Windows 10 : premier regard sur les fonctions de sécurité

L’expert Michael Cobb s'est penché sur les fonctions du prochain OS de Microsoft qui devraient contribuer à renforcer la sécurité des entreprises.

Windows 10 doit être disponible fin 2015. Ce sera le premier système d’exploitation client de Microsoft pour tous types de terminaux, qu’il s’agisse de PC ou d’appareils mobiles.

Exécuter un unique système d’exploitation à l’échelle de toute une organisation (et donc quelque soit le type de terminal) peut introduire des bénéfices de sécurité immédiats en simplifiant considérablement l’administration des terminaux tout en réduisant la surface d’attaque globale.

Mais surtout Windows 10 va introduire de nouvelles fonctions renforçant la protection de l’authentification et des données. De quoi séduire des entreprises qui veulent éliminer le recours aux mots de passe et protéger les données corporate à l’heure du BYOD.

Windows 10 comporte en particulier trois avancées principales susceptibles de séduire ou de repousser les entreprises au moment d’envisager d’une mise à niveau.

L’authentification à facteurs multiples

L’une des principales nouveautés de sécurité de Windows 10 touchera à l’authentification à facteurs multiples. Le système d’authentification est basé sur les standards ouverts de l’alliance Fido et supprimera le besoin de périphériques matériels supplémentaires tels que les cartes à puce ou les jetons. Une fois enrôlé, l’appareil devient l’un des deux facteurs nécessaires à l’authentification.

Windows 10 fera du terminal l’un des facteurs de l’authentification

Cela réduit la viabilité des attaques par hameçonnage : pour réussir, l’attaquant a non seulement besoin du PIN ou des informations biométriques de l’utilisateur, mais également d’un accès physique à son appareil. Cela protège également les utilisateurs contre les incidents susceptibles d’affecter les bases de données de mots de passe.

Avec Windows 10, les identifiants d’un terminal peuvent être soit une pair de clés générée par Windows, soit un certificat provisionné sur l’appareil via une infrastructure de PKI d’entreprise. 

Cette nouvelle forme d’authentification sera supportée par Active Directory, Azure Active Directory, et les comptes Microsoft.

Une fois l’utilisateur authentifié, son jeton d’accès sera stocké dans un conteneur sécurisé exécuté dans un environnement virtualisé avec Hyper-V. Cette protection vise à empêcher l’extraction du jeton des appareils comme certaines techniques employées par les attaquants le permettent.

Prévention des pertes de données

La protection accrue des données corporate est une autre avancée importante de Windows 10. BitLocker fournit le chiffrement complet des disques depuis son apparition avec Vista, mais étendre cette protection aux données après qu’elles ont quitté l’appareil protégé est devenu vital avec l’utilisation croissante de terminaux mobiles dans l’environnement professionnel.

Windows 10 peut prévenir les copies et le transit de données

Les services de gestion des droits numériques d’Azure et les fonction de gestion des droits numériques de Microsoft Office fournissent déjà des briques de protection des données lorsqu’elles quittent un appareil, mais leur activation nécessite une démarche volontaire de l’utilisateur.

Avec Windows 10, les organisations peuvent non seulement déterminer quelles applications ont accès aux données, mais également prévenir la copie ou l’accès aux données en l’absence d’un profil de sécurité adéquat, qu’il s’agisse d’un simple transit ou de stockage.

Windows fournira cette protection en utilisant des conteneurs et en assurant la séparation des données personnelles et d’entreprise au niveau applicatif et fichiers, en chiffrant directement les informations à leur arrivée sur le terminal. Dès lors, l’utilisateur n’aura plus besoin d’actions volontaires pour protéger les données corporate, ni d’application spécifique.

Contrôles des accès applicatifs

L’administration des environnements de BYOD implique également la sécurisation des accès aux ressources réseau. Et c’est une priorité pour beaucoup d’entreprises. Windows 10 permettra aux administrateurs de préciser quelles applications sont autorisées ou non à accéder au VPN de l’organisation. L’accès peut être limité à quelques ports et adresses IP de base.

Windows 10 : la sécurité plus simple pour les administrateurs, plus transparente pour les utilisateurs

En outre, les administrateurs pourront configurer les terminaux de sorte que seules les applications de confiance puissent y être installées - des applications signées par l’entreprise, celles d’éditeurs de confiance, ou encore des applications spécifiques du magasin applicatif de Microsoft.

Le but est de simplifier le verrouillage des appareils critiques ou hautement sensibles pour les protéger contre les logiciels malveillants, tout en offrant plus de flexibilité aux autres groupes d’utilisateurs.

Ces trois nouvelles fonctions clés peuvent réduire le besoin pour certains produits tiers, telles que les solutions de DLP ou d’authentification multi-facteurs. Mais les entreprises disposeront toujours d’une grande flexibilité dans les contrôles de sécurité qu’elles utilisent. Windows 10 peut ainsi d’intégrer à la plupart des produits de MDM et des infrastructures VPN. Et Windows Server 10 embarquera Windows Defender, alors même que la plupart des entreprises préfèrent avoir recours à un anti-virus dédié ou à une protection contre les logiciels malveillants au niveau du réseau.

Windows Insider permet de tester les nouvelles fonctions de sécurité de Windows 10

En rendant la sécurité plus simple à implémenter, pour les administrateurs, et plus transparente pour les utilisateurs, Windows 10 pourrait rapidement remporter une forte adhésion, notamment auprès de ceux qui exécutent encore Windows 7.

Enfin, déploiement et administration unifiés, une plateforme applicative et un modèle de sécurité universels vont immédiatement permettre aux administrateurs de dégager du temps libre pour d’autres tâches, et contribuer à une meilleure posture de sécurité.

Pour toutes les grandes entreprises, il semble pertinent de permettre à quelques membres de la DSI de rejoindre le programme Windows Insider afin de leur permettre de tester, déjà, les nouvelles fonctions de sécurité de Windows 10 et d’en évaluer la pertinence pour les besoins de l’organisation.

 

Adapté de l’anglais par la rédaction.

Pour approfondir sur Windows