Nous vous avons déjà donné dans des articles précédents quelques conseils importants pour mettre en place un environnement de travail agile, mais nous n’avions pas encore eu l’occasion de parler d’un enjeu important du digital workplace, à savoir sa sécurité.
Si la démultiplication des points de connexion au système d’information suppose une jolie opportunité pour les hackers, c’est surtout un point critique pour les équipes informatiques, qui doivent assurer la sécurité du réseau et l’intégrité des données.
Comme nous le verrons, l’authentification est une étape essentielle pour la sécurité des systèmes, mais ne sous-estimez pas l’infrastructure… et surtout souvenez-vous : un workplace digital ne s’improvise pas !
Avec le Digital Workplace, les bureaux deviennent virtuels
La crise sanitaire que nous traversons depuis maintenant deux ans a transformé notre façon de travailler, et, on ne vous l’apprend pas, a imposé à de nombreuses entreprises l’usage du télétravail et par conséquence la mise en place d’outils de communications unifiées (UC) et de bureaux virtuels de type workplace (aussi appelé digital workplace).
Qu'est-ce que la communication unifiée?
Pour rappel, un système de communication unifiée regroupe des outils de communication synchrones (en temps réel) et asynchrones (en différé) dans un environnement de travail informatique. On y retrouve notamment les e-mails, la téléphonie, les audio et visio conférences, la messagerie instantanée ou encore le partage de documents.
La communication unifiée s’est imposée dans l’entreprise depuis une quinzaine d’années (notamment avec la généralisation de la téléphonie IP). Aujourd’hui, les acteurs du marché sont de plus en plus nombreux face à un usage au quotidien de plus en plus important, surtout en contexte de crise sanitaire.
Qu'entend-on par bureau virtuel?
Un bureau virtuel, workplace, est la dématérialisation d’un espace de travail, traditionnellement sur PC fixe et attribué à chaque utilisateur. L’espace de travail est devenu mobile et accessible sur desktop, laptop et même sur smartphone (au moins partiellement). Si la tendance était déjà lancée avant, il faut reconnaître que la Covid a précipité la transformation et de plus en plus d’entreprises sont passées du desktop traditionnel en bureau virtuel.
Finis les postes fixes ! Sans parler de la montée en puissance du flex office qui permet au salarié de choisir un bureau libre à son arrivée.
Dans tous les cas, l’accès à l’espace de travail (applications, données, outils UC, etc.) se fait par l’authentification de la personne puis les serveurs montent le bureau virtuel incluant les applications et les services autorisés. Même chose à distance, l’utilisateur se connecte et les serveurs montent son espace de travail. Bien entendu, la connexion est sécurisée par un tunnel VPN.
La sécurité des bureaux virtuels vue par Wixalia
Chaque utilisateur possède son espace de travail personnel : que ce soit la configuration de l’OS virtualisé, les logiciels, les données liées au compte utilisateur, tout cela lui est propre et personnalisé. L’accès se fait par une authentification permettant à l’infrastructure réseau d’identifier l’utilisateur et d’autoriser ou non la connexion au workplace, même chose pour les outils UC.
La sécurité dépend donc de l’authentification de l’utilisateur. Mais le nom utilisateur et le mot de passe ne suffisent plus, et ce, depuis longtemps. Comme nous le verrons, il faut désormais déployer une identification multi-facteurs, mais pas que… En effet, les équipes de Wixalia vous rappellent l’importance d’une part du VPN pour assurer la sécurité des communications mais également de mettre en place une gestion des utilisations avec un annuaire.
L'importance de l'annuaire d'entreprise
Tout d’abord, il faut déployer un annuaire d’entreprise, mais surtout le mettre à jour et bien le configurer.
Chaque salarié doit être paramétré correctement notamment sur les privilèges et les accès à tel service / logiciel de l’entreprise. D’autre part, un salarié qui ne fait plus partie de l’entreprise doit être immédiatement désactivé et son accès, interdit au workplace et à l’ensemble des services IT. Et selon la politique de sécurité, l’image virtualisée doit être détruite et les données, au moins les strictement personnelles, effacées.
Attention donc à bien mettre en place des procédures! Lorsque l’IT doit provisionner un nouvel utilisateur, cela doit être automatisé. S’il faut 24h pour attribuer un compte utilisateur et déployer le workspace, c’est qu’il y a un problème de processus à minima.
L'authentification, l'élément critique
Il faut mettre en place une authentification à double facteur au minimum.
Il existe trois facteurs d’identification :
- Ce que je suis : biométrie par empreinte digitale, empreinte vocale, reconnaissance comportementale (la démarche)
- Ce que je sais : un mot de passe
- Ce que j’ai : une clé d’ouverture de serrure, un token USB, un dispositif générant des mots de passe à usage unique (OTP : One Time Password)
Par exemple, un code d’accès envoyé par SMS est un grand classique.
Il y a aussi la possibilité d’utiliser un token dédié générant un code aléatoire. Mais là aussi, il est important de bien distinguer les types de token :
- les tokens qui se connectent physiquement au terminal employé, généralement via un port USB et contiennent typiquement un certificat de sécurité.
- les dispositifs matériels autonomes embarquant un écran affichant un mot de passe “tournant” toutes les 10 secondes environ (OTP) comme ActivCard et SecurID
- les applications mobiles disponibles sur smartphones et tablettes fonctionnant aussi sur le mode OTP comme Google Authentificator ou Microsoft Authentificator.
Pour faciliter la vie de l’utilisateur et permettre une authentification transverse et éviter de se ré-authentifier à chaque fois, il est possible de mettre en place un SSO (Single Sign On) c’est-à-dire une authentification unique. Une authentification forte est d’autant plus critique si vous déployez un SSO.
Le Virtual Private Network (VPN) pour sécuriser les communications
Pour sécuriser les communications, le VPN – tunnel sécurisé entre l’utilisateur et le réseau Internet – est le strict minimum.
Est-ce que je possède un VPN ? Est-il bien configuré et supporte-t-il x connexions simultanées ? Si votre VPN est insuffisant, les connexions distantes seront instables ou très lentes. Et donc, votre digital workplace aura une expérience dégradée. De plus, la qualité du VPN dépend du débit des liens internet, non seulement du côté du site de l’entreprise hébergeant le serveur VPN (idéalement un datacenter), mais également du côté du terminal utilisateur (domicile, locaux de co-working).
Données, infrastructures, formation : 3 périmètres souvent oubliés dans la mise en place du digital workplace
Pour finir, voici 3 points, souvent négligés, sur lesquels Wixalia attire votre attention :
1. Avez-vous une politique de digital workplace et de gestion des données
Les données utilisateurs (configuration, documents, etc.) font partie de toute politique de digital workplace.
Pour la gestion des fichiers et documents, c’est comme sur un poste fixe : il faut différencier les données communes et les données propres à l’utilisateur, tel l’exemple classique de la messagerie où les e-mails du salarié ne sont visibles que par lui sauf exception. Le digital workplace ne modifie pas cette distinction.
Votre digital workplace doit-il gérer le connecté et le déconnecté ?
Cela dépend de votre politique de digital workplace et de sécurité des données, et cela pose la question du bon fonctionnement des accès distants.
En effet si vous souhaitez que l’utilisateur ne soit pas pénalisé si la connexion réseau tombe et puisse continuer à travailler, une partie des fichiers doivent être stockés localement et la synchronisation se fera au rétablissement de la connexion.
Cependant, il faut savoir que ce parti-pris écarte toutes les solutions de type VDI « Virtual Desktop Infrastructure » (ex : Microsoft RDS, Citrix XenApp/XenDesktop, VMware Horizon) qui sont pourtant les solutions les plus sécurisées puisque le terminal de l’utilisateur est totalement passif et ne contient aucune donnée. Mais c’est un système qui requiert une connectivité sans faille.
2. Vos équipes sont-elles formées?
L’accompagnement est LE facteur de réussite. Si le salarié n’est pas habitué à utiliser massivement un digital workplace, il peut être déstabilisé. C’est pourquoi il est important de le former à son nouvel environnement et lui expliquer comment y accéder.
3. Votre infrastructure est-elle à la hauteur ?
Mettre en place un digital workplace, ou une UC, nécessite une infrastructure adaptée et une politique de sécurité rigoureuse et adaptée.
Un audit de sécurité (+ IT) permettra de voir les forces et faiblesses de votre IT. En effet, l’authentification et le VPN sont loin d’être les seuls composants critiques de la sécurité globale du digital workplace. Vous avez également les pare-feux, les mises à jour (patching), le durcissement des systèmes d’exploitation, la sensibilisation des utilisateurs, etc.
En guise de conclusion, nous vous donnerons ce dernier conseil: pour la mise en place ou la refonte de votre digital workplace, ne vous lancez pas en toute hâte pour rattraper votre retard. Un mauvais déploiement peut introduire des vulnérabilités ou une mauvaise adaptation pour vos utilisateurs. Appuyez-vous sur un intégrateur comme Wixalia qui maitrise tous les enjeux du digital workplace. Contactez-nous pour discuter de votre projet.
