Dirk Schrader, Global VP of Security Research chez New Net Technologies, qui fait désormais partie de Netwrix, a fait le commentaire suivant :

« Windows 365 nécessite toujours un appareil - et Microsoft indique que cette offre présente l’avantage de pouvoir être utilisée sur n’importe quel appareil, personnel ou professionnel, pour accéder au service. Pour les utilisateurs, cet aspect ne sera pas forcément attrayant, car ces appareils ont déjà un système d’exploitation (OS). Dans la plupart des cas, les ordinateurs de bureau et portables sont en effet déjà équipés de Windows. Pour les entreprises, le cadre est plus complexe : en fonctionnant en plus d’un appareil existant, le service représente une couche supplémentaire dans la pile informatique, un élément à prévoir et à gérer correctement.

La gestion des utilisateurs et des droits d’accès doit englober cette couche de service supplémentaire, surtout lorsque l’organisation se trouve dans un secteur hautement réglementé. Le flux d’informations entre les bases de données de l’entreprise et les applications fonctionnant sur Windows 365, par exemple, devrait être une priorité pour les responsables de la conformité qui devront évaluer le risque et l’impact potentiels. Les approches standards d’authentification des utilisateurs, telles que l’authentification unique (SSO), pourraient obliger les entreprises à intégrer le service, mais aucun détail n’est encore disponible sur la manière dont Microsoft prévoit de répondre à ces exigences. Les installations de logiciels personnalisés et les applications hautement spécialisées sont également un domaine où des questions se posent. La sécurité de l’ensemble du service repose sur la normalisation, de sorte que toute application non standard pourrait nécessiter un examen et une approbation supplémentaires de la part de Microsoft.

Pour de nombreuses entreprises, le durcissement du système d’exploitation d’un appareil est obligatoire. Pour Microsoft, cette partie sera le banc d’essai de sécurité du service, car elle a un impact sur sa capacité à standardiser l’offre et les besoins des organisations clientes. Cet équilibre a également une incidence sur les aspects liés à la confidentialité des données, car les entreprises pourraient être amenées à modifier les paramètres de collecte des données de diagnostic et d’utilisation par Windows. Du point de vue de la sécurité, l’utilisation de Windows 365 constitue la couche supplémentaire de complexité précédemment mentionnée. Il y a toujours un appareil avec un système d’exploitation sur lequel le navigateur fonctionne, qui est utilisé pour accéder au bureau virtualisé, et cet appareil doit être sécurisé quoiqu’il arrive. Un vecteur d’attaque simple à ce niveau peut être, par exemple, un enregistreur de frappe ou une redirection de site web pour intercepter les informations d’identification du compte, où l’authentification multi-facteurs pourrait atténuer une partie du risque avec ce vecteur.

L’utilisation d’un environnement client-serveur - dans lequel l’application client est installée dans Windows 365 et le serveur back-end fonctionne dans le centre de données de l’entreprise - est un autre domaine dont il faut être conscient. Le flux de données entre les deux doit être cartographié, chiffré et surveillé. La gestion des vulnérabilités est une autre exigence de sécurité essentielle qui doit être prise en compte. Bien que la documentation actuelle ne mentionne rien à propos de ce service, on peut supposer que Microsoft appliquera toujours les derniers correctifs aux postes de travail virtualisés. La gestion des vulnérabilités doit toutefois être exécutée sur ces appareils, car les logiciels qui y sont installés doivent également être vérifiés. Dans ce contexte, il convient de contrôler si les droits d’utilisateur demandés par de nombreux outils d’analyse sont pris en charge.

La surveillance, la détection et le contrôle des changements sont les prochains domaines à observer avec attention. L’intégration d’un poste de travail virtualisé Windows 365 dans une infrastructure de surveillance existante peut en effet être entravée par certaines limitations imposées par cette virtualisation. Ici, l’intégration étroite des outils de surveillance dans le système d’exploitation peut devenir elle-même un problème. Les flux de travail de sécurité en général devront donc être adoptés pour s’adapter à Windows 365, comme ils ont dû l’être pour AVD ou Amazon Workplaces.

Globalement, cette nouvelle façon de fournir Windows aux utilisateurs et aux entreprises a un bon potentiel pour certains cas d’utilisation. Néanmoins, les questions relatives à son intégration dans la pile informatique et les flux de travail en matière de sécurité devront faire l’objet d’un examen approfondi de la part des entreprises intéressées, afin qu’elles puissent décider si les coûts et les avantages l’emportent sur les frais opérationnels. »