Dans un précédent article, nous avons vu que de plus en plus d’entreprises font le choix d’utiliser des services bureautiques et collaboratifs en mode SaaS tels que Microsoft Office 365 et Google Workspace (anciennement G Suite) au détriment des solutions plus conventionnelles on-premise. Ainsi, ces nouvelles solutions tendent à occuper une place centrale dans les SI et jouent un rôle prépondérant dans l’activité des utilisateurs (messagerie, services collaboratif, répertoires partagés…)
Compte tenu du rôle clé de ces solutions, nous pensons qu’il est nécessaire dans un premier temps d’évaluer le niveau de sécurité de ces services. Notre approche est de réaliser cette évaluation au travers de trois thématiques :
- La protection des identités,
- La protection des services,
- La protection des appareils.
Puis de mettre en œuvre un plan d’actions qui s’articule autour de deux axes :
- L’ajustement de la configuration des services existants,
- La mise en œuvre de services additionnels.
A cet effet, nous partagerons dans cet article nos convictions et notre retour d’expérience sur la mise en œuvre de deux services Google Workplace de gestion des appareils :
- Service de gestion des postes de travail (Windows 10, macOS, Linux, Chrome OS)
- Service de gestion des appareils mobiles (Android, iOS)
Quelle est la démarche à suivre ?
L’objectif est de définir une stratégie de déploiement des services de gestion des appareils en fonction de leurs apports sécuritaires par rapport aux principales vulnérabilités identifiées, aux risques et impacts couverts, ou encore aux contraintes opérationnelles et aux exigences des métiers et des régulateurs. L’enjeu est d’être en mesure de juger de leurs pertinences dans les usages quotidiens sans dégrader l’expérience des utilisateurs.
Par ailleurs, afin de garantir une meilleure adoption de ces nouveaux services, nous avons la conviction qu’il est important de prendre en compte l’aspect conduite de changement en plaçant les utilisateurs au centre des décisions et en les intégrant tout au long du processus de déploiement. Cela peut se traduire par une campagne de sensibilisation aux enjeux de sécurité liés aux usages sur les appareils, la rédaction de guides d’utilisation de ces nouveaux services, l’organisation d’ateliers, mais également la montée en compétences des équipes supports pour accompagner le plus efficacement possible les utilisateurs.
De plus, au travers de nos différents retours sur la mise en œuvre de solutions de sécurité, nous avons identifié qu’il peut être constructif d’organiser le déploiement de ces nouveaux services en plusieurs phases, en commençant par un pilote afin de prendre en compte les retours des utilisateurs et éventuellement réajuster les politiques en prévision d’un déploiement généralisé.
Comment déployer le service Google Workplace de gestion des postes de travail ?
Microsoft Windows (notamment Windows 10) étant l’OS le plus répandu au sein des entreprises, et Chrome OS une propriété de Google, les fonctionnalités de gestion des postes de travail sont plus
nombreuses et moins contraignantes opérationnellement sur ces deux OS par rapport à celles disponibles pour les postes macOS et Linux.
- Sur macOS, les fonctionnalités disponibles sont à date peu nombreuses mais apportent toutefois un premier niveau de sécurité que nous estimons acceptable.
- En revanche sur Linux, les possibilités de gestion des postes sont à date très limitées.
Néanmoins, étant donné le niveau d’expertise et de maturité de la population cible sur Linux (souvent des développeurs), nous pensons que l’absence de fonctionnalités de gestion des postes Linux pourrait être compensée par des actions de sensibilisation aux bonnes pratiques de sécurité (mise à jour, chiffrement par exemple).
Ainsi, sur la base de ces éléments, notre proposition de mise en œuvre d’une politique de gestion des postes de travail peut être déclinée de la manière suivante :
Les fonctionnalités disponibles dépendent du type de licences Google Workspace acquises (Business Vs Entreprise).
- Socle commun
- Sensibilisation des utilisateurs à l’utilisation du navigateur Chrome pour accéder aux services Google Workspace,
- Cartographie des postes utilisés (professionnels et personnels) via une extension Chrome,
- Inventaire des postes professionnels depuis la console d’administration.
- Postes Windows, macOS, Chrome OS
- Mise en place d’une approbation admin pour les accès depuis des postes personnels,
- Configuration de règles d’accès contextuel : restriction de l’accès aux services Google Workspace selon le type de poste utilisé : professionnel ou personnel, sa géolocalisation, etc…,
- Restriction de l’utilisation du client Drive File Stream aux postes professionnels.
- Postes Windows
- Déploiement du client GCPW : ouverture de la session Windows via le mot de passe Google,
- Gestion centralisée des mises à jour Windows,
- Gestion centralisée du chiffrement BitLocker.
Comment déployer le service Google Workplace de gestion des appareils mobiles ?
Dans le cadre de nos interventions, nous avons vu qu’un nombre important d’entreprises (souvent les TPE et PME) n’ont ni les moyens financiers ni les ressources humaines disponibles pour déployer une flotte d’appareils mobiles à usage professionnel. Les utilisateurs sont donc contraints d’accéder à leurs données professionnelles (notamment la messagerie) depuis leurs appareils mobiles personnels. Ainsi, nous estimons qu’il n’est pas recommandé de mettre en œuvre des contrôles stricts impactant significativement les usages sur ces appareils, au risque de paraître intrusif, de dégrader l’expérience utilisateur et de compromettre ainsi l’adoption du service.
Compte tenu des spécificités des 2 principaux OS disponibles sur le marché (Android étant une propriété Google, et iOS une propriété Apple), les fonctionnalités de gestion des appareils Android sont plus nombreuses et moins contraignantes opérationnellement que celles sur iOS.
En effet, sur un appareil Android, la possibilité de séparer les applications personnelles de celles à usage professionnel permet d’assurer une maîtrise des usages sur ces applications professionnelles tout en conservant le périmètre personnel de l’utilisateur.
En revanche sur un appareil iOS, une telle séparation n’étant pas possible, une unique application sera utilisée pour un usage à la fois personnel et professionnel, où il sera demandé aux utilisateurs d’autoriser l’entreprise à encadrer les usages sur ladite application. Contraignante et intrusive, nous avons vu que la mise en œuvre d’une telle politique peut être confrontée à la réticence des utilisateurs.
Néanmoins, nous pensons que l’absence de fonctionnalités de gestion des appareils iOS proposées par Google Workspace peut être compensée en accentuant les efforts de sensibilisation des utilisateurs autour des usages sur ces appareils.
Ainsi, sur la base de ces éléments, notre proposition de mise en œuvre d’une politique de gestion des appareils mobiles peut être déclinée de la manière suivante :
Les fonctionnalités disponibles dépendent du type de licences Google Workspace acquises (Business Vs Enterprise).
- Socle commun
- Cartographie des appareils mobiles utilisés,
- Protection de l’écran de verrouillage via un code PIN ou mot de passe simple à minima.
- Appareils Android
- Création d’un profil professionnel,
- Séparation des applications personnelles et professionnelles,
- Maîtrise des usages sur les applications professionnelles,
- Configuration de paramètres de sécurité avancés,
- Gestion de la synchronisation des données.
- Appareils iOS
- Mise à disposition d’une liste d’applications recommandées pour un usage professionnel.
Conclusion
Dans le cadre du renforcement du niveau de sécurité d’un SI et plus particulièrement des services Google Workplace, il nous paraît important pour une entreprise de définir les usages cibles sur les appareils, quels que soient leurs types et leurs propriétés.
Sur la base de nos expériences, nous avons vu que la définition d’une politique de gestion des appareils passe avant tout par un équilibre entre les apports sécuritaires et les impacts sur l’expérience des utilisateurs.
Nous considérons que la mise en œuvre d’une telle politique doit être accompagnée d’une phase de conduite de changement en sensibilisant les utilisateurs aux risques IT couverts et aux usages sur les appareils. Nous avons la conviction que cette phase est indispensable pour garantir une adoption optimale de ces nouveaux services et réduire le risque d’utilisation de solutions de contournement non maîtrisées.