Comment gérer et sécuriser les PC de milliers de télétravailleurs
Dans l’urgence, les entreprises ont dû organiser le télétravail de milliers de leurs collaborateurs, achetant parfois des PC portables ou demandant aux collaborateurs d’utiliser leurs terminaux personnels. Une mesure d’urgence qui nécessite d’apporter du support à ces postes inconnus et, dans la mesure du possible, les sécuriser.
L’annonce des mesures de confinement par le gouvernement s’est immédiatement traduite par l’envol des ventes de PC et de tablette auprès de toutes les enseignes qui ont maintenu leur service de livraisons à domicile. Beaucoup de familles ont dû s’équiper pour que les enfants puissent suivre leurs cours via Internet, mais beaucoup de collaborateurs ont fait de même alors que leur entreprise ne pouvait leur fournir un PC portable à temps.
« Cette pandémie fait apparaître de nouveaux besoins dans les entreprises. »
Abdel El BachtanyIvanti
Ce recours massif au télétravail sur des équipements pas toujours contrôlés par les entreprises, pose un évident problème de sécurité comme l’explique Abdel El Bachtany, responsable avant-vente d’Ivanti, éditeur « historique » de la gestion de parc : « cette pandémie fait apparaître de nouveaux besoins dans les entreprises. Nous leur proposions jusqu’à présent des solutions pour gérer les endpoints, qu’ils soient rattachés directement au réseau de l’entreprise ou les terminaux des utilisateurs nomades. On assiste aujourd’hui à un fort accroissement du nombre de collaborateurs souhaitant accéder au système d’information depuis l’extérieur avec des problématiques de performance des VPN ».
À ces entreprises, Ivanti propose son offre EPM Endpoint Manager, une offre qui nécessite le déploiement d’un agent logiciel sur chaque PC, ce que la DSI va devoir faire accepter à tous les collaborateurs souhaitant disposer d’un accès : « notre technologie CSA permet alors de créer un pont entre la DMZ de l’entreprise et les utilisateurs connectés. Cela permet à l’entreprise de déployer des applications, patcher le poste et faire de la prise en main à distance pour faire de l’assistance ».
L’approche peut paraître quelque peu intrusive pour le collaborateur qui veut utiliser son PC domestique pour travailler pendant la période de confinement. Pour ceux-ci, la solution Ivanti Cloud semble plus adaptée pour gérer le niveau de sécurité de ces postes distants, car celle-ci va détecter les failles de sécurité sur le poste du collaborateur distant en temps réel et éventuellement patcher la machine pour qu’elle ne vienne pas contaminer le système d’information via le VPN.
Une solution ITSM classique telle que ServiceNow propose des fonctions de prise de main à distance via divers outils intégrés à la plateforme et accessibles via le Store de l’éditeur. La contrainte de cette approche est que chaque terminal doit être dûment enregistré dans le référentiel de données ITAM (IT Asset Management). Il faut avoir parcouru le workflow d’enregistrement obligatoire pour chaque poste client, une procédure très structurée plutôt lourde et inadaptée alors qu’il faut gérer les PC domestiques de centaines de collaborateurs.
Une pléthore d’outils de prise de contrôle à distance
Outre l’outil de prise de contrôle pour Windows 10 fourni par Microsoft, il existe de multiples solutions pour permettre à l’assistance technique de prendre la main sur un poste et le dépanner. GotoMyPC, TeamViewer, Wrike, RemotePC sont sans doute les plus connus sur un marché pléthorique où les éditeurs cherchent à se différencier, notamment en intégrant des fonctionnalités de sécurité plus ou moins complémentaires de ce qu’apportent déjà les solutions de protection endpoint.
Bien connu pour ses solutions de prise à main à distance, Bomgar, aujourd’hui éditeur majeur dans le PAM (Privileged Access Management) depuis son acquisition de BeyondTrust, éditeur dont il a pris le nom en 2018. Sa solution, Secure Remote Access est plutôt pertinente pour assister des utilisateurs sur leur PC personnel, car celle-ci n’impose pas l’installation d’un agent logiciel sur le poste client. Il suffit au collaborateur de se connecter au portail web de l’assistance technique et cette page web va lancer le petit exécutable qui permettra à l’assistance de se connecter et d’intervenir sur le poste.
« Maintenant que le personnel est massivement en télétravail, c’est devenu problématique, chacun ayant une adresse IP différente et pouvant en changer fréquemment ».
William CUlbertBeyondTrust
William Culbert, directeur Europe du sud de BeyondTrust argumente en faveur de cette approche : « les entreprises disposent de solutions pour dépanner les postes clients qui sont sur leur réseau. Les équipes support peuvent se connecter aux postes via du Remote Desktop, via Skype et d’autres solutions point à point, ce qui lorsqu’on est sur le réseau de l’entreprise ne pose pas de problème de sécurité particulier. Maintenant que le personnel est massivement en télétravail, c’est devenu problématique, chacun ayant une adresse IP différente et pouvant en changer fréquemment ». La solution Remote Support de l’éditeur va permettre au service d’assistance d’intervenir à distance sur les postes de travail personnels afin de dépanner les utilisateurs. L’utilisateur peut refuser de donner la main sur sa machine, mais être guidé pas à pas par l’agent d’assistance.
Autre approche, celle de Tanium, un éditeur spécialisé dans la protection des terminaux, notamment ceux qui échappent aux CMDB soit parce qu’ils sont mal configurés, soit qu’ils ne disposent pas des bons agents. « Des entreprises peuvent avoir plusieurs milliers de machines sur lesquels le client VPN n’est pas installé, mal configuré où il manque des composants de sécurité obligatoires. Une fois ces machines hors du réseau, il est impossible d’y remédier », explique Dagobert Levy, Vice-Président, South EMEA de Tanium.
D’une certaine manière, les terminaux domestiques des télétravailleurs entrent dans cette catégorie. « Avec Tanium, l’entreprise peut continuer à contrôler et mettre à jour ces postes, même en dehors du réseau interne de l’entreprise. Nos clients disposent alors d’un reporting précis sur les machines connectées par VPN, peuvent réparer et mettre à jour les clients défectueux et ainsi assurer une continuité d’activité pour tout le monde ».
Inconvénient de cette approche, l’agent Tanium doit être présent sur chaque poste, mais outre l’assistance à distance, cet agent permet de mettre à jour les postes de travail des collaborateurs. L’architecture de Tanium va même rerouter le trafic lié au patch management et au contrôle des postes de façon à décharger les connexions VPNs.
Les solutions venues du monde des mobiles
Si l’approche ultra structurée de l’ITSM s’accorde mal avec le besoin d’agilité actuel pour accueillir ces nouveaux télétravailleurs en toute sécurité, d’autres acteurs venus du monde des mobiles s’intéressent de près aux desktops des télétravailleurs. Jean-Michel Tavernier, Country Manager France de MobileIron, un éditeur spécialisé dans la gestion des parcs mobiles, relève ainsi que « notre solution UEM (Unified Endpoint Management) qui permet de gérer à distance les mobiles et tablettes de l’utilisateur, qu’elles soient professionnelles ou personnelles, avec la capacité de faire la distinction entre une partie personnelle et une partie professionnelle sur le terminal. Elle permet de gérer la mise à jour des applications de la société sur les smartphones, mais aussi les postes Windows 10 et macOS ».
« Les solutions classiques d’administration des postes de travail viennent du monde “legacy” Win32/Win64, et ont été construites sur ces bases. »
Jean-Michel TavernierMobileiron
La solution implémente des fonctions de sécurisation des applications cloud entre le mobile/tablette, une reconnaissance faciale par le terminal ainsi qu’une vérification de la connexion Wi-Fi pour déjouer une attaque de type « Man in the Middle ». « Les solutions classiques d’administration des postes de travail viennent du monde “legacy” Win32/Win64, et ont été construites sur ces bases. Il leur manque souvent la capacité de prendre en charge les aspects “modernes” de l’EMM Microsoft sur Windows 10, c’est-à-dire le Windows Store, une gestion EMM moderne, l’intégration avec Azure AD, etc. », assène Jean-Michel Tavernier. Pour la prise en main à distance, MobileIron s’appuie sur le logiciel TeamViewer, une solution qui permet une prise en main sur les postes Android, Windows 10, macOS, mais un simple affichage distant sur iOS du fait des limitations de l’OS mobile par Apple.
Des solutions permettent donc d’améliorer la sécurité des postes des collaborateurs devant se connecter au SI et de leur offrir un niveau de support équivalent à celui des postes appartenant à l’entreprise. Reste néanmoins à voir jusqu’où la DSI peut aller en demandant d’installer des agents sur les postes de ses collaborateurs. Sur ce plan, le volet conduite du changement n’est pas à négliger.
Pour approfondir sur Protection du terminal et EDR
