé lors des phases initiales d’une attaque de type APT.
Infection persistante avancée (APT) et intelligence économique

L’expression « menaces persistantes avancées » (Advanced Persistent Threat) est assez récente, mais désigne surtout un ensemble d’attaques existant depuis de nombreuses années.
Ce type d’infection est dit :
• persistante car l’attaquant essaie de manière répétée d’atteindre son objectif au travers de différents vecteurs. Une fois la cible atteinte, l’infection demeure un certain temps sur le réseau, afin d’accéder aux données recherchées et de les détourner ;
• avancée , car l’attaquant va utiliser des mécanismes complexes : vulnérabilités non encore connues/corrigées, compromission de plusieurs technologies, ingénierie sociale pointue, code furtifs, rootkits et autres chevaux de Troie.

Figure 1–8 Articles de presse en ligne relatant des pertes d’informations sensibles suite à des attaques de type APT

L’objectif principal d’une attaque de type APT est la prise de contrôle d’un système d’information dans une optique de vol d’informations stratégiques. On est ici clairement dans le cadre d’espionnage industriel et d’intelligence économique, les attaquants pouvant être des organisations criminelles, des concurrents, voire des États !
Une attaque de type APT se déroule généralement en quatre étapes.
1 Accès initial au système d’information : intrusion de départ dans le réseau via un poste infecté, une clé USB infectée, un courrier électronique piégé…
2 Escalade via accumulation de privilèges au sein du système d’information.
3 Extension de l’infection via la compromission d’environnements additionnels.
4 Persistance par la création d’une présence permanente sur le système d’information infecté et siphonage des données.
Rappel sur les principaux vecteurs de menace
Poste de travail non à jour

L’absence de mise à jour est un des facteurs favorisant l’infection d’un poste et du système d’information auquel il est connecté. En effet, le poste devient beaucoup plus vulnérable dans le temps si les correctifs de sécurité disponibles pour son système d’exploitation et ses applications ne sont pas appliqués. La généralisation des programmes malveillants exploitant les failles normalement corrigées par ces mises à jour augmentent et se banalisent dans le temps. Un poste de travail qui n’est pas suivi et maintenu à jour est simplement une bombe logique à retardement dans un système d’information !
Navigation Internet

La navigation sur le Web n’est pas sans risque. En cliquant sur un simple lien, il est possible d’infecter un poste de travail sans aucune autre intervention de l’utilisateur.
La technique du Drive By Download permet à des personnes malveillantes d’exploiter des vulnérabilités du système d’exploitation ou d’autres composants applicatifs pour installer du code malveillant sur un poste.
Ces attaques fonctionnent principalement sur les postes de travail mal maintenus à jour en termes de correctifs de sécurité (sur le système d’exploitation ou les applicatifs).


Figure 1–

  • Accueil Accueil
  • Univers Univers
  • Ebooks Ebooks
  • Livres audio Livres audio
  • Presse Presse
  • BD BD
  • Documents Documents