Un poste durci réduit la surface d'attaque avant tout incident. Cette famille (W1, domaine Poste de travail) couvre le socle hygiénique : chiffrement intégral du disque (contre le vol ou la perte), OS et outils à jour (correctifs gérés), une configuration durcie de référence avec pare-feu local, un EDR à télémétrie centralisée, et le verrouillage de session avec sauvegardes chiffrées.
Un portable volé ou perdu non chiffré livre tout (code, clés SSH, jetons) : le chiffrement intégral du disque rend ces données illisibles. Un poste non patché accumule des CVE qu'un attaquant exploite sans effort, d'où la gestion des correctifs. Une configuration durcie (CIS) et un pare-feu local réduisent la surface offerte aux scans ; l'EDR à télémétrie centralisée détecte ce qui passe les barrières ; le verrouillage de session et le chiffrement des sauvegardes ferment les portes que le chiffrement disque avait fermées.
Concrètement, ces exigences parent : le portable volé non chiffré, le poste non patché exploité via une CVE connue, la compromission non détectée faute d'EDR, et la session ou la sauvegarde laissée sans protection. Cinq exigences, des fondamentales (R1) aux renforcées (R2).
Un poste non durci est compromis durablement et sert de tête de pont.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »chiffrement intégral du disque.#
Un portable volé ou perdu non chiffré livre tout : code source, clés SSH, jetons en clair. Le chiffrement intégral du disque (BitLocker, LUKS, FileVault) rend ces données illisibles sans la clé, transformant une perte matérielle en incident d'inventaire plutôt qu'en fuite de propriété intellectuelle.
- Preuve attendue
- Preuve de chiffrement intégral du disque.
- Outillage
- OpenSCAP CIS-CAT
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
OS et outils maintenus à jour (correctifs gérés).#
Un poste non patché accumule des CVE connues qu'un attaquant exploite sans effort. Une gestion des correctifs qui maintient OS et outils à jour ferme ces failles avant qu'elles ne servent de point d'entrée. Le poste du développeur mérite la même rigueur de patching que les serveurs.
- Preuve attendue
- Preuve de gestion des correctifs (OS et outils à jour).
- Outillage
- OpenSCAP CIS-CAT
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
configuration durcie de référence ; pare-feu local actif.#
Un poste aux réglages par défaut expose des services inutiles et des options dangereuses. Une configuration durcie de référence (CIS) et un pare-feu local actif réduisent la surface d'attaque et bloquent les connexions non sollicitées : on part d'un standard mesurable, pas d'un poste réglé au cas par cas.
- Preuve attendue
- Configuration durcie de référence appliquée ; pare-feu local actif.
- Outillage
- OpenSCAP CIS-CAT
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
EDR/antimalware avec télémétrie centralisée.#
Sans télémétrie centralisée, une compromission de poste reste un événement local que personne ne corrèle. Un EDR avec remontée centrale détecte les comportements suspects (exfiltration, persistance) et donne au SOC la visibilité pour réagir avant que le poste compromis ne contamine la chaîne.
- Preuve attendue
- Déploiement EDR/antimalware ; télémétrie centralisée.
- Outillage
- OpenSCAP CIS-CAT
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
verrouillage de session et chiffrement des sauvegardes.#
Une session non verrouillée ou une sauvegarde non chiffrée rouvre la porte que le chiffrement disque avait fermée. Le verrouillage automatique protège le poste laissé sans surveillance et le chiffrement des sauvegardes évite qu'une copie de secours devienne le maillon faible où les secrets fuient en clair.
- Preuve attendue
- Verrouillage de session configuré ; chiffrement des sauvegardes.
- Outillage
- OpenSCAP CIS-CAT
Correspondances & menaces parées 1 standard · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.