On pourrait croire que sécuriser un appareil Windows 10 peut se réduire à une simple check-list : installer un logiciel de sécurité, ajuster quelques paramètres, faire quelques séances de formation, puis passer au prochain point de la liste. Pourtant, c'est bien plus complexe.
Il n'y a pas de solution miracle en termes de logiciel, et la configuration initiale de votre appareil établit simplement la base de la sécurité. Une fois la configuration initiale mise au point, la sécurité exige une vigilance et des efforts continus. Une grande partie de ces efforts se fera même à l'extérieur de l'appareil lui-même. Pour mettre en place une poltique de sécurité bien planifiée, il faut tenir compte du trafic réseau, des comptes de messagerie, des choix d'authentification, des serveurs de gestion et de toute autre connexion externe.
Ce guide a pour but de couvrir un large éventail de cas d'utilisation professionnelle, chaque rubrique abordant une question que les décideurs doivent prendre en compte lors du déploiement de PC sous Windows 10. Mais, s'il présente de nombreuses options disponibles, ce n'est pas un guide pratique à suivre pas à pas.
Le service informatique
Dans une grande entreprise, le personnel informatique doit intégrer des spécialistes de la sécurité, qui seront là pour gérer ces étapes. Dans une plus petite structure, où il n'y a pas forcément de service informatique dédié, la meilleure approche consiste peut-être à confier ces responsabilités à un consultant possédant l'expertise nécessaire.
Mais avant de se lancer dans le paramétrage de Windows, il convient d'évaluer la menace. Il faut particulièrement prendre conscience des responsabilités légales et réglementaires incombant à la société, notamment en cas de violation de données ou d'autres événements liés à la sécurité. Pour les entreprises soumises à des exigences de conformité, il est important de se rapprocher d'un spécialiste qui maîtrise le secteur d'activité et peut donc s'assurer que les systèmes correspondent aux exigences spécifiques du secteur.
Les catégories suivantes s'appliquent aux entreprises de toutes tailles.
La gestion des mises à jour de sécurité
Le plus important en termes de sécurité, pour tout PC sous Windows 10, est de s'assurer que les mises à jour sont installées selon un calendrier régulier et prévisible. C'est vrai pour tout appareil informatique moderne, bien sûr, mais le modèle "Windows as a service" que Microsoft a introduit avec Windows 10 change la façon de gérer les mises à jour.
Pour commencer, voici quelques éléments pour mieux comprendre les différents types de mises à jour de Windows 10 et leur fonctionnement :
- Les mises à jour qualité sont fournies chaque mois par Windows Update, le deuxième mardi de chaque mois. Elles traitent des questions de sécurité et de fiabilité et ne comportent pas de nouvelles fonctionnalités (ces mises à jour comprennent également des correctifs pour les défauts de microcode des processeurs Intel). Pour les problèmes de sécurité particulièrement graves, Microsoft peut choisir de publier une mise à jour "hors-bande" qui n'est pas liée au calendrier mensuel normal.
- Toutes les mises à jour qualité sont cumulatives, il n'est donc plus nécessaire de télécharger des dizaines, voire des centaines de mises à jour après avoir effectué une installation propre de Windows 10. Il suffit d'installer la dernière mise à jour cumulative pour être complètement à jour.
- Les mises à jour des fonctionnalités sont l'équivalent de ce que l'on appelait autrefois les mises à jour de version. Elles comprennent de nouvelles fonctionnalités et nécessitent un téléchargement de plusieurs gigaoctets et une installation complète. Les mises à jour des fonctionnalités de Windows 10 sont publiées deux fois par an, généralement en avril et en octobre, et sont disponibles via Windows Update. Elles ne sont pas installées automatiquement, sauf si la version actuelle de Windows 10 a atteint la fin de son cycle de vie de support.
Par défaut, les appareils Windows 10 téléchargent et installent des mises à jour de qualité dès qu'elles sont disponibles sur les serveurs de mises à jour de Microsoft. Sur les appareils fonctionnant sous Windows 10 Famille, il n'existe aucun moyen de spécifier exactement quand ces mises à jour sont installées, bien qu'il soit possible pour les utilisateurs individuels de suspendre toutes les mises à jour pendant un maximum de sept jours. Sur les PC fonctionnant avec les éditions professionnelles de Windows 10 (Pro, Entreprise ou Education), les utilisateurs peuvent suspendre toutes les mises à jour pendant 35 jours au maximum, et les administrateurs peuvent utiliser les paramètres de la stratégie de groupe pour reporter l'installation de mises à jour de qualité sur les PC jusqu'à 30 jours après leur sortie.
Comme pour toutes les décisions en matière de sécurité, le choix du moment de l'installation des mises à jour implique un compromis. L'installation des mises à jour immédiatement après leur publication offre la meilleure protection ; le report des mises à jour permet de minimiser les temps d'arrêt imprévus associés à ces mises à jour.
Grâce à "Windows Update for Business", intégrée dans Windows 10 Pro, Entreprise et Education, il est possible de reporter l'installation de mises à jour de qualité de 30 jours maximum. Il est également possible de retarder les mises à jour de fonctionnalités de deux ans maximum, selon l'édition.
Le report des mises à jour de qualité de 7 à 15 jours est un moyen peu risqué d'éviter la possibilité d'installer une mise à jour défectueuse qui peut causer des problèmes de stabilité ou de compatibilité. Pour ajuster les paramètres de "Windows Update for Business" sur les PC individuels, il faut aller dans Paramètres > Mise à jour et sécurité > Windows Update > Options avancées.
Dans les grandes organisations, les administrateurs peuvent appliquer les paramètres de Windows Update for Business à l'aide de la politique de groupe ou du logiciel de gestion des appareils mobiles. Il est possible également d'administrer les mises à jour de manière centralisée en utilisant un outil de gestion tel que le gestionnaire de configuration du centre de système ou les services de mise à jour du serveur Windows.
Enfin, la stratégie concernant les mises à jour logicielles ne doit pas s'arrêter à Windows lui-même. Il faut aussi s'assurer que les mises à jour des applications, notamment les suites Microsoft Office ou Adobe, sont installées automatiquement également.
La gestion des comptes utilisateurs
Chaque PC Windows 10 nécessite au moins un compte utilisateur, protégé par un mot de passe et des mécanismes d'authentification optionnels. La manière de configurer ce compte (et tout autre compte sur l'appareil) contribue largement à garantir la sécurité de l'appareil.
Les appareils qui utilisent une édition professionnelle de Windows 10 peuvent être joints à un domaine Windows. Dans cette configuration, les administrateurs de domaine ont accès aux fonctionnalités d'Active Directory et peuvent autoriser les utilisateurs, les groupes et les ordinateurs à accéder aux ressources locales et de réseau. En tant qu'administrateur de domaine, il est possible de gérer les PC Windows 10 en utilisant l'ensemble complet des outils Active Directory basés sur le serveur.
Pour les PC Windows 10 qui ne sont pas reliés à un domaine, comme c'est le cas dans la plupart des petites structures, trois types de comptes sont disponibles :
- Les comptes locaux utilisent des identifiants qui sont uniquement stockés sur l'appareil.
- Les comptes Microsoft sont gratuits pour les utilisateurs, et permettent la synchronisation des données et des paramètres entre différents appareils ; ils prennent également en charge l'authentification à deux facteurs et les options de récupération de mot de passe.
- Les comptes Azure Active Directory (Azure AD) sont associés à un domaine personnalisé et peuvent être gérés de manière centralisée. Les fonctionnalités de base d'Azure AD sont gratuites et incluses dans les abonnements Microsoft 365 et Office 365 Business et Enterprise. Les fonctionnalités supplémentaires se présentent sous la forme de mises à niveau payantes.
Tout d'abord, il existe le compte "Administrateur", qui a le droit d'installer des logiciels et de modifier la configuration du système. Les comptes secondaires peuvent et doivent être configurés comme des utilisateurs standard afin d'éviter que des utilisateurs non formés n'endommagent le système par inadvertance ou n'installent des logiciels indésirables.
Exiger un mot de passe fort est une étape essentielle, quel que soit le type de compte. Sur les réseaux gérés, les administrateurs peuvent utiliser le logiciel Group Policy ou Mobile device management (MDM) pour appliquer une politique de mots de passe pour l'organisation.
Afin de renforcer la sécurité du processus d'identification sur un appareil spécifique, il y a Windows Hello, qui met en place un processus de vérification en deux étapes pour inscrire l'appareil avec un compte Microsoft, un compte Active Directory, un compte Azure AD ou un fournisseur d'identité tiers qui prend en charge la version 2.0 de FIDO. Une fois l'inscription terminée, l'utilisateur peut se connecter à l'aide d'un code PIN ou, s'il dispose d'un appareil compatible, d'une authentification biométrique (empreinte digitale, reconnaissance faciale). Les données biométriques sont stockées sur le dispositif uniquement et empêchent de nombreuses attaques courantes comme le vol de mots de passe. Sur les appareils connectés à des comptes professionnels, les administrateurs peuvent utiliser Windows Hello Entreprise pour spécifier les exigences de complexité du code PIN.
Dans le cas de comptes Microsoft ou Azure AD sur des PC professionnels, il faudra mettre en place une authentification multi-facteurs pour protéger le compte contre les attaques externes. Pour les comptes Microsoft, le paramètre de vérification en deux étapes est disponible ici. Pour les comptes Microsoft 365 Business et Entreprise, un administrateur doit d'abord activer la fonction à partir du portail Office, après quoi les utilisateurs peuvent gérer les paramètres d'authentification en se connectant à cette adresse.
La protection des données
La sécurité physique est tout aussi importante que les questions liées aux logiciels ou aux réseaux. Un ordinateur portable volé, ou laissé dans un taxi ou un restaurant, peut entraîner un risque important de perte de données. Pour une entreprise ou une agence gouvernementale, l'impact peut être désastreux, et les conséquences sont encore pires dans les secteurs réglementés ou lorsque les lois sur la violation des données exigent une divulgation publique.
Sur Windows 10, la plus importante modification de configuration qu'il est possible d'apporter est l'activation du cryptage du périphérique BitLocker (BitLocker est le nom de la marque que Microsoft utilise pour les outils de cryptage, disponibles dans les éditions professionnelles de Windows).
Lorsque BitLocker est activé, chaque bit de données sur l'appareil est crypté à l'aide de la norme XTS-AES. En utilisant les paramètres de la politique de groupe ou les outils de gestion de l'appareil, il est possible d'augmenter la puissance de cryptage de son paramètre par défaut, de 128 bits à 256 bits.
L'activation de BitLocker nécessite un dispositif comprenant une puce "Trusted Platform Module", ou TPM (tous les PC professionnels fabriqués au cours des six dernières années devraient être éligibles). En outre, BitLocker nécessite une édition professionnelle de Windows 10 (Pro, Entreprise ou Education) ; l'édition familiale prend en charge le cryptage des périphériques, mais uniquement avec un compte Microsoft, et elle ne permet pas de gérer un périphérique BitLocker.
Pour une gestion complète, il faudra également configurer BitLocker en utilisant un compte Active Directory sur un domaine Windows ou un compte Azure Active Directory. Dans les deux configurations, la clé de récupération est enregistrée dans un emplacement accessible à l'administrateur du domaine ou de l'AAD.
Sur un appareil non géré fonctionnant sous une édition professionnelle de Windows 10, il est possible d'utiliser un compte local, mais il faudra alors utiliser les outils de gestion BitLocker pour activer le cryptage sur les lecteurs disponibles.
Surtout, il ne faut pas oublier de crypter les appareils de stockage portables. Les clés USB, les cartes MicroSD et les disques durs portables, pratiques pour étendre le stockage et transporter des données, se perdent en effet facilement. Mais les données peuvent être protégées des regards indiscrets grâce à l'utilisation de "BitLocker To Go", qui exige un mot de passe pour décrypter le contenu du lecteur.
Dans les grandes organisations qui utilisent Azure Active Directory, il est également possible de protéger le contenu des fichiers stockés et des messages électroniques en utilisant les services Azure Information Protection et Azure Rights Management. Cette combinaison permet aux administrateurs de classer et de restreindre l'accès aux documents créés dans Office et d'autres applications, indépendamment de leur statut de cryptage local.
Le blocage du code malveillant
Le monde étant de plus en plus connecté, et les cyberattaquants de plus en plus sophistiqués, le rôle des logiciels antivirus traditionnels a changé. Alors qu'ils étaient auparavant le principal outil pour bloquer le code malveillant, ils ne sont plus aujourd'hui qu'une couche supplémentaire dans une stratégie défensive.
Chaque installation de Windows 10 comprend un antivirus intégré, le logiciel anti-malware Windows Defender, qui se met à jour en utilisant le même mécanisme que Windows Update. Il est conçu pour être "installé et oublié", et il ne nécessite aucune configuration manuelle. Si vous installez un progiciel de sécurité tiers, Windows désactive la protection intégrée et permet à ce logiciel de détecter et de supprimer les menaces potentielles.
Les grandes organisations qui utilisent une édition Windows Entreprise peuvent déployer "Microsoft Defender – Protection avancée contre les menaces" (ATP), une plateforme de sécurité qui surveille les points d'extrémité tels que les PC Windows 10 à l'aide de capteurs comportementaux. Grâce à des analyses basées sur le Cloud, Microsoft Defender ATP peut identifier les comportements suspects et alerter les administrateurs des menaces potentielles.
Pour les petites entreprises, le défi le plus important est d'empêcher le code malveillant d'atteindre un PC en premier lieu. La technologie SmartScreen de Microsoft est une autre fonction intégrée qui analyse les téléchargements et bloque l'exécution de ceux qui sont connus pour être malveillants. Elle bloque également les programmes non reconnus, mais permet à l'utilisateur d'annuler ces paramètres si nécessaire. Il convient de noter que SmartScreen sous Windows 10 fonctionne indépendamment des technologies basées sur les navigateurs telles que le service "Safe Browsing" de Google et le service "SmartScreen Filter" de Microsoft Edge.
Sur les PC non gérés, SmartScreen est une fonctionnalité qui ne nécessite pas non plus de configuration manuelle. Vous pouvez ajuster sa configuration en vous rendant dans l'application "Contrôle des applications et du navigateur" dans l'application Sécurité Windows.
Le code malveillant vient aussi souvent du courrier électronique, qui peut contenir des pièces jointes en apparence inoffensives ou des liens vers des sites web malveillants, qui peuvent entraîner une infection. Il est vrai que les fournisseurs de services de messagerie offrent déjà une certaine protection à cet égard, mais bloquer ces menaces au niveau du serveur reste le moyen le plus efficace d'éviter une attaque contre un appareil.
Pour empêcher un utilisateur d'exécuter des programmes indésirables, il est possible de configurer le PC pour qu'il n'exécute aucune application, sauf celles autorisées spécifiquement. Pour configurer cette option, il faut aller dans Paramètres > Applications > Applications et fonctionnalités et sélectionner "Autoriser les applications du store uniquement". Ce paramètre permet d'exécuter les applications précédemment installées, mais empêche l'installation de tout programme téléchargé depuis l'extérieur du Microsoft Store.
Les administrateurs peuvent configurer ce paramètre sur un réseau en utilisant la politique de groupe : Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Windows Defender SmartScreen > Explorateur > Configurer le contrôle d'installation de l'application.
L'approche la plus extrême pour verrouiller un PC Windows 10 consiste à utiliser la fonction d'accès assigné pour configurer le dispositif de manière à ce qu'il ne puisse exécuter qu'une seule application. Si vous choisissez Microsoft Edge comme application, vous pouvez configurer l'appareil pour qu'il fonctionne en mode plein écran verrouillé sur un seul site ou comme un navigateur public avec un ensemble limité de fonctionnalités. Pour configurer cette fonction, il faut aller dans Paramètres > Famille et autres utilisateurs puis cliquer sur "Accès assigné" (sur un PC connecté à un compte professionnel, cette option se trouve sous Paramètres > Autres utilisateurs).
La mise en réseau
Toutes les versions de Windows de ces 15 dernières années ont inclus un pare-feu à inspection permanente. Sur Windows 10, ce pare-feu est activé par défaut et n'a pas besoin d'être modifié pour être efficace. Comme ses prédécesseurs, le pare-feu de Windows 10 prend en charge trois configurations réseau différentes : réseau avec domaine, réseau privé et réseau public. Les applications qui ont besoin d'accéder aux ressources du réseau peuvent généralement se configurer elles-mêmes dans le cadre de la configuration initiale.
Pour ajuster les paramètres de base du pare-feu Windows, il faut utiliser l'onglet "Pare-feu et protection du réseau" dans l'application Sécurité Windows. Pour un ensemble d'outils de configuration beaucoup plus complet, réservé aux experts, il faudra aller dans les paramètres avancés pour ouvrir l'ancienne console "Pare-feu Windows Defender avec fonctions avancées de sécurité". Sur les réseaux gérés, ces paramètres peuvent être contrôlés par une combinaison de paramètres de stratégie de groupe et de paramètres côté serveur.
Du point de vue de la sécurité, les plus grandes menaces réseau pour un PC Windows 10 surviennent lors de la connexion à des réseaux sans fil. Les grandes organisations peuvent améliorer considérablement la sécurité des connexions sans fil en ajoutant la prise en charge de la norme 802.1x, qui utilise des contrôles d'accès au lieu de mots de passe partagés comme dans les réseaux sans fil WPA2. Windows 10 demandera un nom d'utilisateur et un mot de passe lors de la tentative de connexion à ce type de réseau et rejettera les connexions non autorisées.
Sur les réseaux Windows basés sur le domaine, il est possible d'utiliser la fonction native DirectAccess pour permettre un accès à distance sécurisé.
S'il est nécessaire de se connecter à un réseau sans fil non fiable, la meilleure solution est de mettre en place un réseau privé virtuel (VPN). Windows 10 prend en charge la plupart des packs VPN utilisés sur les réseaux d'entreprise. Pour configurer ce type de connexion, allez dans Paramètres > Réseau et Internet > VPN. Les petites entreprises et les particuliers peuvent choisir parmi une variété de services VPN tiers compatibles avec Windows.