Renforcez la sécurité VDI dans un Active Directory on-premise : MFA VDI et contrôles d’accès

L’ordinateur personnel reste le socle de l’informatique d’entreprise moderne, mais l’exécution locale des applications ne convient pas toujours à tous les usages logiciels.

L’un des inconvénients du modèle PC est qu’il oblige les organisations à faire des hypothèses optimistes concernant la sécurité des données et des applications. Les PC sont vulnérables aux compromissions, souvent impossibles à détecter avant qu’une violation ne se produise.

Le modèle PC suppose également que chaque ordinateur dispose d’une copie locale de l’application et d’une puissance de traitement suffisante pour l’exécuter. Or, certaines organisations utilisent des applications complexes et gourmandes en ressources, ce qui rend ce modèle inadapté.

L’infrastructure de postes de travail virtuels (VDI), également appelée virtualisation de postes à distance, est un modèle informatique permettant de répondre à des cas d’usage que le modèle PC traditionnel gère difficilement. Voici comment UserLock permet de sécuriser le VDI on-premise grâce à l’authentification multifacteur (MFA) et aux contrôles d’accès.

L’infrastructure de postes virtuels (VDI) offre une alternative où des applications individuelles ou des bureaux complets sont virtualisés et fournis de manière centralisée, généralement à partir de serveurs hébergés dans le centre de données de l’organisation.

Il peut s’agir de sessions « terminal » partagées, où tous les utilisateurs accèdent au même environnement, ou de sessions de bureau dédiées où chaque utilisateur dispose de son propre espace applicatif et de ses données. Les sessions peuvent être persistantes (l’utilisateur retrouve le même environnement à chaque connexion) ou non persistantes (chaque session démarre dans un nouvel environnement).

En pratique, le VDI est une technologie complexe pouvant être déployée de différentes manières à l’aide de technologies propriétaires, telles que Microsoft, VMware ou Citrix. Le principe reste cependant le même : les applications (ou un système d’exploitation complet) s’exécutent sur un hyperviseur distant, avec lequel l’utilisateur interagit via le protocole RDP (Remote Desktop Protocol) comme si l’application était installée localement.

Cela centralise le contrôle des applications et des données, offrant aux organisations davantage de visibilité et de maîtrise. Grâce au VDI, les employés distants peuvent accéder plus efficacement — et en principe plus sûrement — à des applications exigeantes ou partagées.

Bien que le VDI soit parfois considéré comme « niche », les environnements modernes présentent de nombreux scénarios où il constitue la meilleure option. Il permet de partager des applications tout en maintenant les données sous contrôle centralisé. Il est également adapté à l’accès à distance, ainsi qu’aux applications complexes ou héritées difficilement exécutables sur un PC local.

Aujourd’hui, le VDI est souvent déployé en complément des PC et des ordinateurs portables pour fournir un accès à des applications spécialisées.

Sa popularité repose sur le niveau accru de sécurité et de contrôle des données qu’il offre, combiné à la simplicité d’usage pour les employés.

Cependant, la complexité et la sécurité restent des enjeux majeurs.

Le VDI nécessite davantage d’infrastructure, ce qui entraîne souvent des couches supplémentaires de complexité, notamment en matière de sécurité. L’accès à distance est toujours un scénario à risque — et avec le VDI, le risque est amplifié puisque les utilisateurs accèdent directement aux applications et données centrales.

Les identifiants traditionnels (nom d’utilisateur/mot de passe) sont trop vulnérables pour sécuriser seuls les connexions VDI. Dans le contexte actuel, le VDI est impensable sans MFA — mais sa mise en œuvre peut être délicate.

Les organisations doivent trouver un moyen d’implémenter la MFA sans qu’elle devienne une charge administrative ou un obstacle pour les utilisateurs.

Le VDI on-premise excelle lorsque le contrôle centralisé et la supervision sont prioritaires, ou lorsque les PC locaux ne sont pas assez puissants pour exécuter des applications complexes.

Le VDI est pertinent lorsque vous devez :

• Créer un environnement hautement sécurisé, notamment dans les secteurs gouvernementaux ou militaires, où les données doivent rester centralisées.

• Respecter des exigences réglementaires de résidence des données, notamment dans la santé ou la finance.

• Partager des applications spécialisées ou très performantes (ex. : CAD/CAM, centres d’appels).

• Donner accès à des applications héritées incompatibles avec les PC modernes.

• Simplifier le support d’une main-d’œuvre entièrement distante ou hybride.

En théorie, la centralisation renforce le contrôle. Mais les risques VDI restent nombreux.

Un poste utilisant le VDI demeure un endpoint. Si un attaquant compromet cet endpoint, il peut accéder au compte utilisateur, aux applications ou au bureau distant.

Tout ce qu’un attaquant peut faire en compromettant un PC est également possible dans une session VDI.

Autre risque : les sessions simultanées. Lorsqu’un utilisateur ouvre une seconde session sans fermer la première, il augmente la surface d’attaque.

Enfin, le VDI complique la conformité. Avec de nombreux utilisateurs accédant aux serveurs centraux, il est essentiel de sécuriser les identifiants et d’avoir une visibilité complète sur les accès.

Traditionnellement, le VDI est déployé on-premise avec gestion interne de l’infrastructure et d’Active Directory.

Aujourd’hui, les solutions DaaS et Azure Virtual Desktop ont élargi les options. Le VDI peut être servi depuis le cloud via Entra ID ou depuis des serveurs connectés à un AD on-premise.

Chaque approche présente avantages et inconvénients. Toutefois, le VDI on-premise demeure populaire car il offre un contrôle accru sur les données et la sécurité, sans dépendre d’un fournisseur tiers.

Cela implique cependant de gérer en interne toute l’infrastructure, y compris la couche MFA VDI, authentifiée via AD on-premise ou en mode hybride via Microsoft Entra Domain Services.

UserLock permet de sécuriser le VDI avec plusieurs couches de contrôle.

La première est la MFA VDI (notification push, application d’authentification, clé matérielle comme YubiKey ou Token2).

UserLock s’intègre aux annuaires AD on-premise et à Entra ID avec AD DS sans infrastructure supplémentaire. La mise en œuvre est rapide, depuis la même console que celle utilisée pour sécuriser VPN, IIS, Wi-Fi, SaaS, etc.

Les invites MFA sont déclenchées par un agent exécuté sur le poste utilisateur.

Les sessions simultanées représentent un risque sous-estimé.

UserLock permet de :

• Suivre les sessions simultanées

• Appliquer des limites par poste, utilisateur, groupe ou OU

• Utiliser le même panneau de configuration que pour VPN ou IIS

Les administrateurs disposent également de journaux détaillés pour surveiller les connexions et détecter les comportements suspects.

Avec une main-d’œuvre à distance, le cabinet d’avocats Duane Morris était confronté au problème des utilisateurs ouvrant des sessions simultanées sur l’ensemble de son parc de postes physiques et virtuels (VDI). UserLock a fourni à l’entreprise un moyen d’identifier et de déconnecter ces sessions, tout en distinguant les sessions poste de travail (Windows 10/11) des sessions terminal (bureau Windows partagé). Afin de réduire la charge administrative, UserLock a également permis aux utilisateurs de fermer eux-mêmes leurs sessions précédemment ouvertes au moment de se connecter à une nouvelle session.

Lire l’étude de cas : Comment UserLock renforce la sécurité VDI grâce à la supervision et au contrôle des sessions simultanées

Chargé de déployer la MFA afin de sécuriser l’accès Windows VDI on-premise pour l’un de ses clients managés, Zephyr Cloud a eu des difficultés à trouver une solution qui n’implique ni coûts supplémentaires ni complexité additionnelle. Bien que le fournisseur d’identité du domaine du client soit Entra ID, celui-ci utilise AD DS pour s’authentifier auprès des systèmes hérités ainsi que pour le VDI. L’implémentation de la MFA par UserLock a fonctionné sans logiciel supplémentaire, permettant aux utilisateurs accédant à une application d’ingénierie VDI multi-session de recevoir des demandes MFA, qu’ils y accèdent via un navigateur ou via l’agent VDI.

Lire l’étude de cas : Comment la MFA UserLock pour Windows VDI répond aux exigences de conformité