Merci, super intéressant, c'est un bon résumé
 
Il faut notamment réduire la surface d'attaque, et le faire au global..
Il parle à un moment des trois vecteurs principaux : clic dans un mail, media inséré dans un PC et site mal protégé.
Pour les deux premiers, la cible privilégié est un windows avec un utilisateur peu attentif.
L'idée est donc de forcer les utilisateurs "basiques" à une certaine utilisation, en les contraignant par le soft de leur machine.
 
Au delà, je reste donc relativement convaincu que l'on peut raisonnablement permettre à des utilisateurs avancés de gérer eux mêmes plus de choses.
Probablement dans une démarche globale d'isolation des ressources, et de contrôle des accès, pour éviter l’élévation de privilège trop facile.
Et de bonnes pratiques aussi : À quoi bon un poste utilisateur hyper secure si l'utilisateur se trimballe avec des données de prod sur un média ?