Le travail collaboratif et le télétravail sont devenus la norme dans l’ensemble des organisations, ce qui soulève de nombreuses questions en matière de sécurité. Grâce à la puce TPM et à l’UEFI, Windows 11 vient apporter plus de sécurité au démarrage du système d’exploitation.
Avec le développement massif du travail hybride durant la crise sanitaire, les DSI ont accru leur besoin en protection des postes de travail, des identités et des données. Les collaborateur·ices doivent de plus en plus être en mesure de travailler depuis n’importe quel périphérique, de n’importe où. Cela implique de pouvoir accéder aux applications également de n’importe où, ainsi qu’aux données, tout en maintenant un haut niveau de sécurité.
Qui dit digitalisation et travail collaboratif dit également système d’exploitation. Aujourd’hui, le système d’exploitation le plus déployé dans les organisations est celui développé par Microsoft, sous ses différentes versions.
La sortie de Windows 11, Microsoft a annoncé la fin de support de Windows 10 prévue au 14 octobre 2025. Cette fin de support implique donc l’arrêt des mises à jour logicielles et des correctifs de sécurité. S’il n’y a pas encore d’urgence , les organisations doivent toutefois commencer à préparer leur migration vers la nouvelle version de l’OS de Microsoft.
Sécuriser le matériel
S’il existe toute une couche de sécurisation logicielle, les organisations, pour se prémunir des cyberattaques de plus en plus fréquentes, doivent aussi prévoir une couche de sécurisation matérielle.
Windows 11 nécessite aujourd’hui des prérequis matériels supérieurs à ce qu’on avait l’habitude de voir sur des systèmes d’exploitation antérieurs. Parmi les spécifications minimales les plus importantes pour passer à la nouvelle version de Windows figurent l’équipement des postes de travail d’une puce TPM 2.0 et la compatibilité UEFI du firmware, qui permettent notamment de sécuriser le démarrage du système d’exploitation.
Qu’est-ce qu’une puce TPM ?
La puce TPM (Trusted Platform Module, Module de plateforme fiable), est un composant qui permet de façon générale de sécuriser le système via l’intégration de clés de chiffrement. Existant depuis une vingtaine d’années déjà et présentes notamment dans notre quotidien avec les cartes à puce, les puces TPM se sont démocratisées dans nos postes de travail informatiques depuis 2016.
Concrètement, à quoi sert-elle ? La puce TPM d’un ordinateur génère et stocke les clés de chiffrement et d’authentification pour différents processus et applications : BitLocker, Windows Hello, Windows Hello for Business, Windows Defender System Guard, etc.
Aujourd’hui, la puce TPM n’existe qu’en deux versions. La version 1.2 et la version 2.0. C’est justement cette dernière version, plus sécurisée, qui figure parmi les prérequis pour migrer vers Windows 11.
Comment Windows 11 sécurise son démarrage grâce à la puce TPM et à l’UEFI
Mais pourquoi Windows 11 s’appuie tant sur cette puce TPM 2.0 ?
Le processus de démarrage de Windows se déroule en plusieurs étapes.
Sur les ordinateurs les moins récents, c’était le BIOS (basic input Output Sytem) qui lançait la procédure. Ont alors émergé des menaces directes, les rootkits et les ransomwares, qui, en s’attaquant au Master Boot Record (MBR), compromettent l’aptitude-même d’un poste à lancer son système d’exploitation.
Avec le démarrage sécurisé (Secure Boot), permis grâce à l’UEFI (Unified Extensible Firmware Interface) et la puce TPM, il s’agit de s’assurer que votre processus de démarrage de Windows se déroule normalement. En vérifiant ce processus à chaque étape grâce à la puce TPM, l’UEFI va bloquer tous les codes non reconnus qui tenteraient de s’exécuter au démarrage d’un poste de votre parc. Si un code corrompu ou inconnu figure au démarrage, l’ordinateur ne pourra tout simplement pas démarrer et affichera un message de « signature invalide détectée ». L’attaque sera alors cantonnée au poste infecté.
Windows 11, en requérant l’équipement d’une puce TPM et l’UEFI ajoute donc un premier rempart face aux menaces de type rançongiciels, bootkits, rootkits et autres malwares.
Comment savoir si les ordinateurs de mon parc sont équipés d’une puce TPM et donc compatibles avec Windows 11 ?
De façon unitaire, il est possible de savoir rapidement si un poste est équipé d’une puce TPM grâce à l’outil PC Health Check.
Disponible sur Microsoft Endpoint Manager, Endpoint Analytics permet de dresser un état des lieux global du parc informatique, tant en matière de matériel qu’en matière de logiciel. Endpoint Analytics présente l’avantage d’afficher clairement si le PC est compatible pour un upgrade vers Windows 11. Si un ou des ordinateurs ne sont pas compatibles, Endpoint Analytics permettra de savoir quel prérequis minimum n’est pas rencontré.
Troisième option, vous pouvez exécuter un script proposé directement par Microsoft.
Comment migrer mon parc vers Windows 11 en toute sécurité ?
Faire l’inventaire du parc grâce à Endpoint Analytics. Il vous faudra déterminer la proportion de votre parc qui est déjà compatible et pourquoi les autres postes ne le sont pas.
Définir une méthode de montée en version. Simple montée en version, mise à jour ou fresh install, Votre choix dépendra de la configuration de votre infrastructure (on-premises, cloud, AD).
Préparer et déployer un plan d’accompagnement pour les utilisateurs et utilisatrices. Même si les modifications graphiques apportées par Windows 11 ne paraissent pas complexes à manipuler, il vous sera nécessaire d’accompagner vos utilisateur·ices à travers les changements graphiques afin qu’ils et elles puissent retrouver leurs habitudes, mais aussi en créer de nouvelles qui leur permettront d’être encore plus efficaces dans leur quotidien.