Protéger les communications avant le logon Windows
Publié le 01/2/2023
Auteur : Arnaud Dufournet, Chief Marketing Officer
Deux entreprises françaises sur cinq considèrent la cybersécurité comme leur principal défi en matière de télétravail selon la dernière étude d’Okta (Enquête Okta Hybrid Work 2023). Les RSSI redoutent non seulement le manque de contrôle et de maitrise sur ces postes de travail qui sortent des locaux de l’entreprise mais aussi le développement des pratiques à risques. Et ils ont raison de s’inquiéter car un internaute sur deux avoue utiliser des équipements informatiques personnels à des fins professionnelles. C’est ce que nous a appris la dernière étude MIPS 2022 réalisée par le Clusif. Ce chiffre est en hausse par rapport à l’étude précédente. Inversement, l’usage des équipements professionnels à des fins personnelles est aussi une réalité.
L’ANSSI le rappelait encore dans un guide paru en octobre 2022 à destination des TPE/PME (La Cybersécurité pour les TPE/PME en 13 questions) : maitriser le risque numérique en situation de nomadisme nécessite d’installer un « logiciel de connexion à distance de type VPN chiffré afin de protéger les communications ». Mais aussi de sensibiliser les collaborateurs aux bons réflexes.
Connaissez-vous le Mode GINA ?
Il est demandé aux utilisateurs d’ouvrir un tunnel VPN dès lors qu’ils ont ouvert une session Windows et commencent à travailler, c’est-à-dire accéder à des applications web ou bien des documents stockés sur le réseau de l’entreprise. L’ANSSI recommande vivement une configuration du VPN (mode full-tunnelling) permettant de faire passer l’intégralité des flux dans un tunnel IPsec afin de garantir la protection des données. Mais encore faut-il que l’activation du VPN soit bien réalisée par les utilisateurs dès le début de leur session Windows et non pas simplement lorsqu’ils ont besoin d’accéder à un document particulier stocké sur le réseau de l’entreprise.
Les RSSI ne peuvent pas être derrière chaque utilisateur pour s’assurer qu’ils utilisent convenablement leur client VPN. Tous les télétravailleurs ne sont pas conscients que la protection et la confidentialité de leurs communications et des données qu’ils échangent, ne sont actives que lorsqu’ils pensent à démarrer leur VPN.
C’est la raison pour laquelle nous pensons chez TheGreenBow que la mise en œuvre de cette protection doit être la plus simple possible. C’est en partant de ce postulat que nous avons développé la fonctionnalité appelée « mode GINA » disponible sur le Client VPN Windows Enterprise.
Qu’est-ce que le Mode GINA ?
Dissipons tout de suite un doute pour les cinéphiles ; GINA ne fait aucunement référence à une célèbre actrice italienne disparue il y a quelques jours. La signification est en réalité un peu moins glamour. GINA est l’acronyme de « Graphical identification and authentification ». Apparu à partir de Windows 2000, il s’agit d’un module de l’interface utilisateur de Windows qui gère la fonction d’identification et d’authentification de l’utilisateur lors de l’ouverture d’une session. Il a été remplacé à partir de Windows Vista et Windows Server 2008 par l’API Microsoft Credential Providers.
C’est sur cette API que s’appuie le mode « GINA » du Client VPN Windows Enterprise afin de permettre la montée d’un tunnel IPsec avant même l’ouverture d’une session Windows par l’utilisateur.
Quels sont les avantages du Mode GINA ?
L’ouverture d’un tunnel juste avant l’ouverture d’une session Windows présente deux avantages majeurs permettant de renforcer la sécurité du endpoint. Le premier est d’abord l’authentification : un utilisateur au moment où il se connecte à un serveur de gestion des droits d’accès (comme l’Active Directory) qui se trouve dans le réseau de l’organisation, va devoir s’authentifier. À noter que le mode GINA fonctionne également avec d’autres systèmes d’authentification supportés par le Client VPN Windows comme des cartes à puce.
Deuxièmement, le contrôleur de domaine va ensuite mettre à jour les profils de sécurité du poste ainsi que les applications, en particulier le pare-feu. Cette étape est très importante pour assurer la conformité du poste.
Si en plus l’organisation suit la recommandation de l’ANSSI et a déployé une configuration « tout dans le tunnel » pour ses clients VPN, alors c’est l’assurance que tous les flux sortants mais aussi entrants sur le poste passent par la passerelle et les fourches caudines du pare-feu. Ainsi, avant même que la session Windows ne s’ouvre, le poste de travail se retrouve comme dans une « bulle » sécurisée, sans que l’utilisateur ne s’en rende compte. Il peut ensuite accéder à des documents sur le réseau ou bien à des services internet en bénéficiant du chiffrement des communications.
Le mode GINA une fois couplé à d’autres fonctionnalités comme la détection automatique du réseau de confiance (TND) et le mode Always-On, permet de répondre aux exigences de sécurité sans demander d’effort aux utilisateurs car le tunnel se monte automatiquement et uniquement quand cela est nécessaire.
Dernier avantage du mode GINA : en cas de vol d’un PC d’un collaborateur, le voleur a priori ne connait pas les identifiants pour ouvrir une session Windows. Le tunnel qui permet d’accéder au réseau de l’entreprise ne pourra donc pas être monté et le voleur n’aura pas accès aux informations stockées sur le réseau. De son côté, l’entreprise peut détruire la session empêchant ainsi toute possibilité d’accès au réseau via le VPN.
Si vous souhaitez tester la dernière version du Client VPN Windows Enterprise et le mode GINA, rendez-vous sur la Boutique en ligne TheGreenBow. Vous pouvez également nous faire part de vos projets en nous contactant directement ici.