En tant que RSSI j'ai été confronté à cette problématique et je me suis souvent attiré les foudres de mes collègues.
Un utilisateur avertit pensera toujours qu'il maitrise suffisamment son outils de travail pour être administrateur et et que c'est un droit ou un acquis d'installer des logiciels de provenance parfois douteuse sur son poste de travail.
Le collaborateur est sachant dans son domaine métier et n'a pas forcément la vision de ce qui est fait dans l'entreprise, ses outils, les processus et encore moins comment sont gérées les infrastructures IT au sein de l'entreprise.
Même s'il est couramment sensibilisé aux risques cyber et aux bonnes pratiques, Il n'a pas forcement cette sensibilité qui lui permettrait d'être totalement alerte lorsqu'il installera un logiciel, face aux erreurs accidentelles et autres menaces de sécurités.
Le but n'est pas d'empêcher le collaborateur de travailler mais de limiter les risques potentiels de compromission du PC par un malware ou autre logiciels malveillants qui pourrait ouvrir des backdoor à un hacker.
Il n’est avant tout pas recommander d'utiliser un compte administrateur comme compte principal sur un poste de travail pour des raisons de sécurité.
Les comptes administrateurs ont un accès complets et des privilèges élevés sur le system, ce qui signifie qu'ils peuvent apporter des modifications critiques, installer ou désinstaller des logiciels, et effectuer d'autres actions potentiellement dangereuses.
Quand on est admin de son poste L’événement 4672 est difficilement contrôlé et il sera également difficile d'interpréter les actions liées à cet évènement comme étant légitimes : C'est un événement de sécurité Windows qui se produit lorsqu’un utilisateur se connecte à un ordinateur et qu’un des privilèges sensibles suivants est affecté à la nouvelle session d’ouverture de session :
Cet événement est généré pour les nouvelles ouvertures de session de compte si l’un des privilèges sensibles mentionnés ci-dessus est affecté à la nouvelle session d’ouverture de session.
Un utilisateurs qui est admin de son PC peux très facilement reconfigurer ces accès, modifier les configurations de sécurité (journalisation, gestion des GPO, désactivation de services de sécurité (firewall, antivirus), désinstaller des applications nécessaires au bon fonctionnement du poste de travails. => Et donc contourner la politique de sécurité de l'entreprise :(
Il est donc clairement conseillé d'avoir 2 comptes :
Les mot de passes devront être différents et sensibles à la casse, pour chaque compte que vous utiliserez (idem pour les applications métiers).
Sachant que dans les entreprises disposant des services d'une DSI, les taches d'exploitations et d'administrations sont en général automatisés via des outils dédiés (SSCM, WSUS, etc.) et gérés par les équipes Technicien/sysadmin/ingénieurs de la DSI.