Accueil » sooizinsights » Sécurité des terminaux

Sécurité des terminaux

a seiche est dotée de capacités de camouflage exceptionnelles, lui permettant de changer de couleur et de texture pour se fondre dans son environnement. Cette capacité de camouflage symbolise la flexibilité et l'adaptabilité nécessaires dans la gestion des mises à jour de sécurité et le déploiement de patchs pour protéger les terminaux contre les menaces nouvelles et émergentes. De plus, la seiche utilise son encre pour créer un écran de fumée et échapper aux prédateurs, ce qui peut être vu comme une analogie au chiffrement des données pour protéger les informations sensibles.

Ce guide vous propose un ensemble de bonnes pratiques pour protéger les terminaux de votre organisation.

Le premier outil auquel on pense lorsque l’on évoque la sécurité des terminaux est l’antivirus, mais face aux différentes menaces pour la cybersécurité, ce n’est pas la seule mesure technique à mettre en place pour protéger efficacement votre parc. Est-ce qu’il faut alors mettre en place un EPP ? ou un EDR ? là aussi, ce n’est peut-être pas suffisant.

Découvrez dans cet article une méthode pour protéger efficacement vos terminaux.

Identifier les terminaux

Votre parc

Si vous avez consulté et suivi le précédent guide sur la gestion des mises à jour, vous avez déjà probablement un inventaire de vos terminaux.

Dans le cas contraire, vous pouvez toujours réaliser cet inventaire en suivant ces préconisations.

Les terminaux inconnus

Dans la mesure du possible, vous ne devriez pas autoriser la connexion de terminaux inconnus à votre réseau.

Pour cela il existe différentes solutions, pour le wifi : le wifi invité, pour le réseau câblé : le NAC (Network Access Control). Pour les accès VPN, vous devriez également interdire la connexion à votre réseau depuis des périphériques inconnus. Ces thèmes seront abordés dans un prochain guide sur le réseau.

Centraliser dès que possible

Afin de simplifier le maintien à jour de l’inventaire, et la diffusion des politiques, centralisez dès que possible d’administration de vos parcs.

Pour les périphériques type postes de travail, l’Active Directory permet de centraliser et diffuser les politiques de sécurité. Les antivirus avancés permettent également bien souvent de gérer une partie de ces politiques.

Pour les mobiles, il existe des solutions de MDM : Mobile Device Management par exemple, qui peuvent être étudiées en fonction de l’étendu de votre parc et de la criticité des périphériques.

Quelles politiques mettre en place ?

En fonction de votre contexte, il pourra être utile d’étudier la pertinence de la mise en place de différents mécanismes pour protéger vos terminaux, par exemple :

  • activation du pare-feu local au terminal (et de ses règles)
  • déploiement et mise en place de l’antivirus, EPP ou idéalement EDR (Enpoint Detection and Response)
  • politique de gestion des supports amovibles
  • déploiement de la politique de mises à jour des systèmes des terminaux
  • politique de gestion des mises à jour des applications tierces
  • politique de sauvegarde si des données essentielles sont stockées sur les terminaux
  • politique de gestion des journaux
  • chiffrement des disques du terminal, en particulier pour les terminaux mobiles
  • limitation des applications installées sur les terminaux
  • imposer un mot de passe au déverrouillage, forcer le verrouillage après X minutes d’inactivité.

Antivirus, EPP (Endpoint Protection Platform), EDR (Endpoint Detection and Response)

Antivirus représente la première ligne de défense, focalisée sur la prévention, en détectant et en supprimant les malwares grâce à des signatures de virus connus et à l’heuristique pour identifier les comportements suspects. Bien qu’essentiel, l’antivirus traditionnel est de plus en plus considéré comme insuffisant face à des menaces sophistiquées et en constante évolution.

EPP est une évolution du concept d’antivirus, offrant une suite de sécurité intégrée qui combine la détection de malwares, le pare-feu, le contrôle des applications, et parfois même le chiffrement des données. L’EPP vise à prévenir les attaques avant qu’elles n’atteignent le terminal, utilisant des techniques avancées de prévention contre les exploits, le phishing, et les attaques sans fichier.

EDR, quant à lui, complète l’EPP en se concentrant sur la détection et la réponse aux incidents après qu’une compromission a eu lieu. L’EDR recueille et analyse en continu des données sur les événements se produisant sur les terminaux pour identifier les activités malveillantes qui ont réussi à contourner les mesures préventives. Il permet une réponse rapide à ces menaces, avec des capacités d’investigation et de remédiation qui aident à comprendre l’attaque et à en limiter l’impact.

Dans le choix du produit, en plus des fonctionnalités, et des performances, vous devez porter une attention à l’impact sur les performances des périphériques.

Egalement, en fonction de vos usages et de vos enjeux, vous pouvez être amenés à choisir une solution ergonomique en terme de gestion.

Dans tous les cas, pour que la solution soit efficace, vous devrez vous assurer :

  • Qu’elle soit déployée sur l’ensemble du parc pour ne pas créer de maillon faible
  • Qu’elle soit à jour sur le parc
  • Et que les alertes soient traitées

Mettre en œuvre les politiques de sécurité

Documentez vos pratiques

Documentez les différentes politiques que vous mettez en place, cela simplifiera leur implémentation et leur support et cela permettra d’élaborer votre charte informatique.

Mettez à jour votre charte informatique

En fonction de votre politique, cela peut avoir des incidences sur les données personnelles de vos utilisateurs notamment. Egalement, il parait opportun d’expliquer les finalités de certaines règles qui peuvent parfois contraindre les utilisateurs dans leur travail. Par exemple les mises à jour imposées qui contraignent à redémarrer le poste de travail.

Il peut être aussi utile de penser à la sécurité physique, en particulier lors des déplacements. Il pourrait être pertinent par exemple d’utiliser des filtres de confidentialité pour les écrans.

Informez et sensibilisez vos utilisateurs

Une charte signée, c’est bien, mais il faut qu’elle soit lue. Utilisez les canaux de diffusion à votre disposition pour sensibiliser vos utilisateurs régulièrement.

Vérifier l’efficacité des politiques

Comme toujours, mettre en place des automatisations n’exclut pas de mesurer ni de contrôler leur efficacité.

Vous pouvez déterminer des indicateurs pour vérifier que vos politiques sont bien appliquées. Par exemple en traçant les incidents qui stipulent qu’un antivirus n’est pas déployé ou pas à jour sur un poste de travail. En vérifiant si l’ensemble des comptes d’ordinateur de l’AD sont bien dans la console antivirus, en réalisant des contrôles manuels par échantillonnage lorsque vous avez la main sur l’un des terminaux…

Corrigez les problèmes

Corriger un problème sur le moment est une bonne chose.

En chercher la cause racine est une meilleure pratique afin de remédier de manière plus efficace au problème.

Par exemple : vous identifiez par hasard que l’antivirus n’est pas déployé sur un poste, vous corrigez en installant l’antivirus sur le poste.
Il convient alors de prendre du recul et de se poser la question « pourquoi ? » à plusieurs reprises. La cause racine est peut-être que le poste n’est pas dans l’AD, à ce moment là la correction pourrait être de revoir la procédure de préparation des nouveaux postes.

De la même manière, tirez des conséquences de vos indicateurs si ils ne sont pas au niveau attendu.

Pour conclure

La gestion des politiques de sécurité pour protéger vos terminaux est un thème important pour la sécurité de votre système d’information. Les cyberattaques peuvent s’appuyer sur vos terminaux pour réaliser un certain nombre d’opérations : entrer dans votre réseau, se déployer sur votre réseau, gagner en privilèges sur le réseau, voler de la données sur le terminal…

Il est primordial de prendre du temps sur le sujet afin d’adapter vos politiques en fonction de votre contexte, de vos enjeux et de la criticité de vos terminaux.

Références et Attributs

Références : 
ANSSI-GUIDE-TPEPME-Question4
ANSSI-GUIDE-HYGIENEv2-ChapitreIV
ISO27002-2022-A.6.8 A7.9 A7.13 A8.7 A8.8 A8.19 A8.29 A8.32
NIST-v1.1-ID.RA-1 DE.CM-4 PR.AC-5 PR.DS-6 RS.MI-3
CIS_Controls-v8-10

Attributs : 
Type de mesure : #Préventive #Détective #Corrective 
Propriétés : #Confidentialité #Intégrité #Disponibilité
Concepts : #Protéger #Détecter #Répondre
Capacités : #Sécurité_système_et_réseau #Gestion_des_actifs #Protection_des_informations #Gestion_des_menaces_et_des_vulnérabilités #Configuration_sécurisée #Gestion_des_événements_de_sécurité_de_l’information
Domaines : #Protection #Défense #Gouvernance_et_Écosystème

Restez Connecté – Abonnez vous à Notre Newsletter

Retour en haut