Quel que soit le sérieux avec lequel vous maintenez vos logiciels à jour, préservez la conformité de vos appareils et verrouillez vos réseaux, vous serez confronté à une vulnérabilité de sécurité. Prenons l'exemple du problème d'accès root de macOS High Sierra, survenu en 2017. L'incident nous a rappelé quatre points avec vigueur :
- Aucun système d'exploitation n'est à l'abri de problèmes de sécurité
- Les fournisseurs de systèmes d'exploitation et de logiciels doivent corriger les vulnérabilités et mettre à jour leurs produits le plus vite possible
- La gestion des appareils, et plus particulièrement celle des correctifs, n'est plus un luxe
- Les forums communautaires tels que Jamf Nation et Slack fournissent des informations instantanées et précieuses sur la résolution des problèmes.
La faille de sécurité présente dans High Sierra autorisait un utilisateur ou un pirate à accéder à un Mac avec des réglages par défaut et sans mot de passe : il suffisait pour cela d'un accès physique à l'appareil. Elle permettait également à l'utilisateur standard déjà connecté à un appareil d'obtenir des privilèges élevés dans les préférences système, l'accès via un script et, surtout, dans la fenêtre de connexion.
En l'espace de 24 heures, Apple a publié une mise à jour de sécurité pour High Sierra (HT208315), puis l'a diffusée à tous les ordinateurs concernés, en mettant automatiquement à jour les appareils.
Cette fois, Apple a fourni une réponse rapide sous 24 heures. Malheureusement, ce n'est pas toujours possible : la complexité de la vulnérabilité et la localisation de votre système entrent également en jeu. Les organisations peuvent agir pour corriger les vulnérabilités de sécurité, aussi bien avant la publication d'une mise à jour globale que lorsque la correction implique une interaction manuelle.
Faire face aux vulnérabilités de sécurité
Le guide de prise en charge des incidents de sécurité informatique du NIST décrit les quatre étapes du cycle de vie de la réponse aux incidents :
Préparation
Cette étape jette souvent les bases du déroulement de la réponse en cas d'incident. En établissant des procédures, vous éviterez de chercher des ressources dans la précipitation à un moment où les données de votre entreprise sont activement menacées. À ce stade, votre entreprise doit s'assurer qu'elle dispose du personnel adéquat pour gérer les incidents. Il s'agit notamment de personnes ayant une expertise technique en matière de réseaux, d'administration de serveurs, de sécurité, etc. La gestion doit également être prête à coordonner la réponse et à assurer la liaison avec les acteurs concernés. Les équipes doivent avoir une bonne connaissance des cyberattaques et des cadres d'attaque. Un bon plan de communication et une stratégie de réponse sont également indispensables.
Détection et analyse
Pour détecter les menaces, il faut avant tout comprendre l'activité de base de votre réseau. Les cadres d'analyse comparative tels que CIS Benchmarks peuvent vous guider dans la configuration de votre système. Une solution de gestion des informations et des événements de sécurité (SIEM) peut surveiller votre réseau et vous alerter en cas d'activité suspecte. Ses journaux offrent une vue d'ensemble de l'activité de votre réseau et vous permettent de repérer les anomalies.
Une fois l'incident détecté, l'équipe de réponse doit l'analyser et le valider en suivant un processus prédéfini. Cette analyse doit établir la portée, l'origine et la méthode de l'incident. Ce processus doit être bien documenté de manière à informer les étapes suivantes.
Confinement, élimination et rétablissement
Les incidents doivent être maîtrisés, mais il faut également conserver des preuves qui permettront d'identifier la source et la méthode de l'attaque, dans la mesure du possible. Si un appareil est visé par une attaque, par exemple, il peut être isolé du réseau mais maintenu en fonctionnement pour une analyse plus approfondie. Idéalement, on recueillera des informations sur l'origine de l'attaque.
Une fois la menace contenue, passons à l'atténuation : il faut, par exemple, supprimer les logiciels malveillants, désactiver les comptes compromis, corriger les vulnérabilités et restaurer les systèmes à partir de sauvegardes propres.
Activité post-incident
Une fois l'incident corrigé, votre organisation doit prendre le temps d'analyser la prise en charge pour améliorer ses processus. Les équipes doivent comprendre comment l'incident est survenu pour établir des règles et des procédures. Leur objectif doit être de prévenir ou découvrir les vulnérabilités avant qu'elles ne se transforment en failles actives, ou exploits. Les pistes sont multiples : acquisition d'un SIEM, formation supplémentaire pour les employés, mise en place ou développement des pratiques de chasse aux menaces, élargissement de la portée des évaluations des risques existantes...
MDM : privilégier la prévention à la réaction
Avec une solution de gestion des appareils mobiles (MDM), les administrateurs ont la possibilité d'installer des solutions de contournement sur leurs appareils avant que la vulnérabilité soit corrigée par le développeur.before Imaginons qu'on vous signale un problème potentiel touchant une application de votre catalogue Self Service : vous pouvez rapidement en interdire l'accès à vos utilisateurs jusqu'à ce que le problème soit résolu. Sur un Mac géré, une solution de MDM comme Jamf Pro utilise un binaire en plus de la MDM, ce qui élargit votre champ d'action :
- Vous pouvez rédiger des scripts et les déployer à l'aide de règles pour appliquer des réglages ou des corrections temporaires, en attendant le correctif du fournisseur.
- Vous recevez des notifications au moment de la publication d'un correctif.
- Les règles de correctif permettent d'appliquer automatiquement le correctif aux ordinateurs qui en ont besoin, sans perdre de temps.
- Vous pouvez appliquer des mises à jour et des mises à niveau lorsqu'elles sont publiées par l'éditeur du système d'exploitation ou d'un logiciel. Que l'application des correctifs aux logiciels critiques se fasse par l'intermédiaire d'un binaire robuste ou d'une commande MDM uniformisée, des fournisseurs comme Jamf renforcent les moyens des services informatiques. Les mises à jour importantes sont immédiatement transmises à tous les utilisateurs finaux et les failles de sécurité sont comblées pour empêcher toute compromission.
Avec une solution MDM, vous réagissez aux vulnérabilités les plus récentes. Et vous pouvez la coupler à une solution de sécurité des terminaux et de gestion des identités et des accès (IAM) comme Jamf Connect pour renforcer votre posture de sécurité de manière proactive. proactive Cette combinaison offre plusieurs fonctionnalités qui sécurisent vos appareils pour les protéger des incidents :
- Gestion des identités : le SSO, associé à des identifiants de fournisseur d'identité cloud, simplifie l'authentification des utilisateurs et réduit le risque de compromission.
- Accès réseau zero-trust (ZTNA) : le ZTNA interdit rigoureusement l'accès aux ressources de l'entreprise tant que l'utilisateur n'a pas prouvé son identité.
- Sécurité des terminaux : les appareils des utilisateurs font l'objet d'une surveillance constante et discrète afin de détecter plus rapidement les logiciels malveillants.
- Analyse : la surveillance des terminaux fournit également des analyses comportementales utiles pour empêcher les vulnérabilités de se transformer en exploits.
- Filtrage du contenu : limitez l'accès aux sites à risque pour bloquer les logiciels malveillants avant même qu'ils ne soient à la portée de l'utilisateur.
- Visibilité et conformité : avec la MDM, vous maintenez les appareils à jour. Munis des derniers correctifs de sécurité et de la version la plus récente du système d'exploitation, ils sont aussi conformes et sécurisés que possible.
Apple a réagi rapidement et les administrateurs ont pu voir leur travail en temps réel. Mais tout le monde ne suit pas l'exemple d'Apple, et beaucoup d'entreprises ne veulent pas attendre qu'un fournisseur corrige les vulnérabilités les plus graves. Grâce à des communautés comme Jamf Nation et Slack, les administrateurs informatiques apprennent souvent des solutions de contournement. Et avec la plateforme Jamf, ils ont les moyens de les déployer rapidement, en attendant la publication des correctifs par le développeur – correctifs qu'ils pourront aussi déployer sans délai.
Jamf harmonise votre processus de réponse aux incidents.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.