Sécuriser le travail à distance, le défi des administrateurs réseau

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 08 juin 2020 à 10h03
ordinateur-portable-photo-bureau.png
Cet article est sponsorisé par Microsoft et LDLC.pro. Consultez notre charte de transparence pour en savoir plus.

La crise de coronavirus, qui a poussé près d'un travailleur sur quatre vers le télétravail, a eu pour conséquence de bousculer les habitudes au sein des entreprises informatisées. Un challenge pour les administrateurs réseau !

Au sein d'une entreprise, l'administrateur réseau est un peu le papa poule des dirigeants et salariés. Outre ses compétences informatiques, il doit faire preuve de calme, de pédagogie et doit savoir prendre les choses en main, car faire tourner tout un parc d'ordinateurs s'avère souvent très prenant. L'administrateur réseau, en ces temps de crise sanitaire, n'a pas vraiment (eu) l'occasion de se reposer. Il fait partie des actifs (1 sur 4 selon un sondage Odoxa-Adviso Partners du 9 avril 2020) qui, pendant le confinement, étaient à pied d'œuvre pour sécuriser le travail... à distance cette fois. Et cela pose bien des défis.

Avec la participation de Hadi El Khoury, consultant en cybersécurité, et d'Elie Zeidan, CTIO, deux experts issus de la société Potech Consulting, nous allons tenter d'expliquer comment l'administrateur réseau est en train de réinventer son métier, en relevant les défis de la sécurisation à distance dans un univers dominé par un système d'exploitation, Windows 10 Pro, qui peu à peu fait entrer son aîné, Windows 7, dans la postérité?

Admin reseau

Les missions de l'administrateur réseau

Un administrateur a pour principales tâches d'assurer la performance, le fonctionnement et la maintenance de l'échange des données, de l'infrastructure réseau d'une entreprise. C'est à lui qu'incombe la double tâche de traiter les incidents qui lui sont remontés et de trouver les solutions. « Si le serveur ne fonctionne pas, si les fichiers ne s'ouvrent pas, si la messagerie professionnelle tombe en panne, c'est l'administrateur réseau qui doit résoudre ces problèmes », explique Elie Zeidan.

La gestion des mots de passe, les pannes, les sauvegardes de fichiers et l'installation des logiciels font partie de son quotidien. Mais peu à peu, la mission globale de l'administrateur réseau s'élargit de tâches nouvelles. Le cloud en est un exemple. « Il revient à l'administrateur de créer, sur le cloud, des comptes de messagerie électronique ou de visioconférence comme Zoom, Skype ou Microsoft Teams », encore peu ou pas utilisées il y a quelques mois pour certaines.

Mot de passe

Pour Hadi El Khoury, « Les frontières ne sont plus clairement délimitées entre administrateur réseau, administrateur système et administrateur des applications. L'administrateur réseau est tout le temps sollicité ». En effet, les salariés d'une entreprise ont souvent besoin de ses services : « Ils ont besoin d'interagir et sont demandeurs de paramétrages techniques comme la mise en place d'un firewall, ou le blocage de certains flux de données », développe l'expert.

Dans la logique du télétravail et d'accès distant, qui s'impose plus que jamais, l'administrateur réseau est encore plus sollicité, « par exemple pour corriger des bugs ou accorder un accès temporaire à un service, en prenant bien soin de le fermer une fois qu'il n'est plus utilisé. Mises bout à bout, toutes ces demandes représentant beaucoup de manipulations, qu'il faut « assainir » et standardiser pour que tout ce travail soit bien maîtrisé. Bref, c'est une mission très lourde ».

Salle serveur

Quels risques lors de la sécurisation d'un parc informatique à distance ?

De plus en plus de pays et d'entreprises déploient et adoptent le télétravail. Mais toutes ne sont pas logées à la même enseigne, et c'est là que les difficultés de sécuriser des postes à distance surviennent, comme l'explique Hadi El Khoury. « Certaines entreprises avaient déjà mis en place le télétravail avant la crise du coronavirus. Elles disposaient déjà d'infrastructures pour établir un VPN depuis le domicile des salariés, par exemple, afin que celui-ci puisse se connecter au réseau de l'entreprise. Idem pour les authentifications fortes : il y a un certain nombre de sociétés qui étaient déjà parées pour permettre à leurs collaborateurs de se connecter au système d'information de l'entreprise comme s'ils s'y trouvaient physiquement ». Ces sociétés-là n'ont eu qu'à supporter la montée en charge et à tenir le choc.

À côtés des bons élèves, il y a les mauvais, « les entreprises qui n'avaient pas anticipé la possibilité du télétravail, ni en termes de technologie, ni en termes d'authentification ». Beaucoup n'arrivent pas à gérer la distinction entre l'ordinateur professionnel et l'ordinateur personnel, utilisé pour ses loisirs. Un défi de taille pour les entreprises.

L'utilisation de certaines messageries depuis son PC et d'outils de coopération comme Slack, Microsoft Teams ou Skype, utilisés en abondance, peut aussi provoquer l'ouverture d'une brèche sécuritaire. « Au niveau réseau, on accède au poste privé via une connexion au routeur du domicile, sauf si on dispose d'un VPN », décrit Elie Zeidan. « Auparavant, l'administrateur devait sécuriser le portail, gérer le VPN, le pare-feu. Mais aujourd'hui il lui faut penser à contrôler, à distance, le routeur domestique d'un salarié qui va peut-être solliciter ce dernier pour son smartphone ou sa console de jeu - en n'oubliant pas les réseaux sociaux, que l'on va consulter depuis n'importe quel poste ou appareil ».

VPN

Sans préparation préalable, les risques se multiplient avec la distance. « La surface d'attaque explose littéralement, car chez soi la vigilance n'est pas la même que derrière son poste au bureau. Il faut être en mesure de différencier un trafic légitime d'un trafic illégitime au niveau des passerelles d'interconnexion et des pare-feu », explique Hadi El Khoury.

En théorie, un poste distant autorisé à se connecter par VPN voit sa sortie internet assujettie au VPN. Mais certaines entreprises n'ont pas pris cette précaution et permettent au poste une sortie internet par ADSL, depuis le domicile. « Un même poste, qui contient les mêmes données sensibles, peut donc avoir deux canaux possibles », déplore le consultant en cybersécurité. « Et il existe même un troisième canal, le plus dangereux, qui est celui où on établit un VPN pour se connecter à son entreprise, mais qui en cas de ralentissement pour des raisons de débits, pousse le salarié à utiliser la 4G de son smartphone ». Ce qui expose l'ordinateur, puis par répercussion, l'entreprise. L'administrateur réseau est concerné, mais aussi l'administrateur système, qui doit pouvoir tracer, au niveau des journaux d'événements de Windows 10 Pro, toutes les connexions et ainsi lever une alerte quand un tel événement se produit.

Windows 10 Pro : coup d'œil sur les performances

Les réponses d'Arnaud, ingénieur avant-vente chez LDLC Pro

Windows 10 Pro intègre un client VPN natif qui permet, la plupart du temps, de ne pas avoir de client VPN à déployer par la DSI. Côté performances, on peut aussi s'attarder sur le choix de système de messagerie : un webmail aura pour conséquence la réduction de la bande passante nécessaire, car il n'y aura pas de téléchargement automatique des mails en permanence ; en revanche, un client dit « lourd » permettra de travailler plus facilement sans connexion, les mails étant gardés en cache en local.

Pour moi, le véritable avantage de Windows 10 Pro, pour une DSI qui gère des télétravailleurs, est son intégration avec Microsoft 365. Cette intégration permet plusieurs choses :
  • D'abord le déploiement à distance via Windows Autopilot, car le déploiement est automatique (profil utilisateur, logiciels métiers, configuration des boites mails...). Le salarié n'a pas besoin de retourner au siège de sa société pour configurer son PC.
  • La protection des données : même si mon salarié n'est pas dans ma société (ni connecté via son VPN), toutes les informations et tous les fichiers internes à l'entreprise sont sécurisés. Mon salarié ne peut pas faire ce qu'il veut des fichiers. Je peux bloquer le transfert ou l'impression des documents...

Windows 10
Thannaree Deepul / Shutterstock.com

Windows 10 Pro : l'outil idéal pour un administrateur réseau et les salariés ?

Dans le cas où une entreprise ne met pas en place des contrôles en amont avec un poste déjà connecté au domicile, il est compliqué de les appliquer à distance, car cela entraîne des bugs et problèmes de connexion. Mais pour un parc tournant sous Windows 10 Pro, la situation n'est pas irrémédiable. « Peut-on appliquer tous ces contrôles avec Windows 10 Pro ? Je vous réponds oui », explique Elie Zeidan.

Concernant la sécurité, il existe plusieurs fonctionnalités pouvant être sollicitées et appliquées contre les virus ou autres attaques. Windows 10 Pro bénéficie d'un antivirus maison, Windows Defender, qui protège le poste en temps réel (sans avoir à l'installer, puisque natif) contre les menaces et les attaques, qu'elles interviennent dans les applications, dans les courriers électroniques ou sur Internet.

Windows Defender

« Il est aussi efficace qu'un antivirus commercial, utile au niveau des messages électroniques, concernant le trafic réseau illicite, le filtrage mail, etc. Il intervient également efficacement, en fonction de la permission donnée ou pas à l'utilisateur, lors du téléchargement, de l'installation ou du lancement d'un programme ou logiciel. Il vérifie aussi les fichiers. Cela fait partie des qualités de Windows 10 Pro, qui propose un niveau de détail de protection très poussé, qui peut aller jusqu'au chiffrement des disques », indique Elie Zeidan.

Windows 10 Pro ne se substitue pas tout de même aux efforts qu'une entreprise et son administrateur réseau doivent fournir. Pour Hadi El Khoury, « le défi se situe au niveau des fonctions support. Il faut mettre à disposition du télétravailleur le matériel, et que ce matériel soit enrôlé dans le système d'orchestration de la sécurité. Il faut avoir suffisamment de personnel pour sécuriser et configurer ces postes destinés au télétravail. Le télétravailleur qui rencontre des problèmes divers et variés va forcément contacter le support, l'administrateur réseau. Il faut que derrière, les ressources humaines suivent pour pouvoir assumer toutes les sollicitations ». Certaines entreprises ont par exemple mis à contribution une partie de leur personnel spécialisé en cybersécurité pour épauler le support de niveau 1, de proximité.

Microsoft Windowd Pro
Friemann / Shutterstock.com

Quel intérêt de basculer de Windows 7 à Windows 10 Pro ?

L'utilisation de Windows 7 par l'utilisateur lambda paraît très risquée aujourd'hui. Elle l'est encore plus par le salarié d'une entreprise qui sera davantage exposée aux risques cyber comme les rançongiciels. « Avec Windows 7, la probabilité que le virus passe plus facilement que sur Windows 10 Pro est évidemment beaucoup plus importante : il n'y a plus de support sur Windows 7, donc plus de mise à jour, et de nombreuses vulnérabilités demeurent. Alors que Windows 10 Pro bénéficie de mises à jour régulières qui lui permettent de faire face aux éventuelles failles », analyse Elie Ziedan. Il cite également la Windows Sandbox, disponible de façon native sur Windows 10 Pro, et qui lors de son utilisation « va démarrer le fichier malveillant dans une boîte fermée, ce qui protège l'ordinateur, alors que sur Windows 7 on a besoin d'un outil tiers pour démarrer ces malwares ».

Lorsqu'on se demande pourquoi aujourd'hui Windows 10 Pro (et Windows 7 auparavant) est plus utilisé que des systèmes d'exploitation comme Ubuntu, iOS ou Mac OS, la réponse tient au fondement même de Microsoft et à son aura auprès du monde professionnel. Dès les années 90, la firme de Redmond proposait déjà des solutions au niveau entreprise, et cela lui a permis de développer de nombreux outils. Elie Ziedan pense à « la gestion et la visibilité totales de tout ce qui se passe sur nos postes, notamment via l'ATA (Microsoft Advanced Threat Analytics), qui protège les entreprises en analysant des événements tels que les cyberattaques et les menaces internes importantes. Grâce à ces outils, il est plus facile de gérer un parc informatique sous Windows qu'avec les autres OS ».

Windows 10 Pro : et la productivité dans tout ça ?

Les réponses d'Arnaud, ingénieur avant-vente chez LDLC Pro

Plusieurs éléments sont à prendre en considération. OneDrive est par exemple directement intégré à Windows 10 Pro, même sans abonnement Office 365, ce qui permet de synchroniser et partager des fichiers. L'assistante personnelle Cortana et la fonction de recherche Bing peuvent avoir leur utilité. Il existe bien d'autres outils qui aident à favoriser la productivité, comme l'espace de travail Windows Ink pour la prise de note au stylet, ou l'application Votre téléphone qui permet de faire communiquer son téléphone (surtout Android) avec son PC ou Continue on PC sur iOS (bien plus limitée cependant).

Timeline fournit un historique de l'activité et peut se synchroniser sur plusieurs PC. Puisque nous parlons d'historique, celui du presse papier (que l'on peut afficher avec les touches Windows + V) peut franchement dépanner. Sans oublier la légendaire calculatrice qui intègre nativement un outil de conversion (devises, volumes, longueurs etc.).

Microsoft Office 2019

Windows 10 Pro ne passe pas au-dessus de la mêlée grâce à une ou deux fonctionnalités ou outils révolutionnaires. C'est surtout l'harmonisation entre une multitude d'outils et fonctionnalités qui fait de Windows 10 Pro un OS complet et parfaitement adapté au déploiement dans un environnement professionnel local ou distant. Pour Hadi El Khoury, « Windows 10 Pro, et Microsoft dans son ensemble, jouit d'une homogénéité technologique, et c'est un véritable atout au niveau sécuritaire. Parfois, cela peut paraître comme une vulnérabilité, puisqu'on dépend d'un seul éditeur. Mais dans le cas de Microsoft, cette homogénéité permet de mieux gérer les correctifs et de maintenir le système. Lorsqu'on est dans une entreprise qui tourne sous Windows 10 Pro et qui utilise par exemple Office 365 pour la bureautique et Microsoft Teams pour la vidéoconférence, il y a une gestion des authentifications et de la traçabilité des événements qui est grandement facilitée ».

La pédagogie, ingrédient miracle de l'admin réseau

Pour l'administrateur réseau, la clé demeure encore la pédagogie. « Il faut en user en temps de paix, et encore plus en temps de guerre », pour reprendre l'expression du président de la République Emmanuel Macron, qui évoquait « une guerre » contre le coronavirus au début du confinement.

« Beaucoup de travailleurs signent des chartes d'utilisation des moyens numériques d'une entreprise alors qu'ils n'en comprennent pas le quart des éléments, juste parce qu'ils n'osent pas dire qu'ils ne comprennent pas », regrette Hadi El Khoury. « Tout le monde n'est pas à l'aise avec un VPN ni une API, surtout les télétravailleurs qui œuvrent à distance pour la première fois ».

C'est donc par la prise en main d'un OS solide régulièrement mis à jour, l'explication et la reconnaissance d'un défaut de compétence initial que pourra être préservée, à terme, l'efficacité opérationnelle d'une entreprise devant s'adonner aux joies du télétravail.
Alexandre Boero
Journaliste-reporter, responsable de l'actu
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (2)
tiderce

Il y a aussi le vpn purement Microsoft : Always On VPN device tunnel ou user.

Matrix-7000

Les entreprises qui utilisent le système VPN intégré dans Windows, ne doivent pas être légion. En plus de 20 années de consultance et en interne, j’ai rarement vu l’utilisation du système VPN de Microsoft. Le PPTP à depuis longtemps été décrié pour ses faiblesses, quand au SSTP, c’est un un protocole propriétaire de chez Microsoft. Aujourd’hui, de nombreuses entreprises, utilisent le VPN propriétaire de leur parefeu (cisco, juniper, etc) ou le protocole OpenVPN, qui est certes plus difficile à mettre en place, mais qui se montre très stable et performant, surtout lorsqu’il est utilisé en UDP et qui peut-être configuré sur n’importe quel port, comme le 443. Le nouveau WireGuard semble prometteur, du moins, pour une utilisation en entreprise. Beaucoup lui reproche tout les logs qu’il génère.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles