Six façons d’améliorer la sécurité des terminaux
Les terminaux sont souvent au cœur des brèches de données. Eric Cole, de l’institut SANS, explique comment améliorer leur protection.
Des brèches importantes et de vastes vols de données font régulièrement la une des médias. Mais où ces incidents trouvent-ils leur origine ? Très souvent, un terminal utilisateur est le premier point de compromission qui a permis des déplacements latéraux sur le réseau, créant des dommages additionnels. Et s’il est important d’avoir un réseau correctement sécurisé, le terminal constitue souvent la dernière ligne de défense. Avec des protections appropriées, les dégâts peuvent être contenus. Voici donc quelques étapes pratiques de renforcement de la sécurité des postes de travail.
Pas de session administrateur
Les utilisateurs ne devraient jamais ouvrir de session avec des droits administrateur, ni même avoir ce type de droits sur leurs systèmes. Par le passé, certaines tâches de base, comme l’installation de logiciels, nécessitaient des droits administrateur. Mais beaucoup de choses ont changé avec les plus récents systèmes d’exploitation. Désormais, avec la plupart d’entre eux, les utilisateurs peuvent disposer des fonctionnalités dont ils ont besoin pour faire leur travail sans avoir à ouvrir de session avec les droits administrateur. Il convient donc de considérer que si un utilisateur réclame de tels droits, ce peut être pour faire quelque chose qui n’est pas nécessaire à sa fonction.
Supprimer les logiciels inutiles
Les applications et système d’exploitation du poste client sont là pour assurer que tout fonctionne correctement sur le terminal. Mais la plupart des installations par défaut contiennent des logiciels qui ne sont pas indispensables à l’exécution des tâches métiers. Et très souvent, ces logiciels superflus sont pris pour cible par les attaquants et utilisés comme point de compromission. Désinstaller ou supprimer ces logiciels permet de réduire la surface d’attaque et de minimiser l’exposition.
Appliquer tous les correctifs
Un correctif, c’est avant tout un éditeur qui indique au monde entier qu’il existe une vulnérabilité dans son logiciel. Dès lors, plus un système reste longtemps sans correctif, plus la fenêtre d’exposition est grande. Et si l’application de correctifs est toujours un défi, désinstaller les logiciels superflus réduit le périmètre concerné et simplifie le processus. En outre, si centralisation de la gestion des correctifs est essentielle en entreprise, il est important de ne pas oublier les ordinateurs portables : si un système est déconnecté du réseau, il est susceptible de passer à côté du cycle d’application automatisée des correctifs.
Des listes blanches
Contrôler et gérer les logiciels qu’il est possible d’exécuter, et en vérifier l’intégrité, est essentiel pour disposer de systèmes sécurisés. Le recours aux listes blanches d’applications peut être un important changement de paradigme. Mais c’est une façon précieuse et évolutive de protéger les postes de travail. Cela revient à constituer une liste complète de tous les logiciels approuvés, mais cela en vaut la peine : disposer de postes ainsi verrouillés rend les attaques plus difficiles.
Filtrer les exécutifs dangereux
Une grande quantité de contenus malicieux entre souvent sur le réseau sous la forme de pièces jointes à des courriers électroniques ou de téléchargements Web. Exécuter ces logiciels au travers de passerelles qui ne se contentent pas d’examiner le code, mais le lancent dans des bacs à sable, peut permettre de détecter en amont du code malveillant et de le filtrer avant qu’il n’entre sur le réseau.
Isoler le danger dans des machines virtuelles
Les navigateurs Web et les clients de messagerie comptent parmi les applications les plus dangereuses. On leur doit une part significative des dommages causés aux systèmes. Une astuce consiste à les exécuter dans des machines virtuelles isolées. Ainsi, un contenu malicieux ne pourra affecter que la machine virtuelle, et pas l’hôte. Et une fois cette dernière arrêtée, le contenu malicieux cesse de présenter un risque. Avec cette approche, l’infection est contenue et contrôlée, limitant considérablement les dégâts.
Utiliser des clients légers
Si elle n’est pas applicable à tous les environnements, l’utilisation de clients légers s’avère efficace pour contrôler les dommages. De fait, le problème avec les clients lourds est qu’ils ne sont complètement réinstallés que lors d’un renouvellement de matériel. Et celui-ci ne survient qu’après plusieurs années. Dès lors, un système infecté peut le rester très longtemps. Avec un client léger, l’utilisateur reçoit un environnement neuf à chaque ouverture de session. Et s’il est infecté, cela ne dure que quelques heures.
Même s’il n’y a pas de solution parfaite pour se protéger des attaques, concentrer ses efforts sur le poste client peut permettre de mieux contrôler nombre d’attaques et de réduire le risque.
Adapté de l’anglais.
Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)
-
Procès Appian contre Pega : une cour d’appel annule le verdict de 2 milliards de dollars
-
Systèmes de gestion des datacenters : ces vulnérabilités qui mettent les clouds publics en danger
-
SAP : les chercheurs d’Onapsis détaillent de nouvelles menaces de sécurité
-
Bureau distant : 6 solutions pour dépanner un échec de connexion RDP