Fonctionnalités de sécurité incitant l’entreprise à migrer vers Windows 10

Voir la version AMP

Les dommages causés par les attaques de sécurité font la une partout et Microsoft se targue d’une protection sans précédent contre les logiciels malveillants et les menaces de sécurité avancées pour vous inciter à migrer vers Windows 10 qui bénéficie de nouvelles fonctionnalités de sécurité telles que Windows Hello, Microsoft Passport, Windows Information Protection, Device Guard et Credential Guard.

Bien que tout le monde reconnaisse que Windows 7, l’OS le plus performant de l’histoire de Microsoft, ait bien servi les entreprises pendant les cinq dernières années, il n’offre pas un niveau de protection adéquat pour faire face aux menaces de sécurité actuelles, les applications tierces non plus d’ailleurs.

Les nouveaux défis appellent de nouvelles habiletés ou, à tout le moins, une nouvelle vision ; parlez-en aux directeurs TI aux prises avec Windows XP pour lequel Microsoft n’offre plus de mise à jour de sécurité depuis avril 2014.

Nouvelles fonctionnalités de sécurité incitant l’entreprise à migrer vers Windows 10:

PROTECTION D’IDENTITÉ

Les solutions d’identification multi-facteurs d’aujourd’hui sont souvent lourdes et coûteuses à déployer si votre parc informatique est volumineux.

Microsoft Passport est une alternative de mot de passe multifacteurs facile à utiliser et facile à déployer que vous utilisez pour vous authentifier en toute sécurité vers d’autres réseaux; il fonctionne avec votre entreprise Active Directory ou Azure Active Directory. « Sur Windows 10, Microsoft Passport remplace les mots de passe par une authentification forte à deux facteurs se composant d’un appareil inscrit et d’un Windows Hello (biométrique) ou d’un code confidentiel… Windows utilise ensuite Microsoft Passport pour authentifier les utilisateurs et leur permet d’accéder aux ressources et aux services protégés. »

 

Les attaques avec hameçonnage sur les mots de passe des utilisateurs sont de plus en plus couronnées de succès et toute entreprise devrait s’en inquiéter.

Ainsi, Windows Hello utilise la biométrie pour fournir un moyen plus sécurisé d’accéder à votre appareil, à Microsoft Passport, à vos applications, à vos données et à vos ressources en ligne. Windows Hello est la solution de Windows 10 pour se débarrasser des mots de passe qui sont souvent volés et réutilisés. Hello prend en charge trois méthodes d’authentification biométrique (facial, iris et empreinte digitale) de concert avec un simple code PIN.

 

Les attaques massives s’appuient sur la possibilité de voler les identifiants de domaine et d’utilisateur pour se déplacer dans le réseau et accéder à d’autres ordinateurs avec des attaques “pass-the-hash” et aussi échapper à la détection.

Credential Guard protège les identités corporatives en les isolant dans un environnement virtuel basé sur le matériel. Microsoft isole les services critiques de Windows dans une machine virtuelle pour bloquer les attaquants contre toute altération du noyau et d’autres processus sensibles. En outre, Microsoft Azure Active Directory fournit une solution complète de gestion d’identité et d’accès pour le Cloud.

 

PROTECTION DES DONNÉES

BitLocker offrait une option de cryptage de disque configurable, mais BitLocker est maintenant très amélioré dans Windows 10, il est maintenant très facile à gérer et il peut être intégré automatiquement sur la plupart des nouveaux appareils. Tout usager qui sauvegarde des données confidentielles sur son appareil devrait se créer une partition cryptée avec BitLocker.

 

La prévention des pertes de données (DLP) à partir des appareils privés des employés (BYOD) nécessite très souvent l’utilisation de logiciels supplémentaires et des fonctionnalités tierces. Windows Information Protection répond aux besoins de DLP, elle comprend une solution intégrée de séparation de données et de conteneurisation et fournit un cryptage au niveau des fichiers.

Par contre, les solutions DLP compromettent souvent l’expérience de l’utilisateur dans l’intérêt de la sécurité, ce qui entraîne une faible adoption et une expérience variable entre les ordinateurs de bureau et les appareils mobiles.

Windows Information Protection offre une expérience utilisateur sans faille sur les appareils mobiles et le bureau et elle est intégrée à Azure Active Directory et les Services de Gestion des Droits.

 

RÉSISTANCE AUX MENACES

Avant, toutes les applications étaient fiables jusqu’à ce qu’elles soient considérées être une menace ou bloquées. Device Guard offre une protection desktop / laptop similaire au verrouillage sur un appareil mobile (verrouillage complet de l’application). « Device Guard comprend une politique d’intégrité de code que vous créez; soit une liste blanche d’applications approuvées qui seront les seules applications autorisées à s’exécuter dans votre organisation. Device Guard comprend également une puissante fonction de modération du système appelée HVCI (intégrité du code protégé par hyperviseur), qui s’appuie sur une sécurité basée sur la virtualisation (VBS) pour protéger le processus de validation de l’intégrité du code de Windows en mode « kernel ». HVCI a des exigences matérielles spécifiques et travaille avec les politiques d’intégrité du code pour aider à arrêter les attaques même si elles ont accès au noyau. Device Guard est inclus dans Windows 10 Enterprise et Windows Server 2016. »

Avec plus de 300 000 nouvelles menaces par jour, les bloquer par la détection est une cause perdue. Avec Device Guard, une application doit prouver être digne de confiance avant qu’elle puisse être exécutée.

 

Windows 7 fournit une série de solutions de défense mais de nombreuses menaces de logiciels malveillants affectent les utilisateurs avant que les solutions antivirus basées sur la détection ne puissent agir.

Device Guard offrira une capacité de résistance aux logiciels malveillants la plus disruptive que Microsoft n’ait jamais conçue pour les appareils de bureau. Device Guard s’appuie sur la sécurité basée sur la virtualisation de Windows 10 pour permettre uniquement aux applications approuvées de fonctionner sur les appareils.

 

SÉCURITÉ DES APPAREILS

La sécurité de tout OS est entièrement basée sur ce que le logiciel peut faire seul et, une fois infecté, rien ne garantit que les défenses du système pourront fonctionner et ne seront pas manipulées.

La sécurité basée sur le matériel et le niveau de confiance qu’elle offre contribuent à maintenir et à valider l’intégrité du matériel et du système.

 

Les logiciels malveillants peuvent s’incruster dans le matériel ou dans le système d’exploitation lui-même et il n’y a aucun moyen d’en valider l’intégrité une fois qu’il a été compromis.

Le Démarrage sécurisé UEFI aide à prévenir les logiciels malveillants de s’incruster dans le matériel ou de démarrer avant le système d’exploitation (bootkits / rootkits). Le Démarrage sécurisé aide à maintenir l’intégrité du reste du système d’exploitation.

 

CONLUSION

Les nouveaux défis de sécurité requièrent de nouvelles fonctionnalités de sécurité; beaucoup font valoir que les nouvelles fonctionnalités de sécurité qu’offrent Microsoft sont autant de raisons pour l’entreprise de migrer vers Windows 10. Bien qu’elles viennent avec un coût, on ne devrait toutefois jamais sous-estimer le coût d’une intrusion malveillante !

À notre avis, ces nouvelles fonctionnalités de sécurité constituent un puissant incitatif pour toute entreprise de migrer vers Windows 10.

Pour plus d’information sur l’implantation de ces fonctions de sécurité, Microsoft a publié des guides techniques pour Device Guard et Credential Guard.

 

Denis Paul & Michel

Source: Microsoft, InfoWorld

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *