Une approche globale de la sécurité : la protection des terminaux

Le paysage des menaces évolue sans cesse au fil des mutations de l’informatique moderne. Les entreprises adaptent leurs environnements au télétravail et aux pratiques hybrides, adoptent les appareils Apple et recourent à différents modèles de propriété. Ces nouveautés ont toutes pour objectif de permettre aux utilisateurs de travailler :

• Là où ils sont le plus à l’aise
• Sur leur appareil préféré
• Partout et à tout moment

Qu’est-ce que la protection des terminaux ?

Pour répondre au mieux à cette question, voyons d’abord de quoi nous devons nous protéger. Armés d’un arsenal complet, les acteurs malveillants ciblent activement tous les terminaux dans un effort délibéré pour les compromettre. Leur objectif : accéder à des données organisationnelles critiques et sensibles à des fins criminelles.

Aujourd’hui, on ne peut plus se contenter d’installer un antivirus sur son ordinateur. Cette protection s’avère totalement inadaptée face à l’éventail des menaces qui pèsent sur les appareils modernes – les ordinateurs, bien sûr, mais aussi tous les types d’appareils mobiles.

La protection des terminaux est donc un terme englobant, qui désigne un ensemble de solutions de sécurité dont l’action coordonnée maintient les terminaux (ou appareils), les utilisateurs et les données à l’abri des menaces modernes et émergentes.

Quel est l’objectif principal de la protection des terminaux ?

Protéger contre les menaces actuelles et émergentes

Notre monde moderne regorge malheureusement de menaces qui pèsent sur la sécurité de vos terminaux. Et ces menaces sont constantes : au bureau et à la maison, sur tout type de réseau, et autant sur macOS et iOS qu’Android ou Windows.

Quelle est la différence avec un logiciel antivirus ?

Il faut rester méfiant vis-à-vis des virus informatiques. Mais rappelons que les logiciels antivirus traditionnels ne protégeaient votre machine que des logiciels malveillants et leurs variantes, rien de plus ! Comme le montre la liste ci-dessous, les menaces qui pèsent sur la sécurité des appareils – et, dans une plus large mesure, sur la posture de sécurité des entreprises – se sont considérablement diversifiées. Elles posent des défis qu’une simple protection antivirus ne suffit pas à relever. Voici quelques exemples de menaces modernes :

• Attaques au sein du réseau
  • Homme du milieu (MitM)
  • Attaques de phishing zero-day
    • SMS
    • E-mail
    • Réseaux sociaux
    • Messagerie
  • Attaques par mouvements latéraux
• Attaques sur les appareils
  • Living off the land (LotL, exploitation des ressources de l’hôte)
  • Logiciels malveillants
    • Logiciels espions
    • Chevaux de Troie
    • Rançongiciels
    • Cryptominage
    • Programmes potentiellement indésirables (PuP)
  • Exfiltration de données non autorisées

Des protections de sécurité à plusieurs niveaux pour lutter contre la convergence

Certaines de ces menaces portent des empreintes identifiables qui peuvent mettre la puce à l’oreille des administrateurs informatiques et des responsables de la sécurité. Mais un nombre croissant d’acteurs malveillants les combinent et emploient les tactiques les plus récentes pour rester invisibles et mener des attaques furtives sur un temps long. On parle alors de convergence.

D’où le besoin de solutions de sécurité complètes pour se protéger contre les menaces avancées et convergentes qui ciblent de multiples vecteurs. En mettant en œuvre une stratégie de défense en profondeur, les équipes informatiques et de sécurité se donnent les moyens d’assurer la sécurité des terminaux. Une telle stratégie soutient et protège les utilisateurs tout en assurant la sécurité des données et le respect de la vie privée.

Réduire les coûts liés aux risques de sécurité

Le risque d’incident de sécurité ne se limite pas à la vulnérabilité des appareils vis-à-vis des menaces. Les coûts liés aux violations de données augmentent d’année en année, d’où la nécessité absolue de contrôler les risques. Voici d’ailleurs quelques statistiques qui rappellent aux entreprises l’importance de s’équiper d’une solution de sécurité des terminaux, couvrant à la fois les appareils professionnels et les appareils personnels utilisés dans le contexte du travail :

• En 2023, le coût moyen d’une violation de données dans le monde était de 4,45 millions de dollars, soit une augmentation de 15 % en 3 ans.
• Près de 60 % des entreprises touchées par une violation de données sont susceptibles de cesser leurs activités à cause de la dégradation de leur réputation.
• 41 % des personnes interrogées signalent une infraction à la réglementation au cours des deux dernières années
• 74 % des violations impliquent un élément humain : erreur humaine, abus de privilèges, utilisation d’identifiants volés ou ingénierie sociale.
• Pour la deuxième année consécutive, c’est la fabrication qui a été le secteur le plus attaqué. La finance et l’assurance arrivent en deuxième position, à une distance de près de 6 points.
• 64 % des appareils vulnérables avaient accès à des outils de collaboration, et 34 % pouvaient utiliser la messagerie de l’entreprise.

Les caractéristiques d’une protection des terminaux robuste

Jamf Threat Labs (JTL)

Vous vous demandez peut-être comment arrêter ce que vous ne voyez pas. Avec Jamf Threat Labs, c’est possible. L’équipe Jamf d’experts en cybersécurité et de scientifiques des données travaille sans relâche pour évaluer la résistance des appareils macOS et iOS. Elle traque les menaces émergentes et leurs évolutions pour les identifier et les empêcher de nuire à votre flotte Apple. Non seulement ses membres excellent dans leur domaine, mais leurs recherches : les moteurs de renseignements sur les menaces qui pilotent les solutions Jamf de protection des terminaux. En intégrant leurs observations, des analyses comportementales avancées et des règles YARA constamment mises à jour, ces solutions atténuent les menaces de sécurité qui peuvent se cacher dans votre flotte. Le but étant qu’elles n’aient aucune chance de dégénérer en faille de sécurité.

Le travail de l’équipe JTL informe directement Jamf Protect, dont les effets se propagent jusqu’aux utilisateurs pour les protéger de plusieurs manières : identification des nouvelles menaces sur Mac et mobile, développement d’analyses de détection, et blocage des opérations malveillantes émanant des applications, des scripts et des comportements à risque. Chaque détection fait l’objet d’une alerte, les observations sont consignées, et les administrateurs comme les utilisateurs sont informés à chaque étape du processus.

Puisqu’on parle du suivi des données relatives aux menaces, la télémétrie collectée par Jamf Protect n’aide pas seulement le JTL pour rechercher les menaces émergentes ou les variantes de malveillances connues. Confiées aux services informatiques et de sécurité de votre organisation (ou à des tiers autorisés), ces données peuvent permettre de détecter, au sein de votre flotte d’appareils, les menaces silencieuses qui collectent discrètement des informations sur vos processus métier en attendant le moment opportun pour attaquer. Parce qu’elles informent sur l’état de santé des appareils, les données télémétriques sont de puissants outils pour identifier les menaces et les comportements à risque. Elles aident donc à contenir les incidents avant qu’ils ne se concrétisent et assurent le respect des obligations de conformité – nous reviendrons un peu plus loin sur le rôle de Jamf Protect dans la conformité.

Principaux points à retenir

• L’appui des experts en cybersécurité et des data scientists de Jamf Threat Labs qui recherchent, identifient et luttent contre les nouvelles menaces
• Un moteur avancé de renseignement sur les menaces et du machine learning (ML) pour soutenir la recherche des menaces et identifier les attaques potentielles en amont
• Protège les terminaux contre les menaces actuelles et émergentes, connues et inconnues, les applications à risque et les comportements suspects
• Recherche active des menaces – inconnues et présentes dans l’environnement – et correction des vulnérabilités touchant les appareils macOS et iOS
• Intégration constante des renseignements sur les menaces, des recherches et des observations à Jamf Protect pour renforcer les protections de sécurité

Suivi

Si l’équipe Jamf Threat Labs surveille en permanence les nouvelles menaces qui pèsent sur les systèmes d’exploitation macOS et iOS des entreprises pour les neutraliser, les solutions de sécurité des terminaux Jamf recherchent activement les menaces connues et inconnues qui visent toutes les plateformes, Windows et Android inclus.

Cette approche, qui a l’intérêt de minimiser les risques sur les appareils Apple et mobiles, est également un composant essentiel d’une stratégie globale et multidimensionnelle de sécurité des terminaux. Les solutions Jamf veillent sur les appareils et les utilisateurs de votre organisation :

• En surveillant constamment et activement les terminaux, 24 heures sur 24, 7 jours sur 7
• En collectant des données de télémétrie et en produisant des rapports
• En délivrant des informations sur la santé des appareils et en facilitant les audits de conformité

Principaux points à retenir :

• Surveillance active des terminaux gérés – quel que soit le modèle de propriété (BYOD/CYOD/COPE) – et enregistrement de l’état de santé des appareils
• Journalisation détaillée et données télémétriques riches grâce à une visibilité et une compréhension approfondies des terminaux et des tendances en matière de menaces
• Transmission continue des données recueillies vers votre solution SIEM pour une gestion centralisée des renseignements sur les menaces
• La puissance de MI:RIAM et du machine learning pour détecter (et arrêter) les nouvelles menaces avancées, comme les attaques de phishing zero-day et de cryptominage
• Une surveillance étroite des terminaux gérés, qui empêche l’installation de logiciels indésirables et l’exécution des fichiers suspects.

Détection

La surveillance des terminaux n’est qu’un aspect de la protection : il faut également identifier les menaces, qu’elles soient connues, inconnues ou en cours d’investigation. Les administrateurs informatiques et de sécurité ont une visibilité totale sur la santé des appareils, et des alertes informent en temps réel les personnes concernées en cas de détection.

La solution collecte également des données de journalisation sur chaque terminal, pour délivrer des informations détaillées sur la sécurité de l’ensemble de votre flotte. Grâce à la richesse de ces données télémétriques, les administrateurs peuvent identifier rapidement les risques qui pèsent sur leurs terminaux, mais aussi :

• Mener des activités de recherche des menaces
• S’appuyer sur des informations granulaires pour affiner les protections
• Corriger les comportements à risque pour limiter les vecteurs d’attaques potentiels

Principaux points à retenir :

• Réduisez les délais de réponse, de résolution et de correction des incidents grâce à MI:RIAM et aux workflows automatisés
• Isolez les appareils concernés et nettoyez les terminaux attaqués à l’aide de processus sécurisés et encadrés
• Empêchez les logiciels malveillants, les applications potentiellement indésirables et les comportements à risque de dégrader les performances ou la productivité des appareils, tout en économisant les ressources
• En cas d’incidents de sécurité, alertez en temps réel les équipes informatiques et de sécurité, ainsi que toutes les personnes concernées, grâce à une visibilité approfondie de chaque terminal
• Étendez les protections de sécurité à l’ensemble de votre flotte Apple – appareils d’entreprise et BYOD – pour sécuriser l’accès aux données professionnelles sur tous les supports.

Prévention

Toutes les menaces, logiciels malveillants en tête, représentent un risque d’exposition pour les données des utilisateurs et de l’entreprise. Les organisations doivent donc choisir une solution de protection des terminaux spécialisée dans la détection des menaces uniques qui ciblent les utilisateurs de Mac et d’appareils mobiles, à l’intérieur comme à l’extérieur.

Les protections sur l’appareil et le réseau fournies par les solutions Jamf de sécurité des terminaux accélèrent la détection, le signalement et la prise en charge des menaces connues et inconnues. Ces performances reposent sur plusieurs piliers :

• Un moteur avancé de machine learning et de renseignement sur les menaces, MI:RIAM
• Une analyse comportementale personnalisable basée sur le cadre MITRE ATT&CK
• Une application stricte des règles relatives aux données, pour qu’elles ne puissent résider que sur des supports de stockage sécurisés et conformes.
• Le blocage des menaces réseau – phishing, téléchargements malveillants, trafic de commande et de contrôle (C2), domaines à risque, etc.

Principaux points à retenir :

• Arrête les menaces présentes sur l’appareil, comme les logiciels malveillants, mais aussi les attaques à l’intérieur du réseau, comme le phishing zero-day et les mouvements latéraux.
• Le filtrage de contenu basé sur le DNS, spécialement conçu pour Apple, empêche l’accès aux sites web qui hébergent du code malveillant ou servent à mener des campagnes d’attaque. Il permet également de bloquer les contenus inappropriés sur les appareils gérés.
• Limitez l’exfiltration des données en activant les contrôles de stockage amovible : chiffrez les supports amovibles, gérez les autorisations ou désactivez complètement le stockage des données protégées sur un support externe.
• Misez sur la puissance du ML pour améliorer la collecte de renseignements sur les menaces afin de protéger les terminaux, les utilisateurs et les données des techniques innovantes et sophistiquées
• Utilisez la richesse de la télémétrie et MI:RIAM pour rechercher les menaces de façon manuelle et automatisée, détecter celles qui se cachent dans vos appareils et les arrêter avant qu’elles n’entraînent une violation de données.

Correction

Même avec une visibilité et une conformité accrues, des rapports granulaires, des alertes en temps réel, des renseignements sophistiqués et une protection contre les nouvelles menaces, le paysage évolue tellement vite que vos terminaux peuvent être touchés ou perdre leur conformité. Que se passe-t-il alors ?

Une fois de plus, les solutions de sécurité des terminaux Jamf – avec leurs multiples couches de protection – offrent de puissants workflows de correction pour rétablir rapidement la conformité de vos terminaux aux configurations de durcissement.

Les workflows manuels et automatisés des solutions Jamf permettent de prendre en charge les incidents en temps réel.

Principaux points à retenir :

• Visibilité détaillée sur l’ensemble de l’activité des outils de sécurité macOS et des processus système en temps réel
• Éradication des fichiers, applications et téléchargements malveillants, indésirables ou potentiellement dangereux
• Mise en quarantaine des appareils non conformes ou qui présentent un risque pour la sécurité des données
• Élaboration, mise en œuvre et contrôle de références de sécurité alignées sur les critères du CIS
• Prévention des applications potentiellement indésirables et des comportements à risque pour garantir la sécurité des données face aux risques introduits par l’utilisateur final.

Conformité

Pour certains, la conformité n’est qu’un terme de plus dans un océan de jargon. Mais pour d’autres, et surtout ceux qui sont chargés de veiller à ce que les systèmes, les données et les processus soient conformes aux différents niveaux de législation qui encadrent les secteurs réglementés, la conformité représente un cauchemar potentiel. Sans un suivi étroit, les problèmes de conformité peuvent avoir des conséquences désastreuses pour l’organisation et ses acteurs, mais aussi pour ses clients qui lui ont confié des données sensibles.

Les utilisateurs de Jamf Protect peuvent dormir sur leurs deux oreilles : leur solution de sécurité des terminaux va bien au-delà de la prévention des logiciels malveillants. Comme nous le verrons en détail un peu plus loin, Jamf Protect applique des analyses alignées sur le cadre MITRE ATT&CK pour prévenir les menaces connues. Mais cet outil flexible permet aussi aux administrateurs de personnaliser les analyses ou d’en créer pour répondre aux exigences de leur environnement réglementé.

Pour aller plus loin, les riches données de télémétrie de Jamf Protect sont combinées à l’analyse comportementale et partagées en toute sécurité entre les différentes solutions – c’est comme cela que Jamf Pro fait respecter vos règles. Le résultat ? Jamf Protect définit les critères de conformité des terminaux gérés. Quant à l’intégration avec Jamf Pro, elle permet d’utiliser la gestion basée sur des règles pour faire respecter ces critères. Un appareil manque une mise à jour de sécurité critique ? Un utilisateur installe une application vulnérable ou adopte un comportement à risque ? Le système de journalisation de Jamf Protect communique ces informations à Jamf Pro. L’événement déclenche une règle MDM qui exécute un workflow automatisé pour corriger le problème et remettre le terminal en conformité. Et tout cela sans que les équipes informatiques ou de sécurité n’aient à faire quoi que ce soit, ni nuire à la productivité de l’utilisateur final.

Mais en quoi cela aide-t-il réellement les administrateurs à respecter les obligations de conformité ? C’est une excellente question, et nous y allons répondre dès maintenant. Comme indiqué plus haut, Jamf Protect peut être configuré pour s’aligner sur les exigences de gouvernance réglementaire. Les terminaux sont alors activement surveillés et signalent tout changement d’état pouvant avoir une incidence sur la conformité. La prévention des menaces vise à limiter leur impact sur les terminaux afin d’atténuer les risques. Et quand Jamf Protect est intégré à Jamf Pro, la conformité est assurée par la gestion basée sur des règles : les appareils restent conformes et la moindre déviance est corrigée à l’aide de workflows manuels et automatisés.

Vous trouverez ci-dessous une sélection des cadres de sécurité pris en charge par Jamf pour aider les organisations à atteindre leurs objectifs de conformité :

• Centre pour la sécurité Internet (CIS)
• Institut national des standards et de la technologie (NIST)
• Agence des systèmes d'information de la défense (DISA)
• Organisation internationale de normalisation (ISO)
• Projet Conformité de sécurité macOS (mSCP)

Principaux points à retenir :

• Une analyse comportementale alignée sur le cadre MITRE ATT&CK pour armer votre organisation un outil puissant et flexible de prévention des menaces
• Des workflows automatisés de réponse aux incidents et de correction éradiquent les fichiers malveillants et indésirables tout en isolant les appareils présentant un risque pour la sécurité des données
• Élaborez et appliquez des références de sécurité alignées sur les critères du CIS pour surveiller la conformité des appareils et faciliter les tâches d’audit
• Adaptez les configurations sécurisées et les profils de durcissement aux terminaux Apple, conformément aux directives du NIST, de la DISA et du mSCP en matière de sécurité informatique
• Les opérations cloud de Jamf sont certifiées conformes à ISO 27001/27701, SOC 2 et FBI Infraguard, entre autres directives pour la sécurité des données et la gouvernance d’entreprise

Plusieurs couches de sécurité dans une seule solution

Observez les doigts de votre main. Ils savent travailler indépendamment pour accomplir certaines tâches, mais aussi se coordonner pour réaliser des gestes à plus grande échelle. C’est la même chose pour une solution de sécurité puissante. Elle repose sur plusieurs couches qui fonctionnent parfaitement de façon indépendante, mais s’articulent et se complètent pour surveiller, détecter, prévenir et corriger les menaces de sécurité qui visent les appareils, les utilisateurs et les données sensibles.

Défense en profondeur

« ...aimé des bons, craint des méchants. » – Voltron

Le dessin animé du même nom mettait en scène une équipe de cinq pilotes, chacun aux commandes d’un robot aux allures de lion et possédant des forces et des capacités uniques. Dans leur quête pour maintenir la paix et protéger la Terre des forces du mal, les cinq héros s’associent pour former un robot plus grand et plus puissant nommé Voltron, Défenseur de l’Univers.

Si ce dessin animé remonte à 1984, le principe de Voltron est une excellente métaphore de la stratégie de défense en profondeur (DiD), dont la mission est de protéger les actifs, les utilisateurs et les ressources face aux menaces modernes. L’idée qu’une application générique peut assurer à elle seule la protection des organisations est un mythe qui conduit souvent à des violations de données.

Le principe de la DiD est aussi simple qu’efficace et puissant. Les couches de protection de sécurité se superposent de manière à cumuler leurs forces tout en minimisant leurs faiblesses. Elles se combinent pour identifier, arrêter et, le cas échéant, corriger les failles de sécurité qui menacent l’intégrité de vos terminaux, la sécurité de vos utilisateurs et la confidentialité de vos données.

En cas de défaillance d’une couche, la suivante est là pour prendre le relais.

Intégration

Conformément à notre philosophie, les solutions de protection des terminaux de Jamf s’intègrent à d’autres outils internes et tiers. Cette approche permet d’étendre leurs capacités, d’automatiser des tâches et de créer de puissants workflows pour assurer la circulation sécurisée des données entre les solutions.

Jamf Pro, notre solution phare de gestion des appareils mobiles, est connue pour ses fonctions de déploiement et de gestion simplifiés, et elle gère l’installation de correctifs. Mais une fois intégrée à Jamf Protect, elle permet de déployer la sécurité des terminaux en quelques clics. Quant aux données de santé des terminaux, elles sont partagées en temps réel entre les deux solutions.

Qu’est-ce que cela signifie pour votre organisation ? Les informations sur les incidents, comme les attaques de phishing et autres menaces liées au réseau, sont automatiquement synchronisées de façon à déterminer le risque de chaque appareil. Cette connexion entre gestion et sécurité est essentielle pour prendre des mesures en temps réel afin de protéger votre environnement. Quelques exemples de workflows automatisés permis par l’intégration native et sécurisée entre les solutions Jamf :

1. Vous savez à quel point il est crucial que les appareils soient à jour et reçoivent tous les correctifs. Dans le cadre d’une stratégie de défense en profondeur, les organisations qui utilisent Jamf Protect reçoivent des alertes lorsque des terminaux ne sont pas conformes à ce point de vue. Ces données sont communiquées à Jamf Pro, où le service informatique peut appliquer des règles de gestion correctifs pour assurer la conformité. Jamf Pro exécute alors des workflows pour déployer les mises à jour des applications et de l’OS.
2. Grâce aux groupes intelligents de Jamf Pro, les organisations peuvent intervenir de manière dynamique lorsque le niveau de risque d’un appareil change dans Jamf Protect. Ce déclencheur peut également modifier les autorisations d’accès d’un utilisateur via l’intégration de l’accès conditionnel des solutions Microsoft ou Google Cloud BeyondCorp.
3. Avec les options de rapports avancés des solutions Jamf de protection des terminaux, transmettez automatiquement de la télémétrie riche à votre solution SIEM, comme Azure Sentinel ou Splunk. Les administrateurs Mac ont une vue d’ensemble de la santé des terminaux Apple et peuvent exploiter les données sous forme de visualisations détaillées.

Principaux points à retenir :

• Développez des workflows avancés via l’intégration avec Jamf Pro et des solutions internes et tierces
• Mettez en œuvre de puissants workflows d’orchestration, d’automatisation et de réponse de sécurité grâce à l’intégration
• Tirez parti de l’API de Jamf pour partager des données en toute sécurité entre les solutions et renforcer la protection des terminaux
• Élargissez les fonctionnalités pour enrichir la gestion et la sécurité dans tout l’écosystème des appareils mobiles Apple.
• Misez sur l’automatisation pour simplifier la gestion des terminaux tout en garantissant la conformité aux règles de l’organisation et aux normes du secteur.

Une protection des terminaux spécialement conçue pour Apple, Windows et Android

Les solutions Jamf de sécurité des terminaux, conçues spécialement pour Apple, offrent aux équipes informatiques et de sécurité plusieurs avantages qui font d’elles des références dans le secteur :

• La prise en charge des versions les plus récentes et les plus sûres d’Apple le jour de leur sortie – faites les mises à niveau selon votre calendrier, pas le nôtre
• L’API de sécurité des terminaux d’Apple, qui permet d’adopter les dernières capacités de sécurité intégrées aux appareils Apple
• Un impact minime sur les performances – la solution ne réduit pas l’autonomie de la batterie, ne ralentit pas les machines et n’entrave pas la productivité de l’utilisateur.
• La meilleure sécurité pour votre flotte Apple, doublée d’une protection de sécurité basée sur le réseau qui prend également en charge les plateformes mobiles Windows et Android

D’autre part, comme nous développons nos solutions en priorité – mais pas exclusivement – pour Apple, elles sont conçues et optimisées pour tirer parti de l’OS sur lequel elle fonctionne. Le résultat : une protection qui ne se fait pas aux dépens de l’expérience Apple et de la vie privée de l’utilisateur.

Principaux points à retenir :

• Choisissez une solution conçue spécialement pour Apple afin de relever les défis des menaces modernes sur l’ensemble des appareils macOS et iOS, mais qui ait aussi été pensée et optimisée pour les appareils mobiles Android et Windows.
• Misez sur une stratégie de défense en profondeur, qui superpose plusieurs protections afin de surveiller, d’identifier, de prévenir et de corriger un large éventail de problèmes de sécurité ; si une couche échoue, la suivante prend le relais
• Enrichissez les services, les fonctionnalités et les capacités grâce à l’API Jamf Risk. Partagez en toute sécurité les données utiles sur l’état des appareils avec vos solutions internes et tierces.
• Adoptez les versions les plus récentes et les plus sûres d’Apple le jour de leur sortie : toutes les solutions Jamf les prennent immédiatement en charge. Vous n’aurez plus besoin d’attendre que votre MDM ou votre outil de sécurité des terminaux soit compatible.
• Un impact minime pour assurer des performances optimales et mettre toutes les ressources de l’appareil au service de la productivité. Plus besoin de choisir entre efficacité et sécurité.