Secu
Vers des PC d’entreprises beaucoup plus sécurisés
Par Laurent Delattre, publié le 22 octobre 2019
L’initiative « Secured-Core PCs » vise à proposer aux entreprises des postes Windows renforcés du hardware aux applications, en activant par défaut toutes les couches de sécurité présentes dans l’OS.
Fruit d’un partenariat entre Microsoft, Dell, Dynabook (ex Toshiba), HP, Lenovo et Panasonic, l’initiative « Secured-Core PCs » destinée à produire des PC renforcés contre toutes les formes de cybermenaces. Ces nouveaux PC sont principalement destinés aux industries de la finance, de la santé, aux entités gouvernementales et à tous collaborateurs d’entreprise amenés à manipuler des informations hautement sensibles comme des données personnelles de clients et des données relatives à des propriétés intellectuelles.
L’initiative est une réponse à l’augmentation constante de cyberattaques menées par des états et de menaces sophistiquées visant directement le matériel et les firmwares afin de mieux compromettre les sécurités des couches supérieures des systèmes.
Les Secured-Core PC combinent des protections spécifiques sur le firmware, le boot, le hardware, le système d’exploitation et les identités afin de renforcer l’ensemble. Ils sont conçus pour se prémunir de ces nouvelles formes d’attaques sans se fier uniquement aux détections logicielles des antimalwares et autres protections Endpoints.
Un Secured-Core PC est donc un PC embarquant des boucliers matériels et logiciels destinés à assurer un démarrage sécurisé de la machine, à défendre la machine et le système contre les vulnérabilités des firmwares, à prévenir les accès non autorisés, à protéger les identifiants, et à tirer profit de l’ensemble des couches de sécurité embarquées dans Windows 10. Ces PC embarquent également différents capteurs pour permettre aux SecOps et aux IT de surveiller à distance la santé de ces PC.
Les protections s’appuient notamment sur TPM 2.0, Secure Boot, Bitlocker, ainsi que sur Windows Defender System Guard (et ses modules Secure Launch, SRTM et SMM) un ensemble de fonctionnalités récemment ajoutées à Windows 10 et qui exploitent des nouvelles fonctionnalités des processeurs Intel, AMD et Qualcomm pour garantir l’intégrité du système dès les tous premiers cycles du démarrage et jusqu’à son extinction. System Guard contribue également à la mise en place de réseaux « Zero Trust » en définissant des politiques d’accès conditionnelles basées sur les informations retournées par System Guard.
Les Secured-Core PC doivent impérativement implémenter toutes les sécurités de Windows 10 basées sur de virtualisation à l’instar de Device Guard, Credential Guard, Isolated User Mode, Windows Sandbox, et Application Guard.
En revanche, si les constructeurs doivent suivre un ensemble de bonnes pratiques pour sécuriser les firmwares, ils ne sont pas obligés d’adopter Project-Mu, le firmware sécurisé élaboré par Microsoft et publié en open source.
Par ailleurs Microsoft ne précise pas si ces PCs seront réservés aux licences Windows 10 Enterprise ou s’ils seront disponibles avec Windows 10 Pro. Rien non plus n’est précisé quant aux paramétrages de l’OS en matière de télémétrie alors même que la Communauté Européenne par l’intermédiaire de l’EDPS (European Data Protection Supervisor) vient d’exprimer ses inquiétudes à ce sujet (Microsoft a, depuis, renouvelé sa ferme intention à se conformer aux remarques que soulèveront les investigations en cours de l’EDPS).
Source :
New device security requirements to protect against targeted firmware attacks