- Les postes de travail restent le vecteur d'intrusion initial dans la majorité des attaques documentées : phishing, macros malveillantes, téléchargement drive-by, exploitation de vulnérabilités non corrigées sur des logiciels installés.
- L'angle mort principal tient à la gestion hétérogène des postes : droits administrateur trop répandus, patches applicatifs non alignés sur les patches OS, configurations hors référentiel, et absence d'EDR sur une fraction du parc.
- SolarWinds (2020) a été distribué comme mise à jour légitime et installé sur des postes d'administrateurs avec des droits élevés — illustrant que la sécurité du poste de travail conditionne la sécurité de l'ensemble de l'infrastructure.
- La durcissement des postes (hardening) via une baseline de configuration documentée et auditée réduit mécaniquement la surface d'attaque exploitable — sans nécessiter d'investissements technologiques supplémentaires.
- L'EDR (Endpoint Detection and Response) est la mesure la plus efficace pour détecter les comportements malveillants post-compromission sur les postes de travail.
La sécurité des postes de travail est paradoxalement l'un des domaines les moins bien maîtrisés dans des organisations qui disposent par ailleurs d'infrastructures réseau et périmètre sophistiquées. Ce paradoxe s'explique par l'hétérogénéité intrinsèque du parc postes — des milliers de machines avec des configurations différentes, des applications variées, des utilisateurs aux comportements divers — qui rend l'application uniforme de politiques sécuritaires beaucoup plus complexe que sur des serveurs ou des équipements réseau sous contrôle strict de l'IT.
Cette hétérogénéité crée des angles morts structurels : des postes avec des applications vulnérables que le processus de patch management ne couvre pas, des droits administrateur accordés pour des raisons de commodité et jamais révoqués, des configurations hors référentiel issues de déploiements anciens jamais mis à jour. Ces angles morts sont systématiquement exploités par les attaquants, pour qui le poste de travail d'un utilisateur disposant de droits élevés est l'objectif initial idéal.
Le poste de travail comme vecteur d'intrusion privilégié
Les statistiques des incidents documentés convergent : dans la majorité des intrusions sophistiquées, le point d'entrée initial est un poste de travail utilisateur. Le phishing — email avec pièce jointe malveillante ou lien vers un site d'hameçonnage — reste le vecteur le plus fréquent, car il exploite le comportement humain plutôt que des vulnérabilités techniques. L'exploitation de vulnérabilités sur des logiciels installés (navigateurs, suites Office, lecteurs PDF, clients de messagerie) sans EDR pour détecter l'exécution anormale est le second vecteur. Le drive-by download — téléchargement automatique d'un malware lors de la visite d'un site compromis — exploite les navigateurs non à jour ou les extensions vulnérables. Dans tous ces cas, la compromission initiale du poste de travail est le préalable à la progression latérale vers des ressources plus critiques.
Les configurations à risque les plus fréquentes
L'audit des postes de travail révèle régulièrement les mêmes configurations à risque. Les droits administrateur locaux accordés à des utilisateurs non-IT — pratique répandue pour "simplifier" l'installation d'applications ou la résolution de problèmes courants — permettent à un malware s'exécutant dans le contexte de l'utilisateur d'acquérir immédiatement des droits élevés sur le poste, puis sur le réseau. Le manque de couverture des patches applicatifs : si la majorité des organisations patch correctement Windows, les applications tierces (Adobe, Java, navigateurs, outils de productivité) sont souvent hors du processus WSUS ou SCCM/Intune et restent vulnérables des semaines ou des mois après publication d'un correctif. L'absence de liste blanche d'applications (Application Control) permet l'exécution de tout exécutable, malveillant ou non, dans le contexte utilisateur.
La compromission de Target — 40 millions de numéros de cartes bancaires volés — a débuté par le poste de travail d'un prestataire HVAC. Les identifiants réseau du prestataire, volés via un malware sur son propre poste, ont donné accès au réseau Target. Le pivot depuis le réseau de gestion vers le réseau de paiement a été facilité par une segmentation insuffisante. Ce cas illustre que la sécurité d'un poste de travail dans la chaîne de sous-traitance peut conditionner la sécurité de l'ensemble de l'organisation : la compromission d'un poste prestataire a suffi à déclencher une intrusion catastrophique.
Le hardening des postes : réduire la surface sans surcoût
Le durcissement des postes de travail (hardening) repose sur l'application d'une baseline de configuration sécurisée à l'ensemble du parc. Cette baseline documente les paramètres de sécurité attendus : désactivation des protocoles et services non nécessaires (SMBv1, NetBIOS, Telnet), configuration du pare-feu local, restrictions des scripts PowerShell non signés, activation de l'AppLocker ou de Windows Defender Application Control, chiffrement BitLocker sur l'ensemble du parc, et configuration du Credential Guard pour protéger les secrets en mémoire. Des référentiels comme le CIS Benchmark pour Windows ou macOS fournissent des configurations de référence maintenues et auditables. L'audit régulier de la conformité du parc à cette baseline — via des outils comme Microsoft Secure Score ou des scanners de configuration — identifie les dérives avant qu'elles ne soient exploitées.
L'EDR : détecter ce que les antivirus traditionnels manquent
Les solutions antivirus traditionnelles basées sur la détection par signature sont insuffisantes face aux techniques d'attaque modernes : malwares polymorphes, attaques living-off-the-land utilisant des outils légitimes (PowerShell, WMI, certutil), et fileless malware s'exécutant uniquement en mémoire sans déposer de fichier sur le disque. Les EDR (Endpoint Detection and Response) collectent une télémétrie comportementale continue sur le poste — processus créés, connexions réseau initiées, fichiers accédés, modifications du registre, injections mémoire — et utilisent des règles comportementales et du machine learning pour détecter les patterns d'attaque indépendamment des signatures. La capacité de réponse intégrée permet d'isoler un poste compromis du réseau en quelques secondes depuis une console centralisée, limitant la propagation. La couverture EDR à 100% du parc est un objectif mesurable et un indicateur de maturité sécurité.
La compromission de SolarWinds a affecté 18 000 organisations via une mise à jour logicielle légitime contenant un backdoor. Les postes d'administrateurs ayant installé la mise à jour compromise ont vu leurs identifiants et accès au réseau exposés. La difficulté de détection tenait précisément au fait que l'activité malveillante se réalisait via des processus légitimes (ceux du logiciel SolarWinds) — seule une solution EDR analysant les comportements plutôt que les signatures aurait pu détecter l'anomalie comportementale précocement.
NotPetya s'est propagé dans l'infrastructure Maersk via un logiciel de comptabilité ukrainien mis à jour par un employé sur un poste de travail connecté au réseau global. La propagation latérale via EternalBlue a paralysé l'ensemble de l'infrastructure mondiale en moins d'une heure, causant 300 millions de dollars de pertes. L'absence d'EDR et de segmentation réseau a permis au ransomware de se propager à une vitesse et une échelle impossibles à contenir manuellement.
La cyberattaque contre la filiale Toyota Connected Corporation a exposé les données de 3,1 millions de clients. L'investigation a révélé que des postes de travail dans l'environnement de développement avaient été compromis, donnant accès à des bases de données clients. Ce cas illustre que des postes dans des environnements considérés comme moins critiques (développement, test) sont souvent moins bien sécurisés que la production, alors qu'ils ont accès à des données réelles ou à des outils permettant d'atteindre la production.