L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et son homologue allemand, le BSI, ont tiré le signal d’alarme en 2020. Dans un communiqué commun, les deux entités en charge de missions de cyberdéfense nationale ont fait le constat d’un accroissement très rapide du niveau de la menace cyber avec une multiplication par 4 du nombre de victimes l’année dernière. Parmi les différentes explications à cette recrudescence d’attaques, les deux entités citent notamment la généralisation du télétravail. Les entreprises doivent sécuriser un périmètre de plus en plus large. L’approche « château fort » qui a prévalu pendant de nombreuses années n’est plus pertinente. On ne peut plus aujourd’hui présupposer la confiance. Il faut s’assurer que chaque demande d’accès est valide, que chaque utilisateur est bien la personne qu’il prétend être et que chaque appareil est bien conforme à la politique de l’organisation. Autrement dit : passer d’une sécurité périmétrique à une sécurité Zero Trust. Et c’est ce à quoi s’attaque Windows 11.
Verrouiller toutes les portes
Fort des acquis de Windows 10, le nouveau système d’exploitation de Microsoft va encore un cran plus loin en termes de sécurité, avec une approche « from chip to cloud » qui propose de protéger toutes les couches de traitement d’un appareil (matériel, système d’exploitation et application), de garantir et protéger l’identité de l’utilisateur et d’exploiter la puissance du cloud.
- Hardware
La sécurité matérielle de Windows 11 se base sur le principe du Root of Trust, c’est-à-dire du démarrage sécurisé. L’idée est d’utiliser une zone isolée du système d’exploitation et des applications pour stocker des informations sensibles, comme les clés de chiffrement ou les identifiants de l’utilisateur. Cette zone, c’est la puce TPM 2.0, obligatoire pour les PC exécutant Windows 11. C’est un composant soudé au niveau du chipset auquel on ne peut en aucune façon accéder depuis internet. C’est d’elle que dépend le fonctionnement d’outils comme Windows Hello, Bitlocker ou Windows Defender System Guard. La puce va également s’assurer que le code qui est exécuté au démarrage de la machine est bien conforme et n’a pas été altéré par des pirates pour dissimuler leur présence et prendre le contrôle de la machine.
Grâce à la sécurité basée sur la virtualisation, ou VBS (virtualization-based security) et à l’intégrité du code protégé par l’hyperviseur, ou HVCI (Hypervisor-protected code integrity), Windows 11 va également isoler de l’OS une partie de la mémoire. Cette dernière servira à prévenir toute modification du noyau et ainsi bloquer les attaques de type WannaCry, qui injecte du code directement au niveau du kernel Windows.
- Système d’exploitation
Une fois le PC démarré, c’est le système d’exploitation qui a la charge de la protection. Windows 11 compte trois principales défenses au niveau de l’OS : la protection des données, la protection du réseau et la protection contre les virus et menaces. La protection des données repose sur le chiffrement. Bitlocker peut chiffrer les données locales ainsi que celles stockées sur des supports amovibles. Pour éviter de perdre en performances et assurer un maximum de productivité à l’utilisateur, Bitlocker prend en charge les « Encrypted Hard Drive », des disques capables de prendre en charge les opérations de chiffrement afin d’en décharger le CPU. La fonction S/MIME (Secure/MultipurposeInternetMailExtensions), peut également être activée afin de chiffrer automatiquement les mails et pièces jointes envoyées à et depuis un compte EAS (ExchangeActiveSync).
Avec des professionnels de plus en plus mobile, la sécurité du réseau était bien entendu une priorité dans la conception de Windows 11. Avec Microsoft, nous souhaitons permettre aux utilisateurs de travailler de n’importe où en verrouillant toutes les portes, grâce notamment à l’implémentation native du protocole TLS 1.3 et au support du DNS over HTTPS, version chiffrée du protocole DNS. Alors que nombre de professionnels se sont équipés ces derniers mois en périphériques sans fil pour travailler plus efficacement à distance, Windows 11 prend également en charge le protocole bluetooth sécurisé « LE Secure Connections », afin de garantir un usage sûr des claviers, souris, casques et autres accessoires. Le Wi-Fi n’a évidemment pas été oublié avec la compatibilité WPA3 (Personnal et Enterprise) et OWE (Opportunistic Wireless Encryption), qui permet d’établir une liaison chiffrée lors de la connexion à un hotspot Wi-Fi public.
L’antivirus Microsoft Defender, reconnu depuis maintenant plusieurs années comme un des plus robustes du marché, est toujours au cœur de la stratégie de défense. Comme c’était déjà le cas avec Windows 10, l’antivirus va scanner l’appareil en permanence à la recherche de menaces connues mais également monitorer en temps réel les comportements suspects.
- Applications
Intégré dans un parc d’entreprise, Windows 11 permet aux administrateurs de garder la pleine maîtrise des applications. Windows Defender Application Control (WDAC) leur donne la possibilité de définir ce qui peut être exécuté sur les postes ou non. Avec l’UAC (User Account Control), les administrateurs peuvent également paramétrer les comptes utilisateurs pour réduire autant que possible l’attribution de privilèges et ainsi limiter le champ d’action du pirate en cas de compromission d’un compte. Enfin, toujours conformément aux principes du Zero Trust, Microsoft Defender Application Guard va pouvoir exécuter certaines applications, comme les outils Microsoft Office ou le navigateur Edge, dans un conteneur totalement isolé du reste du système afin de contenir une potentielle infection.
- Identité
La sécurité des accès et des identités ne peut plus reposer sur les mots de passe. Windows 11 fait un pas supplémentaire vers un monde « passwordless ». Pour s’authentifier, les utilisateurs peuvent en effet adopter la biométrie avec Windows Hello, l’application Microsoft Authenticator ou encore une Smart Card. La biométrie est un moyen particulièrement efficace de renforcer la sécurité tout en améliorant l’expérience utilisateur. Les PC professionnels Dell Latitude équipés de l’intelligence artificielle Dell Optimizer par exemple, peuvent automatiquement détecter la présence de l’utilisateur, l’identifier grâce à la caméra et ouvrir sa session au moyen de la fonctionnalité Express Sign In. L’ordinateur est ainsi immédiatement prêt à travailler et la session protégée.
- Cloud
Windows 11 dresse naturellement des ponts vers le cloud pour simplifier la sécurisation distante et centralisée des appareils. Azure Active Directory par exemple, constitue une puissante solution de gestion des identités Cloud pour gérer les collaborateurs et leurs terminaux. Au travers du Co-management avec Active Directory On-Prem, elle facilite le contrôle des usages hybrides en s’intégrant aussi bien aux applications locales qu’a des milliers de logiciels SaaS, Web ou virtualisés. Et avec des outils de management moderne comme Microsoft Intune également basé sur du Zero Trust, les administrateurs ont toutes les cartes en main pour définir et appliquer les politiques de sécurité sur l’ensemble des appareils et prendre le contrôle à distance sur les équipements, les applications et les données en cas de problème.
La liste des protections évoquées ici est loin d’être exhaustive. D’autres mesures ont été prises concernant les liaisons VPN, le protocole SMB, le firewall Microsoft Defender, la certification FIDO, les contrôles de confidentialité, etc. Pour une vision plus large de la sécurité de Windows 11, je vous renvoie vers le Windows 11 Security Book, qui en dresse un portrait complet. Et pour bénéficier de cette approche Zero Trust au sein de votre organisation, vous pouvez bien entendu dès à présent déployer des PC Dell sous Windows 11 ! En effet, Dell Technologies commercialise déjà des machines sous Windows 11. Pour les machines livrées sous Windows 10, vous avez la possibilité de les passer gratuitement sous Windows 11. Enfin, pour les ordinateurs déjà sur le marché, nous avons publié une liste des appareils testés pour la mise à niveau.
