- La gestion des terminaux professionnels repose sur quatre composantes : inventaire exhaustif (UEM/MDM), politiques de configuration standardisées, cycle de vie documenté (achat → déploiement → exploitation → restitution), et reporting de conformité continu.
- L'UEM (Unified Endpoint Management) consolide la gestion des terminaux hétérogènes — Windows, macOS, iOS, Android — dans une plateforme unique, éliminant les angles morts des approches par silos (MDM mobile d'un côté, SCCM postes de l'autre).
- Les politiques de configuration standardisées, appliquées automatiquement à l'enrôlement via des profils MDM, réduisent la dépendance aux configurations manuelles et garantissent un niveau de protection cohérent dès la mise en service.
- Capital One (2019) a subi une compromission liée à des droits d'accès AWS mal configurés depuis un terminal avec accès administrateur — illustrant que la configuration des terminaux conditionne la sécurité des ressources cloud qu'ils peuvent atteindre.
- Le reporting de conformité automatisé, produit depuis la console UEM, transforme un état de gestion opaque en un tableau de bord auditable — requis pour les certifications (ISO 27001, SOC 2) et les réponses aux audits réglementaires.
Structurer la gestion des terminaux professionnels, c'est passer d'une approche réactive (traiter les incidents terminal par terminal) à une approche systémique (garantir un niveau de sécurité cohérent sur l'ensemble du parc via des processus automatisés). Cette transition requiert trois éléments : un outillage adapté (UEM/MDM), des processus formalisés couvrant l'ensemble du cycle de vie des terminaux, et des indicateurs permettant de mesurer en continu l'état de conformité du parc.
La structuration de la gestion des terminaux n'est pas réservée aux grandes organisations. Des solutions MDM cloud comme Microsoft Intune, Jamf (macOS/iOS), ou VMware Workspace ONE offrent des capacités complètes avec des modèles de coût par terminal adaptés aux moyennes structures. L'enjeu n'est pas la taille mais la volonté de traiter la gestion des terminaux comme un processus formalisé plutôt que comme une série d'opérations ad hoc.
La plateforme UEM comme fondation unique
L'UEM (Unified Endpoint Management) est l'évolution logique des MDM (gestion mobile) et des outils de gestion des postes de travail (SCCM, Intune) vers une plateforme unique couvrant l'ensemble des types de terminaux. Une organisation gérant ses smartphones iOS et Android avec un MDM mobile, ses postes Windows avec SCCM, et ses Macs avec des scripts manuels maintient trois silos d'inventaire, trois référentiels de politiques, et trois sources d'alertes à consolider manuellement. L'UEM centralise ces flux dans une console unique : un inventaire consolidé de tous les terminaux quel que soit leur type, une définition des politiques de sécurité avec leur application cross-plateforme, et un reporting de conformité unifié. Cette consolidation élimine les angles morts liés aux transitions entre outils et réduit significativement la charge opérationnelle de la gestion du parc.
Les politiques de configuration standardisées
Une politique de configuration standardisée définit l'ensemble des paramètres de sécurité qui doivent être appliqués à tous les terminaux d'un même profil. Pour les postes Windows : BitLocker activé, Defender activé et à jour, pare-feu activé, PowerShell en mode ConstrainedLanguage, AppLocker configuré, droits administrateur supprimés pour les utilisateurs standards, session verrouillée après 5 minutes d'inactivité. Pour les terminaux iOS : PIN alphanumérique de 6 caractères minimum, verrouillage automatique après 2 minutes, effacement après 10 tentatives échouées, mise à jour automatique activée, AirDrop désactivé dans les environnements sensibles. Ces politiques, définies une fois dans la console UEM, s'appliquent automatiquement à l'enrôlement de chaque nouveau terminal et sont vérifiées en continu. Toute déviation est signalée et peut déclencher un blocage d'accès jusqu'à remédiation.
La compromission via SolarWinds a affecté les terminaux d'administrateurs systèmes qui avaient installé la mise à jour compromise. Ces terminaux, dotés de droits élevés sur l'infrastructure, ont permis aux attaquants de progresser latéralement dans les réseaux de dizaines d'organisations gouvernementales et privées. Ce cas illustre que la gestion des terminaux des administrateurs est une priorité distincte : des politiques plus strictes, des droits d'accès granulaires, et des sessions à durée limitée doivent s'appliquer aux postes avec accès à l'infrastructure critique, indépendamment des politiques générales du parc.
Le cycle de vie formalisé des terminaux
Le cycle de vie d'un terminal professionnel couvre six phases qui doivent chacune être documentée dans les processus IT. L'acquisition : définition des spécifications techniques minimales de sécurité, validation de la conformité des équipements reçus avant déploiement. Le déploiement : enrôlement MDM, application des politiques de configuration, installation du catalogue d'applications, enregistrement dans l'inventaire. L'exploitation : gestion des mises à jour, réponse aux incidents de conformité, renouvellement des certificats. La cession interne : désinscription du MDM de l'ancien utilisateur, wipe et réenrôlement avant attribution à un nouveau collaborateur. La restitution : wipe certifié, mise à jour de l'inventaire, révocation de tous les accès associés. La mise au rebut : destruction certifiée avec documentation, déréférencement de l'inventaire. Chacune de ces phases doit avoir un propriétaire, une procédure écrite, et une traçabilité.
Le reporting de conformité comme outil d'audit
Le reporting de conformité automatisé produit depuis la console UEM sert deux objectifs distincts. En opérationnel : identifier en temps réel les terminaux en écart par rapport aux politiques et déclencher les actions correctives (notification utilisateur, blocage d'accès, escalade IT). En gouvernance : produire des rapports périodiques montrant le taux de conformité du parc, son évolution dans le temps, et les actions correctives réalisées — requis pour les revues de direction SMSI (ISO 27001), les audits de certification (SOC 2, HDS), et les réponses aux questions des clients ou des régulateurs sur la sécurité des terminaux. Ce reporting doit être archivé avec les dates de production pour constituer une preuve d'amélioration continue opposable lors d'un audit.
La compromission de Capital One a exposé les données de 100 millions de clients via une mauvaise configuration d'un rôle IAM sur AWS. Un terminal avec accès à la console AWS et des droits mal configurés a été le vecteur de l'exfiltration. Ce cas illustre que la gestion des terminaux doit intégrer la sécurité des accès cloud qu'ils portent : les credentials AWS, Azure ou GCP stockés sur un terminal sont aussi critiques que ceux permettant l'accès aux serveurs internes. La gestion des terminaux et la gestion des identités cloud sont complémentaires.
LockBit a publié 9,5 Go de données internes de Thales. L'investigation a identifié des accès à des référentiels internes via des identifiants compromis. La gestion rigoureuse des terminaux des développeurs et architectes — qui ont accès aux référentiels de code, aux systèmes de conception, et aux outils d'intégration continue — est particulièrement critique : ces terminaux portent des secrets (clés SSH, tokens API, accès aux dépôts) qui donnent accès à l'ensemble du patrimoine intellectuel de l'organisation.
Le groupe Lapsus$ a publié 190 Go de données Samsung dont des codes source et des algorithmes de sécurité biométrique. Les attaquants ont accédé aux référentiels via des identifiants compromis, probablement obtenus depuis des terminaux de développeurs insuffisamment protégés. La sécurité des terminaux des équipes techniques — qui disposent d'accès larges aux référentiels de code, aux plateformes DevOps, et aux environnements de production — est une priorité distincte dans tout programme de gestion des terminaux professionnels.