Nous vantons régulièrement les mérites du poste de travail virtuel Cloud. Mais peut-être avez-vous aussi entendu parler de bureau virtuel. Ou d’autres termes approchants qui ont semé la confusion dans votre esprit. Quelles sont les différences ? Quel est le meilleur choix pour votre PME ? C’est ce que nous allons mettre en lumière dans cet article.

Pour commencer, posons quelques bases. Quelle que soit la technologie – poste ou bureau virtuel, nous parlons ici de la virtualisation de l’environnement de travail de l’utilisateur. Cela consiste à se connecter, à distance, sur un ordinateur qui n’est plus physiquement dans les locaux de votre société. Mais tourne dans un Cloud, public ou privé. Dans cet espace de travail virtuel, vos programmes s’exécutent. Et c’est de là que vous accédez à vos données.

Valse informatique à trois temps

Pour aider nos clients à appréhender ce type de solution, nous la représentons selon 3 niveaux : l’appareil, l’espace de travail, et les services et données. L’appareil est le dispositif physique qui vous permet de travailler : il dispose des périphériques le cas échéant – écran, clavier, souris, casque. Il s’agit classiquement d’un PC ou d’un Mac, mais peut tout aussi bien être une tablette ou un smartphone. La mobilité est passée par là.

L’espace de travail est l’ensemble des ressources informatiques qui font tourner vos programmes, et d’où vous accédez à vos services et données. Ca peut être votre appareil physique, mais ça peut être aussi un autre PC, qui tourne lui dans le Cloud. On parle alors de poste ou de bureau virtuel. Votre appareil physique n’est alors utilisé que pour vous connecter à ce deuxième espace, virtuel. Il s’agit généralement d’un environnement Windows, avec son menu Démarrer et ses icônes bien connues.

Le poste de travail virtuel et le bureau virtuel jouent les intermédiaires entre vos appareils, et les données et services d’entreprise

Ces trois niveaux sont isolés entre eux : l’appareil, l’espace de travail, et les services et données. Cette segmentation permet d’assurer une part de la sécurité, en restreignant les accès d’un niveau à l’autre. Le plus perspicaces auront remarqué qu’on peut se passer d’un poste virtuel, si l’appareil physique peut aussi servir d’espace de travail. L’intérêt réside justement dans le fait d’isoler l’espace de travail dans le Cloud et de ne pas avoir à gérer la sécurité de l’appareil.

Résumons. Vous utilisez un appareil pour vous connecter à un espace de travail, depuis lequel vous accédez aux données et aux services. Pour passer d’une couche à l’autre, vous devez franchir des sas de sécurité. L’espace de travail peut être un ordinateur virtuel qui tourne dans le Cloud, comme le résume le schéma ci-dessous. Maintenant que les présentations sont faites, regardons de plus près les caractéristiques de l’espace de travail virtualisé.

Poste de travail virtuel

Le poste de travail virtuel dans l’informatique hybride

Des ressources, dédiées ou pas

Un poste de travail virtuel est l’équivalent d’un PC physique complet, mais dans le Cloud. Vous pourriez imaginer prendre votre ordinateur et le placer dans un datacenter protégé. Et vous y connecter à distance depuis votre appareil physique grâce à une technologie de prise de main à distance – Citrix ou Remote Desktop par exemple. Ce qu’il faut retenir, c’est que cet ordinateur virtuel est monolithique, comme votre PC physique : il dispose de son disque dur, de son processeur, et de sa mémoire. Ces ressources vous sont dédiées, et ne peuvent être utilisées que par vous. Que vous soyez connecté ou pas d’ailleurs.

A contrario, un bureau virtuel est un sous-ensemble de ressources d’une machine, plus puissante que votre seul PC, qui est exploitée de manière partagée. Processeur, mémoire et disque sont disponibles en quantité pour plusieurs espaces de travail, répartis entre les utilisateurs. Vous ne disposez pas, sur un bureau virtuel, de ressources dédiées. Et tout le monde se connecte sur la même machine.

Le poste de travail virtuel est dédié, quand le bureau virtuel fonctionne sur une infrastructure partagée

Osons une analogie. Le poste de travail virtuel est un bureau individuel, quand le bureau virtuel est un espace de coworking. Dans le premier cas, mobilier et surface sont mobilisés pour vous, que vous soyez sur place ou en télétravail. Dans le second cas, les places de travail sont partagées, et elles ne vous sont pas attribuées nominativement.

Le bureau virtuel, ou le coworking informatique

C’est là que réside la plus grosse différence entre ces deux modèles. Dans votre bureau individuel, personne d’autre que vous ne s’assied. Si bien que vous ne vous retrouverez jamais à l’étroit. Dans l’espace de coworking, vous serez amené à changer de place de travail. Et surtout, à vous serrer avec les voisins les jours de grosse affluence. Il faudra partager les ressources – bureaux, chaises, etc.

Vous l’aurez compris, le poste de travail virtuel vous assure d’avoir suffisamment de puissance en permanence pour vos tâches du quotidien. Sans que personne d’autre ne puisse les préempter. Il mobilise en revanche une machine unique pour vous, dont on sait qu’elle ne sera utilisée que partiellement dans la journée.

Les bureaux virtuels, eux, sont plus vertueux, en ce sens qu’il permettent de mutualiser les ressources. Et de jouer avec l’élasticité : ils sont déployés sur une batterie de serveurs, dont l’envergure varie en fonction de la demande des utilisateurs. Pendant les congés d’été, on utilisera moins de serveurs puisqu’une partie des employés ne travaille pas. Le prix à payer est de ne pas pouvoir garantir un niveau de puissance aux utilisateurs, même si des mécanismes de protection existent.

Complémentarité

Quel modèle choisir alors ? Il n’y a évidemment pas de réponse universelle. Sinon les deux modèles n’existeraient pas en parallèle. C’est le client qui dicte ses besoins. Et peut même décider de panacher les solutions. Les utilisateurs avancés recevront un poste de travail virtuel afin de ne pas être pénalisés par des baisses de puissance sporadiques. Les utilisateurs bureautiques simples profiteront, eux, d’un bureau virtuel qui permettra d’abaisser le coût par utilisateur.

Ce panachage peut même considérer une troisième voie : l’utilisation de vos appareils physiques comme espace de travail. C’est typiquement le cas des utilisateurs nomades, dotés de laptops. Ils accèdent aux données directement depuis leur ordinateur portable, sans passer par un espace de travail virtualisé. Le portable assure alors les deux fonctions : appareil et espace de travail. C’est typiquement ce que nous mettons en œuvre dans nos déploiements d’informatique hybride. Avec des contraintes supplémentaires en termes de sécurité. Mais ça, c’est une autre histoire.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Besoin d’une démo pour mieux vous rendre compte ? Faites-le nous savoir !

Malgré toutes vos précautions, un intrus s’est glissé dans votre système informatique. C’est la panique à tous les étages. Pourtant, comme pour les premiers secours, les toutes premières actions sont cruciales. Et les gestes répétés à l’avance et exécutés machinalement le jour J sauveront le principal. Anatomie d’un plan d’urgence informatique.

En temps de crise, il est vital de ne pas réfléchir. De ne plus réfléchir. Mais d’agir selon un plan établi à l’avance. C’est tout aussi vrai pour votre informatique, lorsque celle-ci se trouve compromise. Si vous êtes préparé à une telle éventualité, vous saurez quoi sauver en premier, et quelles branches couper en priorité. Le ver est peut-être dans le fruit, mais une approche chirurgicale vous évitera d’abattre tout l’arbre. Et de préserver l’essentiel. Voyons comment.

Vision à 360°

Circonscrire un incendie réclame d’en connaître toute l’étendue. Et là où il se propage le plus rapidement. Vous commencerez donc par prendre soin d’inventorier tous les systèmes informatiques mis en œuvre dans votre PME. De la messagerie aux serveurs applicatifs, en passant par le stockage des fichiers, et les impressions.

L’exercice n’est pas évident, car au fil du temps, les services se sont accumulé tel un millefeuille. Et plus personne chez vous n’a de vision globale de la situation. Mais vous pourrez vous reposer sur votre prestataire informatique, non ?

Sans inventaire clair, vous risquez tout simplement de passer à côté d’éléments essentiels et particulièrement exposés

Une fois le périmètre défini, vous devrez définir le risque associé à chaque élément de votre infrastructure. Ce risque consiste en une combinaison de plusieurs facteurs. Tel que l’exposition d’une part, et la surface de cette exposition. La boîte mail d’un collaborateur, accessible depuis Internet, est finalement plus exposée que votre système de gestion des RH et de la finance, accessible uniquement depuis votre réseau.

En plus de ces deux facteurs, vous devrez combiner aussi le niveau de protection de vos services. Finalement, cette boîte email n’est pas si à risque que cela, car elle est protégée par une double authentification MFA, renforcée récemment. Alors que votre système RH interne est accessible avec un simple mot de passe. Ou pire, via un compte générique.

Dernier critère à prendre en compte : la menace. Si votre système de messagerie contient peu ou pas de données critiques, on peut envisager en revanche que votre entreprise gagnerait à ne pas voir le contenu de son système de gestion financière exposé sur le Net.

Une affaire de priorité

Bien. Maintenant que vous avez défini le quoi, le comment, le et le pourquoi, vous avez tout en main pour définir des priorités. Comment ? En bâtissant quelques scénarios qui vous permettront de vous projeter. Votre plan d’urgence informatique prend forme. L’idée consiste à définir les services dont vous êtes prêts à vous passer temporairement, et l’impact de leur absence sur votre activité.

Si l’impact d’une coupure est trop fort, vous pourrez toujours opter pour l’abaissement des facteurs de risque

Un poste utilisateur a été infecté par un virus ? Isolez-le et coupez tous les accès Internet : vous pourrez travailler quelques heures en 4G/5G avec les mails sur les natels. Une boîte email a été infectée après une attaque de phishing ? Désactivez-le compte avant de la nettoyer, voire de la supprimer si vous n’êtes pas sûr de l’efficacité du nettoyage.

Vous l’aurez compris, pour chaque élément pris individuellement, vous devrez imaginer vous en passer. Et définir l’impact, en cas de, coupure sur votre exploitation. Cet impact sera ensuite modéré par le risque encouru. Le jeu consistera alors à s’assurer que les systèmes les plus critiques sont ceux qui sont le moins à risque. Et à comprendre les conséquences de leur arrêt, si vous devez en arriver à cette décision.

Vos services sous un autre angle

Car l’objectif final est bien là. Avec un plan clair sous les yeux, vous appréhenderez à l’avance les conséquences de la coupure volontaire d’un ou plusieurs de vos services. Et vous serez prêt à appuyer sur le bouton on/off. Sans vous poser de question. Nous avons récemment réalisé l’exercice pour l’entier du portefeuille de services managés Steel Blue, soit 34 produits. Qui vont du compte Microsoft 365 au serveur Cloud. Et les résultats peuvent être surprenants.

Car des services que nous exploitons depuis des années et qui nous semblent aussi exposés les uns que les autres aboutissent à des niveaux de risque différents. Le diable se cache en effet dans les détails. En réalisant cette évaluation de façon granulaire – où, quoi, comment, pourquoi – et avec le plus d’objectivité possible, nous avons obtenu une vision nouvelle sur nos services.

Alors certes, l’arrêt d’un serveur compromis aura fatalement des répercussions importantes. Mais si des moyens de reconstruction rapide ou de secours existent – un plan de reprise d’activité ou DRP, par exemple, on arrivera à modérer l’impact. Peut-être plus que la perte irréversible de la boîte email du Directeur Général, où toute son activité est concentrée depuis des années. C’est la subtilité du plan d’urgence informatique. Là encore, tout n’est qu’affaire de priorité. Et se prépare à l’avance.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Envie de construire votre propre plan ? Faites-le nous savoir !

Pour beaucoup de responsables de PME, gérer un parc IT est simple. Cela consiste à acheter des ordinateurs, y installer un antivirus, et les mettre en service. Et recommencer au bout de quelques années. Dans un monde peu connecté et sans cyber-risque, la protection des appareils informatiques aurait pu se résumer à cela. Mais ce temps est révolu.

Il est loin le temps, en effet, où la majeure partie de l’effort passé à gérer un parc informatique était dédiée au matériel. Les ordinateurs étaient relégués au rang de consommables : on installe, on utilise, et on remplace. La maintenance se focalisait sur la réparation, notamment le remplacement de composants. Au premier rang desquels, le disque dur : quand ils étaient encore mécaniques, ces périphériques de stockage constituaient le maillon faible des ordinateurs personnels.

Révolution mobile

Puis Internet est arrivé. L’interconnexion des appareils a fait exploser les risques d’attaque et de contamination. Risques encore aggravés par la multiplication des appareils, et notamment l’arrivée des smartphones. L’utilisateur informatique est devenu la cible privilégiée des pirates, exploité comme vecteur de propagation de menaces en tous genres dans la multitude de ses appareils.

Si vous êtes patron de PME, vous pouvez adopter différentes postures. Soit vous êtes conscient du danger, sans pour autant le maîtriser, et vous transformez votre informatique, au sens large, pour vous adapter. Soit vous l’ignorez tout simplement. Après tout, vous n’avez jamais eu le moindre problème. Et prêter un peu plus d’attention risque bien de faire exploser votre budget.

L’absence d’incident pourrait inciter, à tort, à l’immobilisme

Mais les chiffres sont têtus. En 2022, le nombre d’attaques informatiques en Suisse a bondi de 61% dans les entreprises. Cette statistique dénote deux choses. Tout d’abord, les attaques informatiques restent faciles et rentables. Ensuite, la multiplication des terminaux constitue autant de portes d’entrées supplémentaires dans votre réseau et vos applications. Ignorer la protection des appareils informatiques et se contenter de les mettre en ligne risque de vous jouer des tours. Rapidement.

Partir sur de bonnes bases

Alors, comment agir ? Tout se passe en 3 actes : configuration, évaluation, autorisation. Dans un premier temps, il est nécessaire de s’assurer que l’appareil que vous allez utiliser pour accéder aux ressources d’entreprise est sous contrôle. Adopter une base minimale de prérequis est un must : par exemple, un antivirus installé et à jour, ou la présence d’un mot de passe – un vrai. Et ceci aussi bien pour les appareils d’entreprise que les privés. En automobile, on pourrait comparer cela à l’homologation.

Une fois cette configuration initiale passée, démarre la vie de l’appareil. On entre dans le domaine de la surveillance. L’enjeu consiste à évaluer en temps réel que sa conformité est préservée au long de sa vie. Car toute configuration peut évoluer au fil de l’eau, et sa dégradation peut rendre l’appareil moins fiable, voire dangereux. L’analyse de la conformité assigne un niveau de fiabilité à l’appareil, qui autorisera un accès plus ou moins large.

Au temps du Covid, on aurait pu comparer la conformité d’un appareil à son pass informatique

Reste alors à autoriser l’accès aux données, ou pas. Là encore, l’analogie avec les véhicules est simple : il s’agit de l’expertise automobile. Cette phase revient donc à décider si votre appareil est apte à se connecter aux services et aux données. Tout comme au service des automobiles, il y a des exceptions : un appareil qui n’est pas conforme pourra se connecter aux services, mais de manière limitée. La reconnexion complète nécessitera d’avoir montré à nouveau patte blanche. On parle ici d’accès conditionnel.

Protection des appareils informatiques grâce à Microsoft inTune

Conformité et protection des appareils informatiques avec Microsoft inTune

Le prétexte de la complexité

A priori, on pourrait trouver ces mécanismes contraignants. Et ils le sont. Mais c’est le lot de la sécurité informatique, qui doit trouver le juste équilibre entre la protection des données et des appareils , et la facilité d’utilisation. L’erreur consisterait à tout balayer d’un revers de la main, au prétexte justement que la gestion de ces pauvres machines n’a jamais rien demandé de complexe jusqu’à maintenant. Le syndrome du « jusqu’ici, tout va bien ».

Il faut simplement l’admettre : l’informatique est devenue terriblement complexe

Cela reviendrait à assimiler l’environnement informatique des années 2000 à celui d’aujourd’hui, ou inversement. Alors que tout a changé. Les machines se mettent à jour en permanence, suivant le rythme effréné de la découverte de failles de sécurité. Et pas une semaine ne se passe sans qu’une institution de renom ne se fasse rançonner. Si autrefois le piratage de son informatique pouvait relever du manque de chance, l’excès de simplification peut en être une cause plus probable aujourd’hui.

Car les outils existent pour assurer la protection des appareils informatiques. Et ils sont plutôt efficaces. Pas infaillibles, mais efficaces. Et complexes, c’est certain. Au point qu’un pirate pourra être dissuadé de tenter de rentrer dans un réseau protégé comme il faut. Ou en tout cas, son travail ne sera pas facilité, et l’intrusion aura pu générer quelques alarmes. Pour autant que le gestionnaire du parc maîtrise justement toute la complexité de ces nouveaux outils. Et de l’informatique des années 2020.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Dès fin février, Microsoft 365 consolidera l’authentification à ses services. Ce renforcement permettra de sécuriser encore plus les applications Cloud du géant. Mais derrière cette mesure de sécurité se cache un but plus radical. Microsoft vise tout simplement à faire d’une pierre deux coups. Et vous permettre de vous passer (enfin) de mots de passe. Explications.

La double authentification nous est maintenant familière. En plus de saisir notre mot de passe, nous sommes amenés à valider notre identité par un second moyen. Il peut s’agir d’un code généré par une application mobile, ou d’une validation de connexion, toujours via le smartphone. Mieux, on peut aussi vous demander de fournir un paramètre biométrique, tel qu’une empreinte digitale, ou de reconnaître votre visage ou l’iris de vos yeux.

Microsoft résume très bien la combinaison de ces facteurs. Votre authentification nécessitera d’une part de fournir quelque chose que vous savez – votre mot passe. Et de la compléter par un autre facteur : quelque chose que vous possédez comme votre smartphone ou votre ordinateur, ou quelque chose qui vous est propre – un paramètre biométrique par exemple.

Microsoft 365 change la donne

En y regardant de plus près, la double authentification pourrait tout simplement se cantonner à combiner ces deux dernières catégories. Et oublier la première : votre mot de passe. Vous avez bien lu : l’objectif ici est de tout simplement ne plus avoir à utiliser de code secret pour s’authentifier. A terme, une identification consistera uniquement à fournir quelque chose qui vous est propre et quelque chose qui vous appartient.

Plus qu’un renforcement, c’est un changement de modèle d’authentification

Pour préparer le terrain, Microsoft imposera donc dès la fin du mois la saisie d’un code à usage unique en complément d’une approbation dans son application Microsoft Authenticator. Mais il y a mieux encore : vous pourrez décider de sélectionner cette approbation dans Authenticator comme premier facteur d’authentification, pour peu que vous activiez la reconnaissance biométrique – faciale ou digitale.

Concrètement, vous ouvrez une des applications Microsoft 365. Celle-ci vous affiche un code à deux chiffres généré aléatoirement. Votre smartphone vous lance alors une demande d’authentification, que vous ne pourrez approuver qu’en saisissant le code affiché. L’approbation est alors complétée par une reconnaissance faciale par exemple. Vous avez bien combiné deux facteurs d’authentification. Mais vous n’avez pas saisi le moindre mot de passe. Génial, non ?

Authentification sans mot de passe grâce à Microsoft 365

Authentification sans mot de passe grâce à Microsoft 365

L’histoire se répète

Comme souvent, Microsoft a fait preuve d’une habilité et d’une réactivité incroyables pour prendre le lead dans un domaine où l’éditeur était malmené. Et ça n’est pas une nouveauté dans l’histoire de l’informatique. Dans les années 90, Bill Gates ne croyait pas dans l’Internet. Il avait dû prendre un virage à 180 degrés, et Windows 95 était né, avec le succès qu’on lui connaît. Idem pour Internet Explorer : longtemps le navigateur Microsoft était à la traîne face à Netscape et Firefox. Mais à force d’investissement, il les a surclassés.

En matière de sécurité, Microsoft a longtemps fait office de mauvais élève. Windows était réputé pour être mal protégé et truffé de vulnérabilités. Evidemment, quand on produit le système d’exploitation le plus répandu au monde, on est plus exposé que les autres. Quant à la faible protection, les mauvaises langues – ou les plus clairvoyants – diront qu’elle faisait partie du plan pour inonder le marché.

Microsoft a longtemps eu mauvaise réputation en termes de sécurité

Mais depuis les années 2010, Microsoft, à grands coups de R&D et de marketing, a complètement renversé la tendance. Windows Defender est devenu un des antivirus leaders du marché, si bien qu’acquérir un produit tiers n’est plus nécessaire. Et la transition de Microsoft d’un statut d’éditeur à celui de fournisseur de services en ligne, l’a forcé à revoir sa posture sécuritaire. Avec un certain succès. A tel point que l’éditeur devient un leader en la matière et trace la route pour le reste de l’industrie.

Objectif zéro mot de passe

Avec quels objectifs ? La feuille de route concernant les mots de passe est assez claire. Elle repose sur un autre triptyque. Dans un premier temps, ne plus avoir à saisir nos mots de passe. Nous y sommes donc déjà. Dans un second temps, ne plus avoir à changer nos mots de passe. S’ils ne sont plus utilisés, ils ne sont naturellement plus exposés. Et enfin, ne plus savoir nos mots de passe du tout. On ne pourra plus vous dérober ce que vous ne savez pas.

Le vol d’identifiants repose aujourd’hui sur deux axes : soit le piratage de sites peu fiables contenant un mot de passe réutilisé ailleurs, soit l’ingénierie sociale qui permet de « deviner » vos codes secrets. Ne plus être contraint de connaître son mot de passe ouvre la porte à la génération aléatoire et systématique de codes complexes et différents sur tous les sites et services que vous utilisez.

Les mots de passe peuvent alors être stockés dans un gestionnaire de clés, car ils ne sont plus utilisés comme premier facteur d’authentification. Un peu comme une clé que vous iriez déposer dans un coffre à la banque, et qui ne serait accessible qu’en dernier recours. La pression se déplacera donc probablement vers ces outils de stockage en ligne, qui seront, encore un peu plus, dans le radar des hackers. Mais ça, c’est une autre histoire.

Emmanuel Dardaine

emmanuel dardaine expert cloud