Introduction : pourquoi cet article technique ?
Notre page Sécurisation des postes et serveurs présente pourquoi protéger vos endpoints est une priorité business. Cet article va plus loin : il détaille comment fonctionne chaque brique technique -- du patch management au hardening CIS, en passant par le chiffrement disque, le filtrage DNS et l'intégration EDR/SOC. Si vous êtes DSI, responsable IT ou dirigeant d'une PME qui veut comprendre ce qui se passe réellement sous le capot, vous êtes au bon endroit.
Pourquoi les endpoints sont le vecteur d'attaque n°1
Les chiffres sont sans ambiguité :
- 85% des compromissions impliquent un poste de travail ou un serveur comme point d'entrée initial (Ponemon Institute, 2024)
- 70% des attaques réussies exploitent une vulnérabilité non corrigée sur un endpoint (IDC, 2024)
- Le délai moyen de correction d'une vulnérabilité critique est de 60 jours en PME (Qualys, Threat Research Unit)
Un poste Windows non patché, avec les services par défaut activés et un utilisateur disposant de droits administrateur local, constitue une cible idéale. Un seul clic sur un lien de phishing (voir nos campagnes de sensibilisation au phishing) suffit à compromettre l'ensemble du réseau si les défenses endpoint ne sont pas en place.
La sécurisation des postes et serveurs ne repose pas sur un outil unique mais sur une stratégie de défense en profondeur : chaque couche compense les failles potentielles de la précédente.
Patch Management : l'hygiène de base qui change tout
Architecture d'un système de patching automatisé
Le patch management moderne repose sur une architecture agent-based : un agent léger installé sur chaque poste et serveur communique avec une console centrale pour inventorier les logiciels, détecter les correctifs manquants et les déployer de manière contrôlée.
Le cycle de vie d'un patch suit un processus rigoureux :
- Détection : l'agent inventorie les versions installées et les compare à la base de correctifs disponibles (Microsoft, Adobe, Google, etc.)
- Qualification : les patchs sont classés par criticité (CVSS score) et par impact métier
- Test : déploiement sur un groupe pilote (5 à 10% du parc) pendant 48 à 72h pour détecter les régressions
- Déploiement : push automatisé sur l'ensemble du parc, avec fenêtres de maintenance configurables
- Vérification : scan de conformité post-déploiement pour confirmer l'installation effective
Le cycle Patch Tuesday et au-delà
Microsoft publie ses correctifs le deuxième mardi de chaque mois (Patch Tuesday). Mais la sécurité ne peut pas attendre un calendrier mensuel : les correctifs out-of-band pour les vulnérabilités zero-day doivent être déployés sous 24 à 48h.
Au-delà de Windows et Office, une plateforme de patch management professionnelle couvre plus de 300 applications tierces : navigateurs (Chrome, Firefox, Edge), runtimes (Java, .NET), outils de productivité (Zoom, Teams, Slack, 7-Zip, Acrobat Reader), et bibliothèques système. Ce sont souvent ces applications tierces, moins surveillées, qui servent de porte d'entrée.
Hardening CIS Benchmarks : réduire la surface d'attaque
Ce que sont les CIS Benchmarks
Les CIS Benchmarks (Center for Internet Security) sont des guides de configuration sécurisée développés par consensus entre des centaines d'experts en cybersécurité. Ils existent pour chaque système d'exploitation, chaque service cloud et la plupart des applications d'entreprise.
Deux niveaux sont définis :
- Niveau 1 : recommandations applicables à tout environnement sans impact sur la productivité
- Niveau 2 : durcissement maximal pour les environnements à haute sécurité (peut restreindre certaines fonctionnalités)
Exemples concrets de durcissement Windows 11 et Windows Server
Voici ce que nous appliquons systématiquement sur les postes et serveurs de nos clients :
Désactivation de SMBv1 : ce protocole de partage de fichiers datant de 1985 est la porte d'entrée qu'ont exploitée WannaCry et NotPetya. Il doit être désactivé sur 100% du parc. SMBv3 avec chiffrement prend le relais.
Contrainte de PowerShell : passage en mode Constrained Language Mode et activation de la journalisation de scripts (ScriptBlock Logging). PowerShell est l'outil favori des attaquants pour l'exécution de malware fileless -- le restreindre sans le désactiver complètement permet de conserver son utilité administrative tout en bloquant les usages malveillants.
Blocage des macros Office : désactivation des macros VBA pour les fichiers provenant d'Internet (Mark of the Web). Les macros Office restent le vecteur n°1 de distribution de ransomware. Cette mesure seule bloque une proportion massive des attaques par e-mail.
Fermeture du protocole RDP exposé : le Remote Desktop Protocol ne doit jamais être accessible directement depuis Internet. L'accès distant passe par un VPN ou une passerelle RDP avec MFA. Combiné avec une gestion des identités et accès (IAM) rigoureuse, cela élimine un vecteur d'attaque massivement exploité par les groupes ransomware.
Suppression des droits administrateur local : un utilisateur standard n'a pas besoin de droits admin pour travailler. La suppression de ces droits empêche l'installation de logiciels non autorisés et bloque l'élévation de privilèges. Les besoins ponctuels d'élévation sont gérés par des solutions de Privilege Access Management intégrées à notre offre de maintenance informatique.
Chiffrement intégral des disques : BitLocker et FileVault
Le risque du poste volé
Un ordinateur portable volé ou perdu sans chiffrement disque, c'est un accès direct à toutes les données locales : fichiers clients, e-mails en cache, jetons d'authentification enregistrés, base de données locale. Le chiffrement intégral rend le disque illisible sans la clé de déchiffrement.
Déploiement technique
BitLocker (Windows) s'appuie sur le TPM (Trusted Platform Module), une puce de sécurité intégrée à la carte mère qui stocke la clé de chiffrement de manière matérielle. Le déploiement via Microsoft Intune (que nous gérons dans le cadre de notre offre MDM/gestion de flotte mobile) permet :
- L'activation silencieuse de BitLocker sans intervention utilisateur
- L'escrow automatique des clés de récupération dans Entra ID
- Le reporting de conformité (quel poste est chiffré, lequel ne l'est pas)
- L'application de politiques de chiffrement (AES-256, XTS-AES)
FileVault (macOS) fonctionne sur le même principe avec la puce T2/Apple Silicon. Les clés de récupération sont stockées dans la console MDM.
Le chiffrement disque est une exigence réglementaire pour toute entreprise soumise au RGPD. En cas de perte de matériel, l'absence de chiffrement constitue une violation de données notifiable à la CNIL.
Scan de vulnérabilités : identifier avant que l'attaquant ne le fasse
Scan authentifié vs non authentifié
Un scan de vulnérabilités peut s'exécuter de deux manières :
- Non authentifié (externe) : le scanner interroge les services exposés sur le réseau sans identifiants. Il détecte les ports ouverts, les versions de services visibles et les vulnérabilités exploitables depuis l'extérieur.
- Authentifié (interne) : le scanner dispose d'identifiants pour se connecter aux machines. Il accède à l'inventaire logiciel complet, aux configurations système et aux correctifs installés. Résultat : 40% de vulnérabilités supplémentaires détectées en moyenne.
Priorisation par score CVSS
Chaque vulnérabilité détectée reçoit un score CVSS (Common Vulnerability Scoring System) de 0 à 10 :
| Score CVSS | Criticité | Délai de remédiation recommandé |
|---|---|---|
| 9.0 - 10.0 | Critique | 24-48 heures |
| 7.0 - 8.9 | Haute | 7 jours |
| 4.0 - 6.9 | Moyenne | 30 jours |
| 0.1 - 3.9 | Faible | Prochain cycle de maintenance |
Le score CVSS seul ne suffit pas : nous croisons avec l'exploitabilité réelle (un exploit public existe-t-il ?) et l'exposition métier (ce serveur héberge-t-il des données critiques ?). Cette priorisation contextuelle est essentielle pour les PME aux ressources limitées. Un audit de cybersécurité initial permet d'établir cette cartographie.
RMM : supervision et intervention à distance
Architecture du Remote Monitoring and Management
Le RMM (Remote Monitoring and Management) est le socle opérationnel de la gestion de parc. Son architecture repose sur :
- Un agent déployé sur chaque poste et serveur : il collecte en temps réel les métriques système (CPU, RAM, disque, services), l'inventaire matériel et logiciel, et les alertes de sécurité
- Une console centralisée : tableau de bord unique pour superviser l'ensemble du parc, exécuter des scripts à distance et déclencher des actions correctives
- Un CMDB auto-discovery : la base de données de gestion de configuration se constitue automatiquement par inventaire réseau, sans saisie manuelle
Le RMM permet l'intervention à distance immédiate : prise en main d'un poste, redémarrage de service, déploiement de correctif d'urgence, isolation d'une machine compromise. En cas d'incident détecté par notre SOC managé, l'analyste peut intervenir sur le poste en quelques minutes via le RMM sans attendre qu'un technicien se déplace.
Filtrage DNS : bloquer les menaces avant la connexion
Fonctionnement technique
Le filtrage DNS agit au niveau de la résolution de noms de domaine -- c'est-à-dire avant même que la connexion TCP ne s'établisse. Quand un utilisateur (ou un malware) tente d'accéder à un domaine, la requête DNS est interceptée et vérifiée contre des bases de threat intelligence :
- L'utilisateur clique sur un lien ou un malware tente de contacter son serveur C2
- La requête DNS est redirigée vers le résolveur sécurisé
- Le domaine est vérifié contre les listes de domaines malveillants, de phishing, de C2 connus
- Si le domaine est malveillant : blocage instantané et journalisation
- Si le domaine est légitime : résolution normale
L'avantage du filtrage DNS est sa légèreté : il ne nécessite pas d'inspection du trafic (pas de déchiffrement SSL) et fonctionne sur tous les protocoles (HTTP, HTTPS, FTP, etc.). Il complète la sécurité réseau SD-WAN/SASE en ajoutant une couche de protection directement sur l'endpoint.
Point essentiel : le filtrage DNS via agent fonctionne y compris en télétravail et en déplacement. Le collaborateur connecté au Wi-Fi d'un hôtel bénéficie de la même protection que celui assis au bureau. Combiné à une surveillance du darkweb pour détecter les identifiants compromis, cette approche couvre les menaces en amont et en aval.
Intégration EDR/XDR : la défense en profondeur
Comment les couches s'articulent
Le hardening et le patching réduisent la surface d'attaque. Mais aucune défense n'est infaillible. C'est pourquoi une solution EDR/XDR vient compléter le dispositif :
- Le hardening empêche l'exploitation des vecteurs connus (macros, RDP, SMBv1)
- Le patching comble les vulnérabilités publiées
- Le filtrage DNS bloque les communications avec les infrastructures malveillantes
- L'EDR (Endpoint Detection & Response) détecte les comportements suspects en temps réel : processus anormaux, mouvements latéraux, tentatives d'exfiltration
- Le XDR corrèle les signaux entre endpoints, réseau, e-mails et identités
- Le SOC managé analyse les alertes 24/7 et déclenche la réponse à incident
Cette architecture en couches signifie qu'un attaquant doit franchir chaque niveau successivement pour atteindre son objectif. Un poste durci, patché, avec filtrage DNS et EDR supervisé par un SOC, est exponentiellement plus difficile à compromettre qu'un poste avec un simple antivirus.
Sauvegarde et PRA : le dernier rempart
La sécurisation des endpoints est indispensable, mais il faut accepter une réalité : aucun système n'est inviolable. Si un ransomware parvient malgré tout à franchir les couches de hardening, de patching, de filtrage DNS et d'EDR, la sauvegarde et le plan de reprise d'activité (PRA) constituent le dernier rempart.
Une stratégie de sauvegarde solide garantit que même en cas de chiffrement intégral du parc par un ransomware, l'entreprise peut restaurer ses données et reprendre son activité dans un délai maîtrisé. Les sauvegardes doivent être immuables (non modifiables par un ransomware), externalisées et testées régulièrement. C'est l'assurance vie de votre système d'information.
Conformité NIS2 et DORA : ce que couvrent le patching et le hardening
Les réglementations européennes NIS2 (directive 2022/2555) et DORA (règlement 2022/2554) imposent des exigences techniques précises que le patching et le hardening adressent directement :
| Exigence réglementaire | Mesure technique | Preuve fournie |
|---|---|---|
| Gestion des vulnérabilités (NIS2 art. 21, DORA art. 9) | Patch management automatisé + scan de vulnérabilités | Rapports de déploiement, taux de conformité, scores CVSS |
| Hygiène informatique (NIS2 art. 21§2g) | Hardening CIS Benchmarks | Rapport d'audit CIS avec score de conformité |
| Sécurité des postes de travail (DORA art. 9§4) | Chiffrement BitLocker + suppression admin local | Dashboard MDM avec statut chiffrement |
| Détection des incidents (NIS2 art. 21§2b) | EDR/XDR + SOC managé | Journaux de détection et temps de réponse |
| Gestion des accès (NIS2 art. 21§2i) | IAM + gestionnaire de mots de passe | Politiques Entra ID, audit d'accès |
| Continuité d'activité (NIS2 art. 21§2c) | Sauvegarde et PRA | Tests de restauration documentés |
Les rapports générés par nos outils de patch management, de scan et de hardening constituent des preuves d'audit directement exploitables. Pour les entreprises qui doivent également protéger les identifiants de leurs équipes, notre gestionnaire de mots de passe professionnel complète le dispositif de gestion des accès.
Comparaison : antivirus seul vs EDR seul vs offre Cyber Sécurité complète
| Capacité | Antivirus seul | EDR seul | Offre complète (Patching + Hardening + EDR + SOC + DNS + Scan) |
|---|---|---|---|
| Détection de malwares connus | Oui (signatures) | Oui (comportemental + signatures) | Oui |
| Détection de menaces inconnues (zero-day) | Non | Oui | Oui |
| Réduction de la surface d'attaque | Non | Non | Oui (hardening CIS) |
| Correction des vulnérabilités | Non | Non | Oui (patch management auto) |
| Blocage des communications C2 | Non | Partiel | Oui (filtrage DNS) |
| Détection proactive des failles | Non | Non | Oui (scan de vulnérabilités) |
| Supervision 24/7 | Non | Non (alertes non traitées) | Oui (SOC managé) |
| Réponse à incident | Non | Manuelle (sans analyste) | Oui (SOC + RMM) |
| Chiffrement des postes | Non | Non | Oui (BitLocker/FileVault) |
| Conformité NIS2/DORA | Insuffisante | Partielle | Complète |
| Temps moyen de détection (IBM, 2024) | >200 jours | ~50 jours | <24 heures |
L'antivirus seul ne protège que contre les menaces connues. L'EDR seul détecte mais ne corrige pas les failles qui permettent l'intrusion. Seule une approche intégrée couvrant la prévention (patching, hardening, DNS), la détection (EDR/XDR, scan) et la réponse (SOC, RMM) offre une protection réelle.
Conclusion
La sécurisation des postes et serveurs n'est pas un projet ponctuel -- c'est un processus continu qui combine patching automatisé, hardening selon les référentiels CIS, chiffrement des disques, scan de vulnérabilités, filtrage DNS et supervision EDR/SOC. Chaque couche compense les limites de la précédente, et c'est cette profondeur qui fait la différence face à des attaquants de plus en plus sophistiqués.
Pour une PME, la bonne nouvelle est que cette approche est désormais accessible et industrialisée. Nos outils automatisent le déploiement, le suivi et le reporting. Votre équipe IT se concentre sur son coeur de métier pendant que nous gérons la sécurité de votre parc.
Vous souhaitez un diagnostic de la sécurité de vos endpoints ? Contactez-nous pour un état des lieux gratuit de 30 minutes.
Cet article est le complément technique de notre page Sécurisation des postes et serveurs. Pour une vue d'ensemble orientée business, consultez-la directement.
