Si votre poste de travail reste ouverte et accessible, la moindre absence peut avoir des conséquences importantes. Bien plus sérieuses en tout cas que les classiques blagues entre collègues…

Tous les professionnels ont connu cette situation dans leur entreprise ; un collaborateur profite d’un moment d’absence d’un de ses collègues pour s’installer à son poste et envoyer un faux mail depuis sa messagerie. Le scénario ne va généralement pas plus loin qu’une simple et inoffensive plaisanterie de bureau mais il est révélateur d’une faille majeure dans la sécurité du poste client. Que se passerait-il si le poste en question était une station de travail contenant des informations confidentielles, des travaux de recherche ou les plans d’un produit en cours de développement ? Ou si une personne malintentionnée accédait à un compte à privilèges et l’utilisait pour introduire un malware sur le réseau ?

Le loup dans la bergerie

Les risques que ces pratiques font peser sur les données et le système d’information de l’entreprise sont considérables. Firewall, IPS et VPN ne vous seront d’aucune utilité si quelqu’un accède directement à un poste ouvert et connecté au réseau. Il pourra alors librement utiliser le compte laissé vacant pour accéder aux applications et informations. La mise en place de quelques règles de sécurité de base peuvent permettre d’éviter bien des problèmes.

• Tout employé qui laisse son ordinateur sans surveillance, même pour quelques minutes, doit systématiquement déconnecter sa session ou la verrouiller avec un mot de passe. Cela peut être réalisé très rapidement en appuyant simultanément sur les touches Windows et L.
• Pour les postes partagés, dans les écoles par exemple, les utilisateurs devront veiller à bien se déconnecter une fois leur tâche terminée.
• Si le poste de travail est dédié à des tâches de traitement de données qui nécessitent de le laisser travailler sans surveillance pendant de longues périodes, il devra être placé dans une salle sécurisée.
• Chacun est responsable des actions réalisées depuis son poste de travail ou son compte utilisateur.

Toute période d’inactivité doit entraîner
une déconnexion automatique.”

Automatiser pour ne pas oublier

Sensibilisation et formation ne sont toutefois pas toujours suffisantes. Que ce soit par mégarde ou malveillance, l’erreur humaine reste encore et toujours la principale source de failles de sécurité. Les utilisateurs oublient fréquemment de se déconnecter ou ne le font pas lorsqu’ils s’absentent peu de temps, pour éviter d’avoir à s’identifier de nouveau. C’est pourquoi il convient d’associer la technologie à la pédagogie.

• Mesure très simple à mettre en place : chaque poste peut être équipé d’un écran de veille activé automatiquement après une certaine période d’inactivité et réclamant un mot de passe en sortie de veille. Cette période peut être définie, via des stratégies de groupe, selon le type d’appareil. Un terminal mobile par exemple, plus exposé qu’un PC fixe, pourra voir sa veille activée plus rapidement. Cerise sur le gâteau, les appareils en veille consommeront moins d’énergie.
• Les règles sont faites pour être contournées. Il existe des applications qui empêchent la mise en veille des appareils. Il faut veiller à interdire et bloquer ces applications.
• Le même principe peut être appliqué lorsque les utilisateurs se connectent à un réseau ou une application, notamment lorsque ces derniers accèdent à des données sensibles. Toute période d’inactivité doit entraîner une déconnexion automatique et l’obligation de saisir à nouveau ses identifiants.
• Pour garantir un haut niveau de sécurité tout en facilitant le quotidien des utilisateurs, il est possible de déployer une technologie de détection de présence, qui va automatiquement verrouiller l’ordinateur dès que l’utilisateur n’est plus face à l’écran. Avec une fonction comme Windows Hello, intégrée à Windows 10, celui-ci peut ensuite rouvrir sa session sans saisir de mot de passe, grâce à la reconnaissance d’iris ou faciale.

Perspectives IT
Silicon.fr