Utilisateurs & VDI : Un cocktail gagnant face aux cybermenaces ?

La flexibilité de son architecture, couplée à sa technologie de déport d’affichage et sa gestion centralisée, permet à l’infrastructure de bureau virtuel (VDI) de bénéficier de moyens de protections avancées, capables de minimiser la surface de menace. Elle est donc essentielle pour limiter les vulnérabilités de sécurité des postes de travail virtuels, car ils peuvent eux aussi être confrontés à des menaces similaires à celles que l'on retrouve sur des postes physiques. Mais la délocalisation des applications, du traitement et du stockage des données vers des Datacenters sécurisés, réduit implicitement le risque de fuite et de perte de données. Si un poste de travail venait à être volé, perdu ou compromis, les informations sensibles resteraient protégées car elles ne sont pas présente localement sur le poste, mais stockées dans un espace externe centralisé.

Le VDI s’adapte donc parfaitement à la protection des environnements utilisateurs sensibles. Je parle ici d’environnement sensibles, pas d’utilisateurs sensibles, tels que les administrateurs ou les utilisateurs à privilège. Dans des contextes de type PAM (Privileged Access Management), adaptés à ces populations sensibles, les postes virtuels ne doivent servir, dixit l'ANSSI, que de rebonds permettant d'accéder, à partir d'un poste d'administration physique, aux ressources d'un autre réseau, type Système d'Information bureautique par exemple. Ce critère d’usage très spécifique, mais plutôt restrictif, est décrit dans le document ANSSI-PA-022 au paragraphe 4.2.3 « Un poste d'administration avec accès distant au SI bureautique » (recommandation R9 - -). Mais dans la « vraie vie », si j'ose m'exprimer ainsi, ils servent également de postes virtuels d'administration... 

Dans tous les cas, il reste un atout stratégique dans tout cadre de cybersécurité et offre de multiples avantages :

• Uniformatisation de l’ensemble des postes de travail par rapport :
  • Aux politiques de sécurité
  • A la conformité des configurations, des règles de sécurité, des mises à jour de correctifs, etc…
• Isolation des bureaux virtuels :
  • Cloisonnement des bureaux pour faciliter la gestion des menaces
  • Propagation latérale de virus minimisée par isolation des bureaux
  • Rollback des bureaux infectés pour un retour à la normale.
• Surface d'attaque réduite :
  • Aucune donnée n'est stockée localement sur les postes utilisateurs. La vulnérabilité aux menaces est minimisée.
  • Possibilité d’utiliser des clients légers et/ou zéro. Les OS sont limités.
• Contrôle des accès :
  • Intégration aux services d'annuaire pour un contrôle fin des accès
  • Attribution et escalade des privilèges d'accès pour minimiser le risque de menaces internes.
• Surveillance et enregistrement des activités à partir d'un emplacement central :
  • Visibilité améliorée sur l’ensemble des bureaux virtuels
  • Détections et réponses aux anomalies/intrusions simplifiées.
• Audit et conformité :
  • Gestion simplifiée des pistes d'audit pour assurer leur conformité aux exigences réglementaires
  • Surveillance de l'activité des utilisateurs via les outils centralisés de journalisation pour faciliter les audits et les enquêtes de conformité
  • Visibilité sur les actions des utilisateurs pour permettre aux organisations de démontrer leur conformité aux réglementations en matière de protection des données et aux politiques de sécurité interne
• Etc...

Le VDI est donc une solution essentielle en matière de cybersécurité car sa technologie renforce non seulement la sécurité et la conformité des données, mais elle favorise aussi un environnement de travail flexible qui répond aux besoins des organisations modernes. La centralisation des applications et des données réduit les risques associés aux postes de travail physiques traditionnels, ce qui la rend particulièrement avantageuse pour les secteurs qui manipulent des informations sensibles, comme la finance, la santé ou encore l'éducation (leurs données sont très lucratives sur le marché noir).

Malgré ses nombreux avantages et bénéfices en matière de sécurité, le VDI porte aussi son « petit » lot de désagrément. En effet, gérer l'environnement utilisateur à partir d'une infrastructure de bureau virtuel comporte certains risques au niveau vulnérabilités. Il est donc important de les connaitre et d'en tenir compte dès sa conception et sa mise en œuvre. La liste ci-dessous est loin d’être exhaustive, mais elle permet d’avoir un premier aperçu des « pièges » à éviter.

Risques à connaitre dans un environnement VDI :

• Aspect architectural de l’infrastructure :
  • Pour permettre aux utilisateurs d’accéder à leurs postes de travail, ils ont l’obligation de passer par un chemin central, appelé courtier de connexion ou encore « Broker » de connexion. Si ce Broker venait à être corrompu, suite à une cyberattaque, c’est l'ensemble des utilisateurs de la solution VDI qui pourraient être privés de postes de travail et donc dans l’incapacité de travailler.
• Modèle d’accès à l'infrastructure :
  • Le modèle d’accès à l'infrastructure de bureau virtuel est majoritairement conçu pour fonctionner à partir d’accès distants. Il accroit fort malheureusement les possibilités de cyberattaques par hameçonnage (phishing) et par « credential stuffing ».
• Ressources matérielles limitées :
  • Du fait de la délocalisation des traitements et du stockage des données, les ressources matérielles des VDI sont souvent limitées et insuffisantes pour permettre l’implémentation de certaines solutions de sécurité (Antivirus, EDR, XDR, ...), ce qui peut exposer les postes virtuels des utilisateurs à des risques de compromission.
• Postes d’accès aux VDI mal sécurisés :
  • Pour éviter qu’ils n’infectent et exposent l’environnement VDI à des logiciels malveillants ou à des violations de sécurité, il est primordial de sécuriser dans les règles de l’art, les postes physiques d’accès à l’infrastructure de bureau virtuel. L’utilisation de clients légers et/ou zéro peut être un moyen de limiter les contaminations.
• Violations de données :
  • Il est important de vérifier régulièrement les configurations de l’environnement pour s’assurer qu’elles sont correctes et d’appliquer les contrôles nécessaires pour éviter qu’ils n’entrainent un accès non autorisé aux données.
• Comportement des utilisateurs :
  • La technologie VDI n’est pas capable à elle seule de prévenir des attaques d'ingénierie sociale ou encore d’une mauvaise hygiène concernant la gestion des mots de passe. Pour autant, les utilisateurs ne sont généralement pas associés à une menace imminente, et pourtant, ils peuvent intentionnellement ou non, compromettre des éléments de l'environnement. Il est donc important de les former aux risques cyber et en parallèle, implémenter une solution tiers d'authentification multi-facteurs (MFA) pour protéger leurs accès à la l'infrastructure de bureau virtuel.
• Logiciel et systèmes obsolètes :
  • Il est important de tenir à jour son logiciel VDI et les systèmes d’exploitation liés à l’environnement, pour éviter qu’ils ne soient trop vulnérables aux failles connues ou inconnues.

Maintenant que les risques sont définis, il est important d’apporter quelques éléments de réponses pour les éviter, en tout cas pour les minimiser car la sécurité de l'infrastructure de bureau virtuel est-elle plus qu’essentielle. La liste ci-dessous n’est pas non plus exhaustive, mais elle permet d’appliquer les premières mesures pour limiter les risques liés à l'infrastructure de bureau virtuel et bénéficier de ses apports en termes de cybersécurité.

Les actions à mener pour limiter les risques :

• Durcir l’infrastructure sous-jacente au VDI pour éviter les corruptions des hyperviseurs, du réseau (segmentation) ou encore du stockage.
• Limiter les autorisations applicatives et des utilisateurs à l'aide de politiques d'accès basées sur les rôles
• Surveiller les menaces et planifier des analyses à l'aide d'outils automatisés pour identifier et corriger les vulnérabilités.
• Isoler les systèmes sensibles et segmenter vos réseaux pour contenir les menaces et améliorer la surveillance.
• Mettre en place une solution d’accès basée sur un modèle Zero Trust (ZTNA), qui offre des tunnels sécurisés et cryptés (SSL) et qui renforce l’authentification des identifiants (MFA). La plateforme SaaS Zero Trust cyberelement.io répond à ce besoin par exemple.
• Affecter la puissance nécessaire (ressources matérielles) à vos postes de travail virtuels. Même si l’impact n’est pas neutre en termes de budget rapport aux nombre d'hôtes hyperviseurs à déployer, la sécurité a malheureusement un coût.
• Sécuriser et protéger les postes physiques d’accès à l’environnement VDI avec des solutions tiers de détection en temps réel de logiciels malveillants. Favoriser, si possible, l'utilisation de clients légers et/ou clients zéro. Le constructeur IGEL Technology propose une belle alternative que vous pouvez retrouver sur ce lien.
• Former les utilisateurs aux risques cyber
• Maintenir à jour les éléments actifs (logiciels/systèmes) de la plateforme VDI 
• Vérifier régulièrement les configurations de l’environnement et appliquer les contrôles nécessaires pour s’assurer du bon fonctionnement de l’environnement VDI.
• Mettre en place des alertes automatisées, des protocoles clairs et des plans de récupération pour répondre rapidement à un incident.
• Sauvegarder de manière automatique vos données et stocker les en toute sécurité et tester vos plans de récupération.

Dans les actions à mener ci-dessus, je dis qu'il faut durcir l'infrastructure sous-jacente. Les plateformes de virtualisation (hyperviseurs) qui hébergent les VDI sont effectivement des cibles de choix pour les cyberattaquants. Elles leur permettent d’avoir accès plus rapidement et de manière généralisée aux données et applications qu’elles hébergent. Pour réduire les risques et les conséquences d’une compromission d’un système d'information virtualisé, et notamment de l'environnement VDI, l'ANSSI préconise de suivre un certain nombre de bonnes pratiques disponibles au travers de ce lien. Ne dit-on pas : Mieux vaut prévenir que guérir…

Comme le paysage numérique ne cesse d'évoluer, l’avenir de l’infrastructure de bureau virtuel (VDI) et de la cybersécurité sera obligatoirement façonné par les technologies émergentes et l’évolution des besoins des organisations. Et pour permettre aux organisations de réagir rapidement aux menaces potentielles, l'intelligence artificielle (IA) et le machine learning (ML) vont très certainement automatiser les détections/réponses à ces dites menaces.

Tout ceci devrait considérablement améliorer les environnements VDI et la cybersécurité :

• Optimisation de l'allocation des ressources au sein des environnements VDI
• Personnalisation de l'expérience utilisateur,
• Surveillance en temps réel des potentielles vulnérabilités
• Renfort de la sécurité
• Amélioration de la satisfaction globale des utilisateurs
• Etc...

Les solutions VDI s'intégreront probablement plus étroitement aux plateformes Cloud pour permettre aux entreprises de tirer parti de l'évolutivité du Cloud tout en maintenant des contrôles de sécurité rigoureux. Elles évolueront avec de nouvelles fonctionnalités de sécurité, telles que la détection avancée des menaces et les architectures basées sur un modèle Zero Trust.

En guise de synthèse, je dirai que la sécurisation d'un environnement VDI offre des avantages évidents. Les résultats, illustrés dans le tableau ci-dessous, montrent à quel point la sécurité VDI renforce non seulement la protection, mais qu'en plus, elle favorise le bon fonctionnement de toute organisation qui l'utilise.

Il est donc temps de s'intéresser de près à cette technologie pour optimiser la protection de votre environnement utilisateurs. Et cerise sur le gâteau, l'éditeur Systancia propose une solution souveraine qui répond parfaitement à ce cocktail gagnant. Alors pourquoi faudrait-il aller chercher outre-Manche ce que nous avons d'équivalent à la maison... La solution Virtual Desktop Workplace en est l'exemple parfait.