La télémétrie des terminaux Mac au service de la conformité aux cadres réglementaires

Introduite au début de l’année, la version actualisée de la fonction de télémétrie des terminaux Mac de Jamf fournit de précieuses informations aux organisations. Ces renseignements facilitent les audits de conformité, les enquêtes sur les incidents, la recherche des menaces et les opérations informatiques. Axé sur la gouvernance et la conformité, cet article explique comment les outils de télémétrie de Jamf aident les organisations à configurer et à collecter facilement les données indispensables pour remplir les exigences des cadres de conformité essentiels.

Que sont la gouvernance et la conformité informatiques ?

Comme les cadres, la gouvernance est un système qui définit les critères des configurations, fonctions et/ou processus nécessaires pour atteindre un niveau minimum de sécurité des données, en s’appuyant sur des normes acceptées par le secteur.

La conformité consiste à respecter les règles de gouvernance (internes et externes) en mettant en œuvre des contrôles, en appliquant des configurations matérielles et logicielles et en implémentant des processus visant à sauvegarder les données, de protéger la vie privée des utilisateurs et préparer l’organisation en cas d’audit.

Toutes ces méthodes s’appuient sur des informations exploitables provenant de la télémétrie des terminaux Mac : ces données permettent en effet de détecter les anomalies, d’appliquer les règles et de démontrer le respect des exigences internes et externes.

Pourquoi la gouvernance et la conformité informatiques revêtent-elles une telle importance ?

La gouvernance et la conformité sont essentielles à la protection des données sensibles. Elles permettent également d’identifier les éventuelles lacunes dans la posture de sécurité d’une organisation et de réduire les risques pesant sur ses finances et sa réputation. Une gouvernance solide garantit le respect des règles conçues pour minimiser les risques, tandis que la conformité démontre l’adhésion aux règles externes et aux normes internes, afin d’éviter les infractions et les pénalités qui en découlent.

Par exemple :

• Prévention des menaces internes : la journalisation de l’activité des utilisateurs et l’escalade des privilèges aident les organisations à détecter les actions non autorisées et intervenir, comme prescrit par les cadres NIST 800-53 et ISO 27001.
• Préparation aux audits : grâce à l’enregistrement de l’activité du système et des changements de configuration, les organisations peuvent démontrer leur conformité lors d’audits PCI DSS et HIPAA.
• Réduction de l’impact des violations : en détectant les anomalies et en appliquant des règles grâce aux données de télémétrie, les organisations détectent rapidement les menaces avancées et minimisent les perturbations.

La gouvernance et la conformité ne sont pas seulement des obligations : elles sont essentielles pour la sécurité et l’efficacité des opérations.

Un point sur les cadres de conformité

Il existe plusieurs cadres de cybersécurité communs auxquels les organisations, quels que soient leur secteur et leur localisation, sont tenues – ou s’efforcent – de se conformer. La fonction de télémétrie des terminaux de Jamf permet aux organisations de connaître l’état de santé de leurs appareils en permanence. Ces données sont cruciales pour aligner les configurations de sécurité sur les exigences des cadres de conformité. La liste suivante n’est pas exhaustive, mais elle fournit des informations sur les cadres les plus courants.

Cadres de conformité réglementaire

Imposés par des réglementations légales ou sectorielles, ces cadres obligent généralement les organisations à répondre à des exigences spécifiques pour garantir la protection des données, le respect de la vie privée et l’intégrité des opérations. La conformité à ces cadres est obligatoire.

• Executive Order 14028 (M-21-31) pour le secteur de l’administration fédérale des États-Unis
• HIPAA/HITRUST CSF aux États-Unis pour le secteur de la santé et des fournisseurs de services
• PCI DSS, cadre mondial pour le traitement des paiements
• SOC, cadre mondial pour les fournisseurs de services

Références et critères de sécurité

Ces cadres ou exigences prescrivent des contrôles techniques et des bonnes pratiques pour sécuriser les systèmes informatiques. Ils sont souvent utilisés comme référence pour atteindre des objectifs de conformité plus larges. Selon l’organisation et le secteur, ces cadres sont obligatoires ou facultatifs.

• ISO 27001/2, une référence mondiale pour tous les secteurs
• NIST 800-53 aux États-Unis (mais il influence aussi d’autres pays) pour l’administration et le secteur privé
• NIST 800-171 aux États-Unis (mais il influence aussi d’autres pays) pour l’administration, les sous-traitants du secteur de la défense et les agences ou entreprises liées à l’administration ou à la défense.
• CNSSI 1253 pour les systèmes de sécurité nationale de l’administration fédérale des États-Unis.
• DISA STIG aux États-Unis pour les entreprises militaires et du secteur de la défense
• CIS niveaux 1 et 2, un ensemble de critères international pour tous les secteurs

Modèles de maturité de la sécurité

Ces cadres visent à améliorer la posture de cybersécurité d’une organisation par le biais de recommandations progressives, en donnant la priorité à la résilience et l’adaptabilité.

• CMMC niveaux 1 et 2 aux États-Unis pour les entreprises du secteur de la défense
• Indispensable 8 en Australie pour tous les secteurs
• ISM en Australie pour les administrations et le secteur privé
• Cyber Essentials au Royaume-Uni pour les administrations et le secteur privé.
• Cadre ENISA dans l’Union européenne pour les infrastructures critiques (énergie, télécommunications et transports)

Quel est l’intérêt de la télémétrie des Mac fournie par Jamf ?

Après ce point sur les différents cadres de gouvernance et de conformité existants, une question se pose : en quoi la télémétrie des terminaux Mac de Jamf aide-t-elle les organisations à remplir leurs obligations ? La télémétrie des terminaux Mac de Jamf propose différentes catégories de données faciles à configurer et enregistrer pour les équipes de sécurité. Nous allons maintenant détailler les principales exigences et leur intérêt, les cadres qui y sont associés et la catégorie de télémétrie qui permet de s’y conformer.

Pour une exploration approfondie des catégories d’informations à collecter lors de l’élaboration d’une configuration de télémétrie, consultez notre documentation technique.

Exécution et traçabilité des processus

Le volet « exécution et la traçabilité des processus » consiste à enregistrer des informations sur les processus exécutés, leur origine, les relations parents-enfants et l’intégrité du code. Les journaux d’exécution des processus sont indispensables pour détecter les processus non autorisés, identifier les logiciels malveillants et reconstituer le déroulement d’une attaque. Les organisations tenues de se conformer aux normes NIST SP 800-53, EO 14028 (M-21-31), PCI DSS et Essential 8 ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Authentification et accès

Le volet « authentification et accès » implique l’enregistrement des événements d’authentification des utilisateurs : connexions, déconnexions, tentatives infructueuses et accès à distance (par SSH ou partage d’écran, par exemple). Les organisations ont besoin des journaux d’événements d’authentification pour appliquer les règles de contrôle d’accès, examiner les tentatives non autorisées et répondre aux audits de conformité. Les organisations tenues de respecter les normes NIST SP 800-53, EO 14028 (M-21-31), HIPAA, PCI DSS ou Cyber Essentials ont besoin d’enregistrer ce type de télémétrie.

Élévation des privilèges et actions administratives

Le volet « élévation des privilèges et actions administratives » consiste à surveiller les événements au cours desquels les utilisateurs élèvent leurs privilèges (avec « sudo », par exemple) ou effectuent des opérations administratives (substitution d’utilisateur, modifications critiques du système, etc.). La gestion et le suivi des privilèges sont essentiels pour détecter les abus de permissions et mener des enquêtes détaillées sur les opérations. Les organisations tenues de se conformer aux normes NIST SP 800-53, EO 14028 (M-21-31), PCI DSS et DISA STIG ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Gestion des utilisateurs et des groupes

Le volet « gestion des utilisateurs et des groupes » consiste à consigner tous les changements apportés aux configurations des utilisateurs et des groupes : création, suppression et modification des comptes, mais aussi les changements d’attributs, à commencer par le mot de passe. Les organisations ont souvent besoin de visibilité sur les événements du cycle de vie des comptes pour appliquer le principe du moindre privilège et empêcher les accès non autorisés. Les organisations tenues de se conformer aux normes NIST SP 800-53, EO 14028 (M-21-31), ISO/IEC 27001 et CMMC ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Mécanismes de persistance

Le volet « mécanismes de persistance » consiste à surveiller l’apparition et la suppression des technologies utilisées par les pirates pour assurer leur persistance : LaunchAgents, LaunchDaemon et autres tâches au niveau du système. Il permet de détecter les attaques furtives et les intrusions durables dans les systèmes macOS. Les organisations tenues de se conformer aux normes NIST SP 800-53, EO 14028 (M-21-31) et DISA STIG ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Montage de volumes et connexion des appareils

Le volet « montage de volumes et connexions d’appareils » implique de consigner des événements lorsque des volumes sont montés/démontés ou que des appareils externes (clés USB, périphériques réseau ou autres) sont connectés. Il aide les organisations à collecter des journaux de connexion des appareils pour détecter toute utilisation non autorisée du matériel, dans le but d’empêcher l’exfiltration de données et l’introduction de logiciels malveillants. Les cadres NIST SP 800-53, EO 14028 (M-21-31) et PCI DSS imposent l’enregistrement de cette télémétrie dans leurs exigences de journalisation.

Événements de sécurité intégrés

Le volet « événements de sécurité intégrés » capture les événements des outils de sécurité de macOS (comme XProtect) et établit des rapports sur les détections de logiciels malveillants et les mesures d’intervention. Il démontre l’existence de défenses actives et de mesures de correction des menaces, obligatoires selon les exigences de protection contre les logiciels malveillants. Les organisations tenues de se conformer aux normes NIST SP 800-53, EO 14028 (M-21-31) et Cyber Essentials ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Modifications de configuration des systèmes

Le volet « modifications de configuration des systèmes » surveille les changements apportés aux réglages du système, comme les installations de profils, les configurations VPN et les extensions du noyau. Il permet d’appliquer les règles de renforcement des systèmes et d’identifier les déviations non autorisées. Les organisations tenues de se conformer aux normes NIST SP 800-53, EO 14028 (M-21-31) et DISA STIG ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Rapports d’incident et de diagnostic

Les « rapports d’incident et de diagnostic » collectent les journaux de diagnostic et de défaillance des applications intégrées et tierces. Ces journaux permettent d’identifier les problèmes de stabilité, les tentatives d’exploitation qui ont échoué et les configurations d’application dangereuses. Les organisations tenues de se conformer aux normes NIST SP 800-55, EO 14028 (M-21-31) et ISO/CEI 27001 ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Performance des applications et utilisation des ressources

Le volet « performances des applications et utilisation des ressources » enregistre des indicateurs de performance tels que l’utilisation du processeur, l’efficacité énergétique et la consommation de ressources par les processus et les applications. La surveillance des performances des applications permet de détecter des anomalies comme le détournement de ressources (par exemple, le cryptojacking) et d’optimiser les systèmes d’exploitation. Les organisations tenues de se conformer aux normes NIST SP 800-53, ISO/CEI  27001 et Essential 8 ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Collecte de fichiers journaux personnalisée

La collecte de fichiers journaux personnalisée permet de suivre des fichiers journaux système et tiers à des fins spécifiques. Grâce à la collecte de fichiers journaux personnalisée, une organisation peut surveiller des workflows spécifiques ou des processus critiques pour la conformité sans se limiter aux données de télémétrie par défaut. Les organisations tenues de se conformer aux normes NIST SP 800-53, ISO/CEI  27001 et Essential 8 ont l’obligation d’enregistrer cette télémétrie pour respecter les exigences de journalisation de ces cadres.

Les catégories de télémétrie des terminaux Mac en quelques points clés

Jamf permet aux équipes informatiques et de sécurité de configurer facilement des catégories de télémétrie spécifiques. Dans chaque catégorie, les administrateurs peuvent collecter les données télémétriques de leur choix. Quelles sont ces catégories ?

• La catégorie Application et processus enregistre l’exécution des processus avec leur héritage (relations parent-enfant) et inspecte les informations de signature du code à des fins de validation.
• La catégorie Accès et authentification capture des journaux détaillés des tentatives d’escalade des privilèges et des actions administratives liées aux identités des utilisateurs et aux processus connexes, à des fins de traçabilité.
• La catégorie Utilisateurs et groupes enregistre toutes les modifications apportées aux configurations des utilisateurs et des groupes (création, changements de groupe, etc.). Ces données sont corrélées à d’autres données télémétriques, notamment celles qui concernent l’escalade des privilèges.
• La catégorie Persistance détecte l’apparition et l’évolution des mécanismes de persistance pour offrir une visibilité sur les vecteurs spécifiques à macOS.
• La catégorie Matériel et volumes suit le montage et le démontage de volumes externes et les connexions d’appareils afin de détecter toute utilisation non autorisée du matériel.
• La catégorie Sécurité Apple capture les événements des outils de sécurité intégrés aux appareils Mac.
• La catégorie Système capture les changements de configuration sensibles (installation d’un profil de configuration ou chargement d’une extension du noyau, par exemple), ce qui permet aux organisations de valider les réglages des sécurités et d’identifier les extensions.
• La catégorie Rapports de diagnostic et d’incident capture les rapports de diagnostic et les défaillances en les reliant aux processus et aux utilisateurs impliqués à des fins d’enquête.
• La catégorie Mesures de performance suit l’efficacité des applications pour aider les organisations à maintenir un niveau satisfaisant de performance opérationnelle et de résilience.

Lancez-vous avec la télémétrie des terminaux Mac de Jamf

La télémétrie des terminaux Mac couvre un large éventail de cas d’utilisation pour les organisations qui souhaitent acquérir davantage de visibilité sur leur environnement Mac. La télémétrie des terminaux Mac de Jamf offre une visibilité inégalée. Elle fournit des informations précises, fiables et exploitables pour tous vos besoins de conformité, de sécurité et d’administration informatique.