En environnement VDI, la cybercriminalité passe aussi par les postes de travail : 6 étapes pour s’en prémunir

Pour sécuriser les environnements de travail multi-terminaux et multi-locations, les entreprises doivent développer une stratégie de gestion des points d’accès autour des technologies client léger.

L’histoire de la cybercriminalité se répète, mais n’en est pas moins affolante. La dernière faille de sécurité annoncée par Yahoo a montré qu’en combinant des noms d’utilisateurs trouvés sur Internet à des mots de passe aléatoires, il était possible de trouver les bonnes combinaisons… et d’accéder ainsi aux données personnelles des comptes utilisateurs. La méthode peut sembler hasardeuse, mais il ne faut pas oublier qu’il existe aujourd’hui des logiciels capables de créer des centaines de millions de combinaisons en un clin d’œil.

Malheureusement, étant donné que cette brèche n’a été révélée que deux ans après les faits, les discussions autour des précautions qui auraient dû être prises restent théoriques. Quelle leçon les entreprises qui vivent dans la peur d’une cyberattaque peuvent en retenir ? Simplement qu’elles doivent faire tout ce qui est en leur pouvoir pour se protéger contre les nombreuses menaces, et le faire maintenant !

L’un des domaines où les logiciels malveillants et autres attaques sont les mieux adaptés est l’environnement multi-terminaux dans lequel les collaborateurs de l’entreprise travaillent aujourd’hui. Les utilisateurs informatiques se déplacent souvent, dans des endroits divers et variés, et personne n’est en mesure de garantir une sécurité absolue de chaque appareil et de l’environnement dans lequel ils sont utilisés.

Ces collaborateurs aiment la mobilité, et ne veulent pas abandonner cette approche « à la carte » de leur poste de travail. En environnement VDI, les utilisateurs mobiles attendent de leurs applications et de leur bureau qu’ils soient accessibles et immédiatement disponibles, peu importe d’où ils travaillent. Pour sécuriser cet environnement de travail multi-terminaux et multi-locations, les entreprises doivent développer une stratégie de gestion des points d’accès autour des technologies client léger, qui aidera les utilisateurs à prévenir toute introduction involontaire de logiciels malveillants dans leur poste de travail.

Pour être efficace, la technologie client léger doit évoluer au rythme des nouvelles menaces, comme l’éternel fléau des logiciels malveillants. Ces six concepts doivent donc être pris en considération dans le déploiement d’un environnement de postes de travail sécurisé :

1. Une gestion sécurisée et à distance – Une communication basée sur des certificats doit régir les échanges entre les serveurs de gestion et les clients légers pour parer aux logiciels malveillants et aux attaques de l’homme du milieu. Les entreprises doivent y ajouter un niveau supplémentaire de sécurité avec une administration à distance cryptée SSL.

2. Une exécution fiable – Quand un collaborateur démarre sa machine, comment l’entreprise peut-elle s’assurer que le système d’exploitation n’a pas d’ores et déjà été corrompu ? La technologie client léger peut fournir une protection lors de la phase de démarrage afin de garantir que le système est protégé dès le début de l’opération. Une telle technologie permet de certifier que le firmware n’a subi aucune altération, et aide ainsi à prévenir les incidents aléatoires tels que l’introduction de logiciels malveillants dans le réseau.

3. La transmission privée des données – Les clients légers n’échangent pas de données applicatives avec le serveur, mais contrôlent des codes de l’écran, du clavier, de la souris, etc. Cependant, les saisies sur le clavier, comme des mots de passe, doivent être protégés contre toute interception. Les logiciels de rançon, par exemple, prospèrent une fois qu’ils ont trouvé où les données sont stockées, et l’interception d’un mot de passe peut être le point de départ du piratage. Une connexion VPN, permettant une transmission privée via un tunnel hautement sécurisé et crypté, est un puissant moyen de dissuasion contre ce type d’attaque.

4. Le contrôle des périphériques USB – Les périphériques USB sont un véritable cauchemar pour les professionnels de la sécurité informatique ! Ils abondent parmi les collaborateurs de l’entreprise, pour tous types d’utilisations : supports de stockage, webcams, smartphones… Et tous sont une source de transmission de données non sécurisée, un canal idéal pour introduire des logiciels malveillants. Des fonctionnalités permettant de bloquer l’accès aux ports USB, ou de n’autoriser que certains périphériques, est sans nul doute un moyen de limiter les risques.

5. L’authentification des utilisateurs – Les lecteurs de cartes à puce, les tokens USB et l’identification sécurisée permettent de mettre en place une authentification à deux facteurs. Avec un lecteur de carte à puce, un collaborateur peut se connecter à son bureau via le client léger, fournissant ainsi une preuve supplémentaire de son identité. Cela permet notamment d’éviter l’interception de mots de passe et les événements de piratage social, qui ouvrent la porte aux logiciels malveillants ou de rançon. D’autres technologies avancées utilisent des tokens USB, qui sont une alternative aux lecteurs de cartes à puce.

6. L’authentification unique – Les entreprises peuvent améliorer la sécurité des points d’accès grâce aux clients légers, mais elles recherchent également l’efficacité. Elles pourront alors faire appel aux solutions de single sign-on, ou authentification unique, qui simplifient la connexion et la déconnexion aux applications, en automatisant la saisie des identifiants et des mots de passe pour les utilisateurs authentifiés. Cela peut passer par des badges d’identification de proximité (puce sans contact), une carte à puce ou les empreintes digitales.

Ces six considérations appliquées au client léger permettent de répondre à la fois aux risques d’attaques de logiciels malveillants ou de rançon, et aux attentes des collaborateurs de l’entreprise, qui souhaitent pouvoir se connecter à leur bureau quels que soient le lieu où ils se trouvent et le terminal qu’ils utilisent.

Les cartes à puce, les tokens USB et l’authentification unique sont les meilleurs exemples de la façon dont la technologie peut permettre un contrôle de sécurité renforcé, tout en offrant aux utilisateurs la flexibilité qu’ils désirent. La connexion VPN est un autre point essentiel dans cette volonté de liberté. Dans le secteur du retail, par exemple, les échanges de données entre magasins doivent être sécurisés. Si une partie est assumée par l’utilisateur, la faille de sécurité peut également venir de la transmission. C’est pourquoi cet aspect doit également être pris en considération pour garantir un environnement de travail virtualisé complet et sécurisé de bout en bout.