Pas un jour sans que la presse ne relate un nouveau piratage. Et les institutions publiques ou non-gouvernementales n’y échappent pas. Dernier en date : la fuite de données qui a touché le CICR.  A l’échelle de votre PME, il est peut-être urgent de vous demander dans quelle mesure vous êtes exposés. Pour vous aider, nous avons mis en évidence 3 signaux qui devraient vous alerter. Alors, prêts à vous faire peur ?

C’est à se demander si un système informatique peut réellement être sûr. On vous rassure tout de suite : c’est possible. Pas de manière infaillible – fuyez sans autre celui qui vous promettrait le contraire, mais suffisamment pour couvrir la majeure partie des cas. Et en tout cas dissuader les opportunistes à la recherche d’une occasion facile de vous extorquer un peu d’argent (en cryptant vos fichiers par exemple). Voici donc quelques signes qui peuvent vous mettre la puce à l’oreille.

Vous réutilisez le même mot de passe partout

Gérer ses mots de passe tourne souvent au cauchemar pour la plupart des utilisateurs. La multiplication des outils et applications en ligne requiert de s’y authentifier. Et pour faire face à cette vague d’identifiants, la tentation est grande de réutiliser à l’infini le même mot de passe, votre préféré. Vous savez, celui qui contient le prénom d’un être cher ou une date de naissance.

Cette approche est dangereuse à plus d’un titre. Tout d’abord, il se peut que vous utilisiez non seulement le même mot de passe, mais qu’il soit accolé au même identifiant (votre adresse email par exemple). Et si la plupart des sites que vous utilisez sont sûrs, vous n’aurez jamais de garantie à 100%. Si bien que le maillon faible qui se fera extorquer ces précieuses données offrira un sésame que les pirates s’empresseront de tester sur tout un panel de sites : réseaux sociaux, messagerie d’entreprise, etc.

Si ces tests se feront de manière automatique – nul doute qu’en plus d’être malhonnêtes, nos hackers préférés ne sont pas du genre à s’acharner au travail, vous risquez de subir tout de même une analyse d’ingénierie sociale un peu plus poussée. C’est-à-dire ? Afin de garantir le plus grand succès à son opération, le pirate va regarder de plus près votre activité, votre employeur, et tenter de trouver d’autres portes d’entrée.

Faisons l’hypothèse par exemple que vous utilisez à titre privé un vieux compte Yahoo. Votre mot de passe se fait dérober parce que vous l’avez utilisé avec cette adresse sur un site peu sécurisé, et donc peu recommandable. Nos chers pirates vont tenter de l’exploiter sur toutes les plateformes possibles. Et aussi en profiter pour récupérer vos autres adresses email, et tenter de les exploiter avec le même mot de passe. Par exemple sur la messagerie de votre entreprise. Vous commencez à comprendre ?

Vos systèmes d’entreprise n’utilisent pas d’authentification forte

Si vous n’avez donc pas pris garde d’apporter un peu de diversité dans vos mots de passe – même privés, vous vous retrouvez donc avec un pirate qui frappe à la porte de votre compte professionnel. C’est donc votre entreprise qui est maintenant à risque, et qui doit assumer la responsabilité de ce manque de variété dans vos codes. Par chance, elle aura pris soin de mettre en place une double authentification, aussi appelée MFA (Multi-Factor Authentication). Ou pas.

Dans le cas contraire, le pirate pourra par exemple accéder à votre messagerie d’entreprise. Et ceci d’autant plus simplement qu’elles sont maintenant toutes accessibles depuis Internet : les smartphones, d’abord, puis le télétravail, ont rendu cette exposition nécessaire et incontournable En fonction de vos responsabilités ou du niveau de sensibilité des données que vous traitez, le pirate pourra tenter de rebondir pour initier des paiements ou vous faire chanter en menaçant de les dévoiler. Mais l’histoire ne s’arrête pas là, évidemment.

L’usurpation d’identité via la messagerie devient un grand classique

Accéder à votre messagerie d’entreprise permet de se faire passer pour vous. Et donc d’initier des échanges avec d’autres personnes de votre organisation, mais aussi des clients, des partenaires ou des fournisseurs. Pour tenter d’extorquer d’autres données et, de proche en proche, s’insinuer de plus en plus profondément dans le système d’information de l’entreprise. Parfois silencieusement. Alors que les attaques en force étaient la norme il y a quelques années, elles sont maintenant ciblées et bien plus sophistiquées. Dans ce domaine aussi, hélas, la qualité a remplacé la quantité.

On comprend donc l’intérêt d’un mot de passe propre à chaque site, application ou système. Et de la généralisation de la double authentification, au moins sur les services de votre entreprise. Si vous combinez l‘absence des deux, vous êtes à risque. Et même si votre mot de passe préféré n’est pas volé sur un site un peu faiblard, les pirates risquent de venir vous le demander directement, via un email de phishing par exemple. D’accord, mais dans ce cas, comment faire face à l’avalanche des mots de passe ?

Vous n’utilisez pas de gestionnaire de mot de passe

Le plus simple évidemment consiste à laisser faire un outil bien plus adapté que nos cerveaux à stocker autant de données, parfois vides de sens. C’est donc là qu’intervient le gestionnaire de mots de passe. Il permet de stocker, centraliser, crypter et protéger vos codes de sécurité. De telle sorte que vous n’avez plus à les retenir. Ou presque, puisque le dernier mot de passe que vous devrez apprendre sera celui du gestionnaire justement. Par étonnant qu’une des stars du secteur se nomme LastPass !

Si vous m’avez suivi, vous prendrez bien soin de créer un tout nouveau mot de passe pour votre gestionnaire, et de ne le noter nulle part. Il y a de fortes chances que nous n’ayez pas à l’utiliser souvent, car l’accès aux données dans votre application est protégé par un facteur biométrique (reconnaissance faciale, empreinte digitale). Et en cas de perte, une procédure vous permettra de le remettre à zéro. Idéalement, vous confierez le choix du mot de passe à un générateur, afin de le rendre difficilement prédictible.

Côté pratique, le gestionnaire de mot de passe tient dans votre poche, sur votre smartphone. Il s’intègre aussi parfaitement à votre navigateur, de sorte que vous pouvez automatiser la saisie des codes une fois dans votre session. Celle-ci doit donc aussi être protégée par un mot de passe fort. Et si une activité suspecte est détectée (utilisation de votre gestionnaire depuis un appareil inconnu), elle vous sera signalée. Pour encore plus de sécurité, vous pouvez programmer la désactivation automatique de votre gestionnaire au bout de quelques minutes d’inactivité. Et forcer ainsi la saisie de votre mot de passe maître à intervalles réguliers.

Avec ces quelques piliers sécuritaires en place, vous vous donnez les meilleures chances d’échapper aux attaques classiques. Et de ne pas faire la une des journaux. Dans le cas contraire, vous pouvez toujours continuer à noter vos mots de passe sur un tableau Excel et vivre dangereusement. Peut-être échapperez-vous tout de même au piratage. Mais qui souhaite vraiment prendre ce risque aujourd’hui ?

Emmanuel Dardaine

emmanuel dardaine expert cloud

L’informatique dans les nuages a profondément modifié la façon dont les entreprises envisagent leur système IT. Pour autant, les appareils physiques – smartphones, laptops – sont toujours nécessaires dans certains cas d’usage. Pour éviter de devoir gérer deux infrastructures au lieu d’une, l’informatique hybride vient à votre secours. On vous explique comment.

Dans ce premier article d’une nouvelle série à caractère didactique, nous allons vous expliquer pourquoi basculer dans le Cloud n’est pas incompatible avec la conservation de certains appareils. Et surtout, comment l’évolution des technologies permet désormais de concilier les deux mondes sans devoir démultiplier les efforts. Car l’informatique hybride combine l’informatique dématérialisée à la demande et les appareils bien réels, en capitalisant sur des technologies et des outils communs.

Le Cloud vs. le monde physique

Mais commençons par le commencement. Vous connaissez notre attachement aux technologies Cloud que nous défendons et promouvons auprès de nos clients depuis maintenant plus de 6 années. Et ceci n’est pas près d’être remis en cause, car passé le phénomène de mode, le Cloud est là, et pour longtemps. La dématérialisation des infrastructures touche tous les secteurs informatiques, des serveurs les plus puissants aux postes de travail, et aux applications.

Pourtant, du côté des utilisateurs, il est toujours nécessaire de disposer d’appareils pour se connecter à sa session et exploiter ses données. Si les clients légers, tels que les thin clients ou encore les Chromebooks permettent de se connecter à un bureau distant, de nombreux cas d’usage nécessitent de disposer d’appareils lourds permettant de faire tourner des applications localement et d’accéder à ses données – fichiers, emails – sans se connecter à un bureau virtuel. Et la sécurisation d’une session virtuelle n’a rien à voir avec celle d’un laptop capable de stocker des données sur son disque dur : ce dernier est bien plus exposé.

Il est donc nécessaire que les services informatiques d’une entreprise soient accessibles aussi bien dans un environnement Cloud que sur des appareils physiques. Tout en garantissant un niveau de sécurité adéquat dans les deux cas, et en bénéficiant d’outils capables de gérer les différents scenarii d’usage. Car c’est là exactement que se trouve l’enjeu : même pour accéder à un bureau virtuel ou des données Cloud, il est nécessaire de disposer d’un appareil sous contrôle. Et ceci sans multiplier les plateformes de gestion, et les coûts qui vont avec.

Une gestion et une vision uniques

L’informatique hybride consiste donc à disposer d’outils qui fédèrent aussi bien les ressources dématérialisées du Cloud que les ressources physiques, et à les exploiter de manière indifférenciée. Elle permet de catégoriser les appareils, réels ou virtuels, d’en assurer le suivi et de les contrôler à distance, d’en définir l’exposition aux risques, et d’adapter les stratégies de protection en conséquence.

Pour les PME, déployer une informatique hybride nécessitait des investissements peu en rapport avec leur budget informatique, pour autant qu’elles en aient un. Et si des solutions existaient, elles nécessitaient encore de mettre en place des passerelles entre deux mondes encore cloisonnés. Un exemple ? Si vous disposiez d’une session virtuelle Citrix ou Amazon Workspaces, vous deviez synchroniser vos comptes et vos mots de passe chez Microsoft pour accéder à vos services et vos logiciels Office avec un semblant de compte unique.

Le géant de Redmond, présent dans tous les secteurs, était le mieux placé pour boucler la boucle

Oui mais voilà, Microsoft – encore lui ! – vient de jeter un pavé dans la marre avec Windows 365. Nous vous en avions parlé récemment, ce système de Cloud PC démocratise les bureaux virtuels en les rendant accessibles par le biais d’une simple souscription de licence mensuelle. Mais si ce service n’est pas réellement une innovation du point de vue de ses fonctionnalités – accès à distance d’un bureau, expérience Windows équivalente à un poste physique – il boucle la boucle de l’informatique hybride. Et c’est là toute sa force.

Le tour de force de Microsoft

En effet, Windows 365 est le seul poste virtuel à être autorisé à exécuter Windows 10 – et même Windows 11 depuis peu – dans le Cloud, là où d’autres (Amazon ou Citrix) doivent se contenter de systèmes d’exploitation basés sur des technologies serveur. Microsoft, en tant qu’éditeur de Windows, se réserve le droit de définir les règles du jeu quant aux conditions d’utilisation de ses produits. Si cela peut paraître abusif, il n’a jamais été interdit aux concurrents de créer leur propre système et de définir à leur tour leurs propres règles. Sans trop de surprise, ils ont préféré éviter de s’y casser les dents.

Quelle différence au final ? Elle est simple : le Cloud PC de Microsoft, et lui seul, exploite exactement les mêmes outils que les machines physiques, portables ou fixes. Que ce soit la liste des applications installées, les paramètres de sécurité des machines, le compte d’accès, les restrictions de sécurité, la couleur des boutons ou le fond d’écran, vous ne faites alors plus de différence entre Cloud et virtuel. Et comme ce principe s’appliquait déjà aussi aux postes fixes et aux smartphones Android ou Apple, son extension au Cloud PC constitue la dernière brique de l’édifice.

Pour les PME, les avantages sont multiples. Elles peuvent exploiter l’informatiques hybride, sans se soucier des éventuelles restrictions à utiliser un poste physique versus un poste virtuel. Elles peuvent donc choisir l’infrastructure qui s’adaptera le mieux à chaque usage, pour chacun de leurs employés. Mieux, le choix qu’elles effectuent ne remet pas en cause le niveau de sécurité de leurs données, puisque leur protection est globale et s’applique à tous les appareils, de manière homogène, et dans les deux mondes. Le tout pour une licence unique au coût modéré.

Ces efforts sont le résultat de développements importants consentis ces dernières années par Microsoft. Soyons clairs, ils ont été rendus possible par leur positionnement quasi-monopolistique sur le marché de l’informatique d’entreprise. Et par les bénéfices engrangés grâce au Cloud. Mais pour être honnête, le résultat est assez bluffant. Et peut justifier à lui seul les augmentations de tarifs du géant Américain, annoncées pour le 1er mars prochain. Si tout travail mérite salaire, celui-ci en particulier respecte l’adage.

Emmanuel Dardaine

emmanuel dardaine expert cloud