Ce guide vous propose un ensemble de bonnes pratiques pour protéger les terminaux de votre organisation.
Le premier outil auquel on pense lorsque l’on évoque la sécurité des terminaux est l’antivirus, mais face aux différentes menaces pour la cybersécurité, ce n’est pas la seule mesure technique à mettre en place pour protéger efficacement votre parc. Est-ce qu’il faut alors mettre en place un EPP ? ou un EDR ? là aussi, ce n’est peut-être pas suffisant.
Découvrez dans cet article une méthode pour protéger efficacement vos terminaux.
Identifier les terminaux
Votre parc
Si vous avez consulté et suivi le précédent guide sur la gestion des mises à jour, vous avez déjà probablement un inventaire de vos terminaux.
Dans le cas contraire, vous pouvez toujours réaliser cet inventaire en suivant ces préconisations.
Les terminaux inconnus
Dans la mesure du possible, vous ne devriez pas autoriser la connexion de terminaux inconnus à votre réseau.
Pour cela il existe différentes solutions, pour le wifi : le wifi invité, pour le réseau câblé : le NAC (Network Access Control). Pour les accès VPN, vous devriez également interdire la connexion à votre réseau depuis des périphériques inconnus. Ces thèmes seront abordés dans un prochain guide sur le réseau.
Centraliser dès que possible
Afin de simplifier le maintien à jour de l’inventaire, et la diffusion des politiques, centralisez dès que possible d’administration de vos parcs.
Pour les périphériques type postes de travail, l’Active Directory permet de centraliser et diffuser les politiques de sécurité. Les antivirus avancés permettent également bien souvent de gérer une partie de ces politiques.
Pour les mobiles, il existe des solutions de MDM : Mobile Device Management par exemple, qui peuvent être étudiées en fonction de l’étendu de votre parc et de la criticité des périphériques.
Quelles politiques mettre en place ?
En fonction de votre contexte, il pourra être utile d’étudier la pertinence de la mise en place de différents mécanismes pour protéger vos terminaux, par exemple :
- activation du pare-feu local au terminal (et de ses règles)
- déploiement et mise en place de l’antivirus, EPP ou idéalement EDR (Enpoint Detection and Response)
- politique de gestion des supports amovibles
- déploiement de la politique de mises à jour des systèmes des terminaux
- politique de gestion des mises à jour des applications tierces
- politique de sauvegarde si des données essentielles sont stockées sur les terminaux
- politique de gestion des journaux
- chiffrement des disques du terminal, en particulier pour les terminaux mobiles
- limitation des applications installées sur les terminaux
- imposer un mot de passe au déverrouillage, forcer le verrouillage après X minutes d’inactivité.
Antivirus, EPP (Endpoint Protection Platform), EDR (Endpoint Detection and Response)
Antivirus représente la première ligne de défense, focalisée sur la prévention, en détectant et en supprimant les malwares grâce à des signatures de virus connus et à l’heuristique pour identifier les comportements suspects. Bien qu’essentiel, l’antivirus traditionnel est de plus en plus considéré comme insuffisant face à des menaces sophistiquées et en constante évolution.
EPP est une évolution du concept d’antivirus, offrant une suite de sécurité intégrée qui combine la détection de malwares, le pare-feu, le contrôle des applications, et parfois même le chiffrement des données. L’EPP vise à prévenir les attaques avant qu’elles n’atteignent le terminal, utilisant des techniques avancées de prévention contre les exploits, le phishing, et les attaques sans fichier.
EDR, quant à lui, complète l’EPP en se concentrant sur la détection et la réponse aux incidents après qu’une compromission a eu lieu. L’EDR recueille et analyse en continu des données sur les événements se produisant sur les terminaux pour identifier les activités malveillantes qui ont réussi à contourner les mesures préventives. Il permet une réponse rapide à ces menaces, avec des capacités d’investigation et de remédiation qui aident à comprendre l’attaque et à en limiter l’impact.
Dans le choix du produit, en plus des fonctionnalités, et des performances, vous devez porter une attention à l’impact sur les performances des périphériques.
Egalement, en fonction de vos usages et de vos enjeux, vous pouvez être amenés à choisir une solution ergonomique en terme de gestion.
Dans tous les cas, pour que la solution soit efficace, vous devrez vous assurer :
- Qu’elle soit déployée sur l’ensemble du parc pour ne pas créer de maillon faible
- Qu’elle soit à jour sur le parc
- Et que les alertes soient traitées
Mettre en œuvre les politiques de sécurité
Documentez vos pratiques
Documentez les différentes politiques que vous mettez en place, cela simplifiera leur implémentation et leur support et cela permettra d’élaborer votre charte informatique.
Mettez à jour votre charte informatique
En fonction de votre politique, cela peut avoir des incidences sur les données personnelles de vos utilisateurs notamment. Egalement, il parait opportun d’expliquer les finalités de certaines règles qui peuvent parfois contraindre les utilisateurs dans leur travail. Par exemple les mises à jour imposées qui contraignent à redémarrer le poste de travail.
Il peut être aussi utile de penser à la sécurité physique, en particulier lors des déplacements. Il pourrait être pertinent par exemple d’utiliser des filtres de confidentialité pour les écrans.
Informez et sensibilisez vos utilisateurs
Une charte signée, c’est bien, mais il faut qu’elle soit lue. Utilisez les canaux de diffusion à votre disposition pour sensibiliser vos utilisateurs régulièrement.
Vérifier l’efficacité des politiques
Comme toujours, mettre en place des automatisations n’exclut pas de mesurer ni de contrôler leur efficacité.
Vous pouvez déterminer des indicateurs pour vérifier que vos politiques sont bien appliquées. Par exemple en traçant les incidents qui stipulent qu’un antivirus n’est pas déployé ou pas à jour sur un poste de travail. En vérifiant si l’ensemble des comptes d’ordinateur de l’AD sont bien dans la console antivirus, en réalisant des contrôles manuels par échantillonnage lorsque vous avez la main sur l’un des terminaux…
Corrigez les problèmes
Corriger un problème sur le moment est une bonne chose.
En chercher la cause racine est une meilleure pratique afin de remédier de manière plus efficace au problème.
Par exemple : vous identifiez par hasard que l’antivirus n’est pas déployé sur un poste, vous corrigez en installant l’antivirus sur le poste.
Il convient alors de prendre du recul et de se poser la question « pourquoi ? » à plusieurs reprises. La cause racine est peut-être que le poste n’est pas dans l’AD, à ce moment là la correction pourrait être de revoir la procédure de préparation des nouveaux postes.
De la même manière, tirez des conséquences de vos indicateurs si ils ne sont pas au niveau attendu.
Pour conclure
La gestion des politiques de sécurité pour protéger vos terminaux est un thème important pour la sécurité de votre système d’information. Les cyberattaques peuvent s’appuyer sur vos terminaux pour réaliser un certain nombre d’opérations : entrer dans votre réseau, se déployer sur votre réseau, gagner en privilèges sur le réseau, voler de la données sur le terminal…
Il est primordial de prendre du temps sur le sujet afin d’adapter vos politiques en fonction de votre contexte, de vos enjeux et de la criticité de vos terminaux.
Références et Attributs
Références :
ANSSI-GUIDE-TPEPME-Question4
ANSSI-GUIDE-HYGIENEv2-ChapitreIV
ISO27002-2022-A.6.8 A7.9 A7.13 A8.7 A8.8 A8.19 A8.29 A8.32
NIST-v1.1-ID.RA-1 DE.CM-4 PR.AC-5 PR.DS-6 RS.MI-3
CIS_Controls-v8-10
Attributs :
Type de mesure : #Préventive #Détective #Corrective
Propriétés : #Confidentialité #Intégrité #Disponibilité
Concepts : #Protéger #Détecter #Répondre
Capacités : #Sécurité_système_et_réseau #Gestion_des_actifs #Protection_des_informations #Gestion_des_menaces_et_des_vulnérabilités #Configuration_sécurisée #Gestion_des_événements_de_sécurité_de_l’information
Domaines : #Protection #Défense #Gouvernance_et_Écosystème
Restez Connecté – Abonnez vous à Notre Newsletter
Une newsletter dédiée aux directions de petites et moyennes organisations, qui ont à traiter de près ou de loin les aspects du numérique et de sa sécurité. Directions générales, administratives, informatiques, techniques…
Un email tous les mois, pas plus, avec les actualités essentielles de l’environnement Cyber, sur l’aspect, légal, stratégique, et un guide de bonnes pratiques sur un élément en particulier pour sécuriser votre organisation. Quelques astuces et outils vous seront aussi partagés.