Les nouveaux usages liés au télétravail et à la mobilité obligent les RSSI à revoir leur copie quant à la sécurité de la Digital Workplace. Il leur faut marier sécurité et souplesse d’utilisation pour les collaborateurs. La virtualisation dans le Cloud apparaît comme une solution.
La crise sanitaire engendrée par le Coronavirus a consacré le VPN comme la technologie star. Pratiquement toutes les entreprises qui ont ouvert des accès distants à leurs collaborateurs ont pu s’appuyer sur cette technologie mature qui s’appuie sur des algorithmes de chiffrement bien connus. Pour Lionel Doumeng, expert cybersécurité chez F-Secure, les différences entre solutions du marché ne se situent plus au niveau de ces algorithmes : « Ce n’est pas sur l’algorithme que la différence se fait, mais sur la simplicité de gestion, la facilité d’utilisation pour l’utilisateur final. Loin du service informatique, l’utilisateur doit pouvoir se débrouiller seul avec sa solution de sécurité. Un autre point est devenu très important depuis quelques années, celui du traitement des informations. Quand le fournisseur propose un service VPN, il est capable de collecter les données de navigation des utilisateurs. Il est donc important pour les utilisateurs de savoir ce que le fournisseur en fait. Nous décrivons tous nos principes de confidentialité sur notre site, dans le respect total de la RGPD voire même au-delà. »
Outre la protection des échanges avec un VPN, de nombreuses entreprises ont choisi de chiffrer les données des PC professionnels de leurs collaborateurs via la solution Microsoft BitLocker. L’arrivée prochaine de Windows 11 et son recours quasi systématique à la puce de sécurité TPM 2.0 (Trusted Platform Module) doit permettre aux entreprises de mieux sécuriser les accès aux PC professionnels. Néanmoins, le PC n’est plus le seul outil numérique du collaborateur et dans une politique de sécurité de la workplace, il est indispensable de songer aux terminaux mobiles. Un acteur tel que BlackBerry s’est naturellement positionné sur la sécurité de la Digital Workplace avec une offre qui s’appuie sur de multiples briques, dont BlackBerry Protect qui protège le poste de travail lorsque celui-ci est personnel, et BlackBerry Desktop, un conteneur sécurisé et manageable par UEM certifié EAL 4+ qui assure la sécurité de bout en bout. « Cette solution ne requière aucune infrastructure VPN » note Florent Embarek, Regional Sales Director, Southern & Eastern Europe chez BlackBerry. « Les équipes s’appuient sur une connectivité sécurisée BlackBerry par http qui ne nécessite aucun flux entrant dans le système d’information. Cela ne laisse place à aucune surface d’attaque. »
Vers un changement de paradigme via le Cloud PC ?
Sécuriser les terminaux en accumulant les solutions de chiffrement et de protection de type EPP/EDR est à la fois coûteux et difficile car le maintien à jour de patch de sécurité d’un parc composé pour une part importante de postes distants reste difficile. Une autre approche est en train de revenir d’actualité, c’est le VDI (Virtual Desktop Infrastructure). L’idée est de proposer un environnement de travail totalement virtualisé et sécurisé, accessible par les collaborateurs via un client léger qu’aucun malware ne peut altérer. Le concept n’a rien de très nouveau, Citrix a connu un large succès avec son architecture Independent Computing Architecture (ICA) dès les années 90. Depuis, le Cloud a changé la donne. Les entreprises n’ont plus besoin d’investir dans des fermes de serveurs pour fournir ces sessions virtuelles et le modèle “As a Service” a largement simplifié le déploiement des solutions VDI. Plusieurs acteurs se sont partagé ce marché à commencer par Citrix, VMware, Microsoft ou encore Systancia. L’éditeur français veut se différencier en alliant IAM et SASE, c’est-à-dire la gestion des accès et l’infrastructure d’accès. « Puisque le périmètre de sécurité n’est plus le réseau, l’accès n’est plus un accès réseau, mais celui d’une identité à une ressource », résume Bernard Debauche, Directeur Produits, Marketing & Clients chez Systancia. « Il faut donc, en plus de l’infrastructure d’accès, provisionner des ressources et des identités. C’est l’objet même de la plateforme Systancia. »
Le marché du DaaS devrait exploser
Les analystes s’attendent à une explosion de ce marché du DaaS (Desktop as a Service) suite à la crise sanitaire, mais aussi avec l’arrivée de tous les grands acteurs du Cloud. L’approche est bien dans l’air du temps où les entreprises peinent à embaucher des collaborateurs compétents en cybersécurité et où les RSSI ont du mal à gérer la pile de solutions de protection endpoint aujourd’hui nécessaires pour éviter un incident de sécurité majeur (voir étude IDC). AWS s’est positionné sur ce marché DaaS avec son offre Amazon WorkSpaces et Microsoft qui disposait déjà d’une offre VDI avec Azure Virtual Desktop semble vouloir renouveler le genre avec Windows 365. Avec cette nouvelle offre DaaS, l’éditeur semble vouloir privilégier un accès universel à la workplace, un simple navigateur permettant d’accéder au bureau virtuel depuis un PC, une tablette, un smartphone.
Le client VPN, technologie éprouvée s’il en est, a sauvé la mise des entreprises qui ont dû placer des milliers de collaborateurs en télétravail du jour au lendemain. Pour autant, les entreprises doivent adopter une approche plus globale et tendre vers le modèle SASE (Secure Access Service Edge) pour sécuriser durablement leurs accès distants.
Bâtie sur Azure Virtual Desktop, l’offre Windows 365 présente l’avantage de centraliser l’administration du parc des bureaux virtuels. L’offre a de quoi intéresser le RSSI, mais sera-t-elle suffisamment souple et performante pour les utilisateurs ?