Terminaux : 5 pratiques de référence pour les protéger
Avec l’extension continue du périmètre de l’entreprise, il est temps d’appliquer ces pratiques de référence pour sécuriser les terminaux, postes de travail et bien plus. Et cela commence par un inventaire rigoureux de ce patrimoine.
La définition d’entreprise du terme « terminal », ou endpoint, en anglais, a radicalement changé au fil des ans. Le terme faisait traditionnellement référence aux postes de travail, qui pouvaient être sécurisés par des logiciels antivirus et des pare-feu. Aujourd’hui, le terme recouvre un large éventail d’appareils utilisés dans le cadre de l’activité professionnelle, des PC et ordinateurs portables aux smartphones appartenant à l’entreprise ou aux employés, en passant par les objets connectés (IoT). Et dans ce contexte, l’approche historique de la sécurité des terminaux ne suffit plus.
Avec une politique de sécurité des terminaux en place, les entreprises peuvent s’assurer que les actifs et les données de l’entreprise restent protégés même lorsque des appareils situés en dehors de leurs quatre murs y accèdent. Pour élaborer cette politique, les entreprises doivent se demander quel niveau de sécurité est nécessaire suivant les terminaux, et si les outils de sécurité des terminaux doivent maintenir un verrouillage strict des appareils, ou fournir des protections plus légères, afin de laisser aux employés une certaine liberté individuelle.
Pour commencer à rédiger une politique personnalisée pour votre entreprise, voici cinq bonnes pratiques universelles de sécurité des terminaux à prendre en compte.
1. Découverte des actifs
Comme de plus en plus d’employés travaillent à distance, en déplacement depuis leur domicile, le BYOD et l’utilisation d’objets connectés non approuvés deviennent de plus en plus courants. Pour comprendre ce qui se connecte à leurs ressources réseau, les équipes informatiques doivent commencer par faire un inventaire de tous les appareils. Certains appareils peuvent ne jamais toucher le réseau d’entreprise lui-même et accéder directement au cloud pour s’intégrer aux applications SaaS. Dans ce cas, une passerelle d’accès cloud sécurisé (CASB) ou équivalent peut être nécessaire.
Il est important d’obtenir une visibilité complète de tous les terminaux qui se connectent aux applications et aux données de l’entreprise avant de faire quoi que ce soit d’autre – après tout, il est impossible de sécuriser ce dont on ignore l’existence.
2. Établir des profils des terminaux
L’étape suivante pour les équipes informatiques consiste à comprendre la manière dont ces différents terminaux se comportent. Documentez les serveurs et les applications auxquels ils se connectent, ainsi que le moment et le type de données qu’ils partagent et collectent. Il est également important d’indiquer comment les logiciels sont mis à jour sur ces terminaux et à quelle fréquence. Enfin, évaluez les risques de sécurité que chaque terminal peut potentiellement présenter, ainsi que l’impact sur l’entreprise, en cas de brèche ou de compromission.
3. Sécurité des appareils des utilisateurs finaux
Une fois les terminaux identifiés et leurs profils établis, les équipes informatiques doivent comprendre comment les produits de sécurité existants peuvent être utilisés pour les protéger. Les antivirus de nouvelle génération sont encore largement déployés, car ils combinent des listes de signatures, pour détecter les menaces connues, et des techniques d’intelligence artificielle pour les nouvelles menaces. Cette technologie a évolué vers la détection et la réponse sur les hôtes (EDR), qui produit des alertes, des rapports, et aide à la réponse aux incidents de sécurité. Il s’agit d’un mécanisme de défense nécessaire pour gérer les terminaux des utilisateurs finaux.
Notez toutefois que les équipes informatiques devront élaborer une politique différente pour les appareils appartenant aux employés. Cela peut par exemple nécessiter l’installation d’un agent sur leurs appareils ou leur demander d’utiliser un VPN avant d’accéder aux actifs de l’entreprise.
4. Principe du moindre privilège en utilisant la confiance zéro
Avec la prolifération de toute une gamme de terminaux dans les entreprises, le principe de confiance zéro, qui consiste dans le fait de « ne jamais faire confiance, toujours vérifier », est essentiel pour contrôler la surface d’exposition et garantir aux employés un accès précis aux actifs de l’entreprise.
En contrôlant les politiques de manière centralisée, ces terminaux sont constamment évalués par rapport aux configurations standard des appareils, aux demandes d’accès, aux élévations de privilèges temporaires, à la révocation des privilèges et aux droits d’accès. Avec un cadre de gestion des identités et des accès bien conçu, la plupart de ces tâches peuvent être accomplies de manière automatisée, et l’intervention humaine peut être réservée aux cas anormaux qui l’exigent.
5. Sécurité des dispositifs IoT
L’IoT englobe un large éventail de dispositifs, des systèmes de contrôle d’accès physique biométriques aux haut-parleurs intelligents, en passant par les capteurs industriels. Les meilleures pratiques de sécurité suivantes sont généralement applicables à tous les dispositifs IoT :
- Adhésion au cadre de sécurité. Les meilleures pratiques de sécurité spécifiques aux terminaux IoT varient en fonction de l’impact et du risque du dispositif. Le respect d’un cadre de sécurité est une première étape cruciale. Par exemple, le cadre NIST Interagency/Internal Report 8259 s’applique aux fabricants IoT. En tant qu’acheteur, s’assurer que les fournisseurs adhèrent à ce cadre offre une base solide pour l’évaluation des risques, la journalisation normalisée et accessible des événements, la gestion intégrée des identités et des clés, la gestion normalisée des configurations et les capacités centralisées de remédiation des vulnérabilités. Il exige également des fournisseurs qu’ils assurent des notifications en temps voulu en cas de brèche ou de vulnérabilité.
- Mots de passe des dispositifs IoT. L’une des attaques les plus fréquentes contre les appareils IoT est la combinaison nom d’utilisateur-mot de passe par défaut, qui peut souvent être trouvée sur Internet. Les équipes informatiques doivent inspecter le mot de passe de chaque appareil et le remplacer par quelque chose d’unique.
- Découverte des appareils IoT et application des politiques. Les appareils IoT sont beaucoup plus susceptibles que les ordinateurs portables d’être installés sans autorisation. Il est donc indispensable d’effectuer des audits réguliers des appareils IoT. Tout appareil nouveau ou inconnu détecté doit être bloqué par défaut, et un processus d’escalade et d’authentification doit être mis en place. Grâce à ces informations, le service informatique peut retrouver le propriétaire de l’appareil pour non seulement s’assurer de sa légitimité, mais aussi modifier les mots de passe par défaut avant tout nouvel accès au réseau.
La sécurité des terminaux reste plus importante que jamais
Ces cinq étapes constituent une bonne base de référence pour la posture et l’hygiène de base des terminaux de l’utilisateur final. Compte tenu de l’évolution constante du paysage technologique, le service informatique doit rester vigilant, même après avoir mis en œuvre les meilleures pratiques de sécurité des terminaux décrites ci-dessus.
Alors que de plus en plus d’entreprises réévaluent la fréquence à laquelle les employés doivent être au bureau et que l’adoption de l’IoT continue d’exploser, davantage de points d’extrémité resteront en dehors du réseau et seront exposés à un risque accru d’attaque.