A Î T R I S E R

M O N D E S
G E S T I
LA R A T I O N S
CON e F I G U
n t re p ri s
en e
Découverte du SCM :
le guide

AUTEURS

Steve Marriner
Chris Orr
Tim Erlin
 CHAPITRE 1 • PAGE 3

PRÉPARATIFS
Gestion des configurations : les fondamentaux
CHAPITRE 2 • PAGE 11

AVIS DE TEMPÊTE
Quelles menaces pour l’entreprise ?
CHAPITRE 3 • PAGE 17

HISSER LES VOILES

Le SCM en pratique
CHAPITRE 4 • PAGE 22

CAP SUR UNE CONFORMITÉ PERMANENTE

Le SCM au service du maintien de la conformité
CHAPITRE 5 • PAGE 28

TOUT LE MONDE SUR LE PONT

Achat et déploiement de solutions SCM

©2020 Tripwire, Inc. Tripwire est une marque déposée de Tripwire, Inc.
Tous les autres noms de produits et d’entreprises cités appartiennent à leurs détenteurs respectifs.
Tous droits réservés. v08a
 INTRODUCTION
La gestion des configurations de sécurité (SCM, Security
configuration management) n’est certes pas l’outil de protection
dernier cri contre les cyberattaques, mais elle est clairement l’un
des mécanismes de lutte les plus essentiels. En effet, à l’heure où les
cyber­criminels ne cessent de se réinventer, les contrôles de sécurité
fondamentaux restent votre meilleur atout pour prévenir, détecter
et neutraliser les compromissions potentielles, tout en assurant la
conformité de votre entreprise.

Dans ce livre, nous aborderons en premier lieu les principes

fondateurs de l’approche SCM, première étape essentielle pour
garantir la solidité et la fiabilité de votre programme de sécurité.
Nous étudierons ensuite les différences entre les systèmes SCM
et les contrôles de sécurité connexes. Puis, nous dresserons
la liste des nouveaux défis auxquels les entreprises sont
confrontées, notamment la pénurie de compétences, l'expansion
des infrastructures cloud et les spécificités des environnements
industriels.

Nous établirons le portrait-robot d’une solution SCM efficace

en brossant un aperçu des principaux éléments clés : bases de
référence, surveillance des configurations, bibliothèques de
politiques et frameworks de conformité à des fins d’audit. Nous
expliquerons enfin comment choisir un SCM à la hauteur des enjeux,
avant d’entrer dans les détails d'une mise en œuvre adaptée aux
spécificités de votre environnement.

2
• CHA
PITRE 1
• PRÉPARATIFS
Gestion des
configurations :
les fondamentaux

La gestion des configurations de sécurité consiste à garantir le

paramétrage adéquat des systèmes de l’entreprise afin de répondre
aux normes de sécurité et de conformité, et ainsi réduire le cyber-
risque. Lorsqu’un système est sécurisé, on dit qu’il est « durci » ou
« renforcé » contre les cyberattaques. Les solutions SCM visent à
réduire la « surface d’attaque », c’est-à-dire les zones d’exposition de
votre entreprise.
Ce processus de détection et de correction des erreurs de configuration réunit plusieurs
éléments comme la surveillance de l’intégrité, la validation des configurations, l’évaluation
des vulnérabilités et la remédiation du système. Il englobe à la fois les environnements
cloud et sur site, tout en mobilisant l’intervention des équipes opérationnelles et de
sécurité. La mise en œuvre d’une solution SCM est un processus s’inscrivant dans une
optique de long terme et s’impose comme un outil de sécurité critique.
Les entreprises qui font l'impasse sur le SCM augmentent les risques d'exposition
de leurs données sensibles, notamment via l’utilisation de mots de passe faibles ou
de protocoles tels que Telnet ou TFTP (Trivial File Transfer Protocol). Les outils SCM
apportent en effet deux avantages essentiels : la sécurité et la conformité.

QU’EST-CE QUE LE SCM ?

Selon le National Institute of Standards and Technology (NIST), la gestion
des configurations de sécurité (SCM) désigne « la gestion et le contrôle des
configurations d’un système informatique dans le but d'assurer la sécurité et de
simplifier la gestion du risque. »1

3
 SCM ET SÉCURITÉ
Les erreurs de configuration créent des points d’entrée exploitables par les hackers.
C'est pourquoi une bonne configuration des systèmes joue un rôle critique dans la
protection de vos données.
Avant de pouvoir identifier les erreurs de
configuration, il convient d’établir une base
de référence, c'est-à-dire un état de sécurité
considéré comme fiable. Les contrôles En définissant la configuration
continus effectués par la suite vous de référence à un état de sécurité
indiqueront alors les écarts potentiels.
connu de vos systèmes, puis en
L’entreprise doit définir des configu­ surveillant continuellement la
rations sécurisées de référence pour
chaque type d’équipement géré. Une fois
présence d'éventuels indicateurs de
la certitude acquise que vos systèmes compromission, vous pouvez identifier
sont configurés de façon adéquate, rapidement des violations autrement
le SCM consiste à assurer la surveillance indétectables. Cette détection précoce
permanente de ces configurations. Il s’agit des incidents vous permet d’atténuer
ici de détecter les dérives de configuration
potentiellement dangereuses par rapport à
les dommages d’une attaque.
l’état de sécurité et de conformité de référence.

SCM ET CONFORMITÉ
La sécurité des configurations est un élément absolument essentiel pour l’entreprise,
au point que la quasi-totalité des normes et réglementations sectorielles l’intègrent
à des degrés divers. Les outils SCM apportent en effet plusieurs avantages. Ils vous
aident notamment à réduire la durée de préparation d’un audit, tout en accélérant son
exécution.
Le SCM contribue également au maintien de la conformité du système post-audit :
connaître votre niveau de conformité au moment de l'audit est une bonne chose, mais
l’objectif reste de pouvoir déterminer votre degré exact de conformité à tout moment.
Lorsque de nouvelles
100 % ressources sont déployées,
la confiance dans leur
sécurité et leur conformité
CONFIANCE

est généralement élevée.

Mais au gré des interactions
des utilisateurs et admini­
strateurs avec le système
(mise à niveau des logiciels,
mise à jour des systèmes
d’exploitation, modification
0% des paramètres, etc.), cette
DURÉE confiance s’érode peu à peu.

100 %
FIANCE

4
 DURÉE

Pour y remédier, les 100 %

outils SCM permettent de
suivre ces changements

CONFIANCE
au fur et à mesure qu’ils
apparaissent. Il vous est
ainsi possible de déterminer
immédiatement les modi­
fications déviant de l'état
de conformité de référence,
puis d'engager les actions
correctives nécessaires. Vous 0%
pouvez donc maintenir le DURÉE
degré de confiance originel
au fil du temps.
Sans solution SCM, la préparation d’un audit peut s’avérer à la fois chronophage et
coûteuse. De même, une fois cet exercice terminé, toutes les opérations mises en
TÉ
A LI
D IS
suspens avant l'audit peuvent refaire surface et altérer l’état de sécurité de référence.
I
ENT

P ON
On rentre ainsi dans un cercle vicieux, avec une conformité qui n’est assurée qu’au
F ID

rythme des audits. De fait, plus l’écart de conformité s'étend dans la durée, plus le
IBIL
CON

risque est accru.

ITÉ

INTÉGRITÉ
Le SCM vous permet d’appliquer différents frameworks de renforcement de la sécurité
comme CIS, NIST et ISO 27001, ainsi que des normes de conformité soumises à audit,
comme le standard PCI DSS (Payment Card Industry Data Security Standard), la loi
Sarbanes-Oxley (SOX) ou le Health Insurance Portability and Accountability Act (HIPAA).
Sécurité des configurations
serveur et réseau

SUCCÈS SUCCÈS

DURÉE

5
 CORRIGEZ RAPIDE- Compromission
MENT VOS ERREURS
DE CONFIGURATION Exfiltration
Il ne faut parfois que quelques
minutes à un hacker pour
compromettre un système.
Or, les entreprises mettent Détection
souvent des jours, des mois,
voire des années à s’apercevoir
d’une intrusion et à engager les Neutralisation
mesures correctives adaptées.
Le Rapport d’enquête sur les
compromissions de données2
(DBIR) annuel de Verizon
montre bien que cette tendance
DURÉE
affecte depuis longtemps les
entreprises du monde entier.
Les solutions SCM permettent de raccourcir le délai entre, d’une part, la compromission
du système et l’exfiltration de données sensibles et, d’autre part, la découverte et la
réponse à l'incident. Côté prévention, le SCM vous informe de tout écart de configuration
pour vous permettre d'enclencher rapidement les mesures proactives adéquates.
Nous ne sommes d'ailleurs pas les seuls à le dire. Des organismes de cybersécurité
indépendants comme le CIS (Center for Internet Security) conseillent aux entreprises
d’intégrer une solution SCM au cœur de leurs processus de sécurité.

« Les contrôles du CIS regroupent un ensemble de bonnes pratiques de

cybersécurité disponibles gratuitement. Elles offrent aux entreprises des
recommandations claires et priorisées qui les aident à lutter contre les
menaces de cybersécurité les plus répandues. »3

— Center for Internet Security, 2020

6
LES PRINCIPAUX CONTRÔLES DU CIS
Les vingt contrôles préconisés par le CIS sont classés par ordre de priorité. Nous
vous conseillons de commencer par les six premiers afin de développer les bases du
programme de cybersécurité de votre organisation. Vous pourrez ensuite vous atteler un
à un aux contrôles restants de façon à renforcer progressivement votre sécurité. Le SCM
figure à la cinquième place des contrôles du CIS : c'est dire son caractère essentiel.

1 Inventaire et contrôle des ressources matérielles

Il s’agit d’un contrôle crucial étant donné la taille des entreprises actuelles : sans
gestion adéquate du matériel, il est impossible de savoir quels systèmes sont
connectés à votre réseau.

2 Inventaire et contrôle des ressources logicielles

Ce contrôle ne se limite pas aux systèmes d’exploitation : il couvre tout l'éventail des
ressources logicielles, dont le code intégré, les applications et les services.

3 Gestion continue des vulnérabilités

L’analyse des vulnérabilités constitue une partie essentielle de votre programme
de sécurité, sans pour autant se substituer au SCM. Elle vous permet toutefois
d’identifier et de classer les risques de vulnérabilité par degré d’importance.

4 Utilisation contrôlée des droits d’administrateur

Un autre volet essentiel des programmes de cybersécurité concerne le contrôle
d’accès aux données sensibles, comme par exemple les informations de carte de
paiement ou d’identification personnelle (PII).

5 Configuration sécurisée des matériels et logiciels des

terminaux mobiles, des ordinateurs portables, des postes de
travail fixes et des serveurs
Il s'agit du principal contrôle entrant dans le cadre du SCM. Une fois votre système
configuré à l’aide de votre outil SCM, cet état de configuration initial doit être maintenu
par le biais d’autres processus tels que la surveillance de l’intégrité des fichiers (FIM).
Vous pourrez ainsi protéger votre entreprise contre les modifications non autorisées
des fichiers et des ressources connexes.

ASTUCE TRIPWIRE : une solution SCM efficace passe d'abord par une compréhension
de base de votre environnement. Pour ce faire, il convient d’appliquer les quatre
premiers contrôles du CIS : dressez l’inventaire de vos ressources matérielles et
logicielles, déployez votre processus de gestion des vulnérabilités et contrôlez les
privilèges d’administrateur. C'est somme toute une question de logique : comment bien
gérer vos configurations sans connaître précisément ce que vous devez protéger ?

TOUT EST QUESTION DE COORDINATION

Le SCM n’est pas voué à opérer en vase clos : il doit s’intégrer étroitement aux autres pro-
cessus fondamentaux de votre cybersécurité. En partageant les données entre vos outils,
vous obtiendrez une vue globale de votre exposition et pourrez déterminer plus facilement
l’impact potentiel d’une mauvaise configuration ou d’une modification donnée du système.

7
 TÉ
A LI
D IS
I
ENT

P ON
F ID

IBIL
CON

ITÉ
INTÉGRITÉ

Intégrité à l’échelle de l’entreprise

La sécurité peut aussi être abordée du point de vue des processus et des contrôles
nécessaires au maintien de l’intégrité. Une intégrité totale signifie une tolérance zéro
à tout écart vis-à-vis d'un état de référence. Les changements sont fréquents. Et qu’ils
soient internes ou externes, autorisés ou interdits, intentionnels ou accidentels, bénins
ou malveillants : tous sont susceptibles de nuire à l’intégrité du système. C’est pourquoi
la gestion de l’intégrité constitue l’un des socles de la sécurité d’entreprise.
Elle est d’ailleurs au cœur de la « triade CID », un modèle incontournable pour
quiconque souhaite garantir l’efficacité des politiques de sécurité de l’information. Le
sigle CID signifie : confidentialité, intégrité et disponibilité. L’intégrité est un prérequis
essentiel de la confidentialité et de la disponibilité.
C’est un concept indispensable dans tout programme de cybersécurité d’entreprise.
Ériger l’intégrité en principe directeur vous permet de définir des objectifs pour vos
systèmes, votre réseau et vos données afin d’harmoniser divers types d’environnements
autour d’un programme bien coordonné.
Abordée sous cette perspective, elle vous renseigne sur les besoins de votre entreprise
et sur la manière d’éviter les effets indésirables. En tant que socle de confiance et de
fiabilité, l’intégrité constitue alors le mètre-étalon de la sécurité d’entreprise. Pour
résumer, la gestion des configurations de sécurité représente un facteur essentiel
de validation de l’intégrité de votre infrastructure. Toutefois, celle-ci est plus efficace
lorsqu’elle est associée à des processus de gestion des changements bien rodés, dont le
suivi de l’intégrité (FIM) fait partie.

L’importance de la surveillance de l’intégrité des fichiers

Pour détecter rapidement les écarts, il faut avant tout pouvoir identifier les change­
ments qui en sont la cause. Ces derniers doivent être surveillés en continu afin de
déterminer s’ils sont nuisibles du point de vue de la sécurité ou de la conformité. Les
solutions FIM et SCM fonctionnent donc en synergie en vue de détecter et d’évaluer
rapidement l’impact des changements suspects.

8
QU’EST-CE QUE LE FIM ?
Le FIM est le processus de sécurité qui surveille et détecte les changements au
sein de votre environnement. Il vous informe des menaces de cybersécurité et
vous aide à y remédier. Les données FIM sont un élément clé de l'efficacité de
votre SCM : les deux fonctionnent en synergie.

Alors que les systèmes SCM évaluent la cohérence de la configuration actuelle par
rapport à une politique prédéfinie ou un état attendu, les solutions FIM détectent
les changements apportés aux
fichiers et aux attributs système
par rapport à leur état de référence
précédent. Cela inclut par exemple
les modifications liées aux serveurs,
aux équipements réseau, aux bases
de données, aux images virtuelles ou
aux comptes de services cloud.
Aussi, deux autres processus de
sécurité interviennent fréquemment
dans le pro­longement du SCM : la
gestion des vulnérabilités (VM) et la
gestion des journaux (LM).

Gestion des vulnérabilités

et SCM
Une vulnérabilité de sécurité
informatique est une erreur
logicielle qu’un hacker peut exploiter
afin d’accéder à un système ou un
réseau. À l’instar d’une erreur de
configuration, une vulnérabilité
augmente le degré d'exposition de
votre environnement.
La gestion des vulnérabilités
analyse les réseaux à la recherche
des risques connus, en s’appuyant
généralement sur une liste de
vulnérabilités et d’expositions
communes (CVE). Le processus
traite alors les vulnérabilités par
ordre de priorité, en fonction de leur
degré de risque. Les outils capables
d’afficher à la fois les données SCM
et VM offrent une vue plus globale
de votre environnement, vous aidant
ainsi à prioriser les actions de
remédiation en fonction de l’impact
potentiel.
COMMENT DÉTERMINER LA
FIABILITÉ D’UN OUTIL FIM ?
Le marché regorge de solutions FIM dont les
fonctionnalités varient considérablement.
Les outils FIM qui ne vous permettent pas
de distinguer les changements prévus des
modifications imprévues crée un volume excessif
d'alertes qui finit par détourner l’attention
des équipes de sécurité. Par contraste, les
solutions avancées indiquent le contexte de
chaque changement, en précisant par exemple
qui en est à l’origine et à quel moment il a
été effectué. Elles proposent également des
outils permettant de faire la distinction entre
les bons et les mauvais changements. Parmi
les autres fonctions utiles, citons notamment
la détection des changements en temps réel
et le rapprochement automatisé des mauvais
changements.

9
 Gestion des journaux et SCM
La gestion des journaux (ou logs) consiste à recueillir les données journalisées des
équipements et des applications de votre infrastructure. La centralisation et l’agrégation
de ces journaux vous permettent de reconstituer une chaîne d’événements sans lien
apparent. Les données SCM permettent de contextualiser ces événements, vous
permettant ainsi de vous concentrer sur les priorités.

LM SCM
Sécurité
complète
FIM VM

Les quatre processus que nous venons d'aborder font partie des nombreuses mesures
de cybersécurité à appliquer en complément d'une solution SCM.

10
 PITRE 2
CHA
• •
AVIS DE
TEMPÊTE
Quelles menaces
pour l’entreprise ?

Aujourd’hui, les entreprises doivent défendre une surface d’attaque

à la fois élargie, poreuse et interdépendante. Nous assistons en effet
à l’explosion du nombre et du type de ressources informatiques, la
plupart des appareils et équipements étant connectés directement au
réseau d’entreprise ou indirectement via Internet. Or, chacun de ces
appareils représente un point d’entrée potentiel pour les hackers et
les cybercriminels.
Dans ce contexte, les anciennes méthodes
comme la sécurité et les défenses réseau
périmétriques sont dépassées, le périmètre
LM SCM
étant de plus en plus fluide et perméable.
Ces dix dernières années, nous avons
observé une recrudescence d’incidents
Sécurité
menant à des pertes massives en termes
complète
financiers, de données confidentielles et de
propriété intellectuelle. Cela prouve bien que les
FIM VM
solutions de sécurité traditionnelles ne parviennent
pas à protéger efficacement les entreprises contre
les hackers, dont on sait pourtant qu'ils sont très
présents dans les environnements. Concrètement,
une violation de données coûte en moyenne près de

3,32 M€
3,32 millions d’euros par incident.4
C'est là que les systèmes SCM prennent toute leur importance
car ils surveillent directement l’état des ressources. Les écarts
observés par rapport aux valeurs attendues sont alors signalés, PAR COMPRO-
que leur origine soit interne ou externe, accidentelle ou mal­
veillante. Cependant, pour être véritablement efficaces, ces
MISSION
contrôles doivent être déployés à l’échelle de toute la structure. DE DONNÉES

11
 En effet, votre périmètre ne se limite plus aux data centers traditionnels sur site.
Aujourd’hui, les équipes de sécurité doivent surveiller et gérer simultanément l’ensemble
des ressources informatiques : ordinateurs portables des télétravailleurs, systèmes
distribués, serveurs physiques, équipements réseau, ressources cloud ou encore
applications SaaS.
À première vue, la quantité de travail associée aux systèmes SCM et aux autres contrôles
de base du CIS a de quoi intimider, mais cela ne doit pas être un frein : il vous suffit de
vous lancer et de procéder par priorité. En matière de gestion des risques, le mieux
est de se concentrer d'abord sur les menaces les plus sérieuses, puis d’optimiser
progressivement par la suite.

RÉDUIRE VOTRE SURFACE D’ATTAQUE

Et si vous envisagiez votre programme de sécurité sous l'angle de la réduction de votre
surface d’attaque ? Ce changement de perspective offre une excellente opportunité de
revoir votre approche de la sécurité, notamment en ce qui concerne l’implémentation des
LM SCM
contrôles de base qui restent votre première ligne de défense contre les cyberattaques.
Un mot d’abord sur la terminologie. Afin de mieux cerner le concept de « surface
Sécurité
d’attaque », il faut savoir ce qu’est un vecteur d’attaque. Il s’agit simplement du moyen
utilisé par les hackers pour obtenir l’accès à vos données sensibles.
complète
La surface d’attaque représente alors la somme des vecteurs d’attaques de votre
entreprise, c’est-à-dire la surface totale d’exposition potentielle du système, qu’il
FIM VM
s’agisse d’environnements sur site, cloud, industriels ou hybrides.
Dans ce chapitre, nous allons voir comment fonctionnent les solutions SCM dans
différents contextes d’entreprise, tout en passant en revue les risques spécifiques à
prendre en considération.

3,32 M€
PAR COMPRO-
MISSION
DE DONNÉES

12
 SYSTÈMES SCM DE BASE
La configuration de vos équipements réseau, bases de données, serveurs d’annuaire,
terminaux POS, postes de travail, ordinateurs portables, tablettes, systèmes
d’exploitation et applications n’est pas sécurisée par défaut. En réalité, les paramètres
d’usine d'appareils neufs sont souvent pensés dans une optique de simplicité
d’installation, et non de sécurité.
Par ailleurs, en modifiant ces réglages, vous courez le risque de créer des « écarts de
configuration » (aussi appelées « dérives de configuration ») qui rendent vos systèmes
vulnérables. Ce phénomène peut prendre plusieurs formes, comme l’escalade
des privilèges, l'ouverture des ports de communication, ou bien le libre accès aux
compartiments AWS (Amazon Web Services) S3.
Pour compliquer encore l'équation, rappelons que ces ressources sont réparties dans
plusieurs environnements : bureaux, domiciles des salariés, campus, data centers
distribués, voire même différents fournisseurs cloud. Autant d’éléments sujets à
d'éventuels écarts de configuration, tant individuellement que collectivement. Une
simple modification de configuration d’un routeur peut en effet déconnecter des réseaux
entiers et empêcher vos collaborateurs de faire leur travail ou, à l'autre extrême, rendre
votre système librement accessible depuis Internet.
Le premier rôle de vos équipes de sécurité est de surveiller les paramètres de configu­
ration des équipements et des applications afin de les maintenir à leur état de référence.
Il s'agit là d'un processus continu et non d'une action ponctuelle. Les audits et contrôles
de configuration réguliers ne permettent de mesurer la sécurité qu'à un instant t.
Mais une fois l'audit ou le contrôle terminé, le risque va croissant. À chaque seconde,
l’état de configuration connu et fiable s’étiole, créant peu à peu le terreau d’une possible
compromission.

ASTUCE TRIPWIRE : les environnements dynamiques apportent leur lot de défis en

matière de gestion des configurations de sécurité. Le terme d’« environnement
dynamique » recouvre plusieurs types de déploiements. Il peut s’agir par exemple
d’un data center dont les ressources matérielles sont fréquemment remplacées.
Si votre outil SCM ne surveille pas le déploiement et le retrait de ressources
dynamiques, il vous sera impossible d’obtenir un aperçu précis de votre état de
configuration.

! Vecteurs d'attaques bloqués par un SCM de base

» Escalade des privilèges

» Accès aux identifiants
» Services et protocoles non sécurisés tels que Telnet et TFTP

13
 SCM DANS LE CLOUD
Aujourd'hui, les entreprises n'opèrent quasiment jamais sur un modèle 100 % sur site
Appareils sous surveillance SCM
(on-prem) ou 100 % cloud. La norme s'établit sur un mélange des deux mondes, ce qui
leur permet de répondre à leurs divers objectifs métiers, informatiques et sécuritaires.
En panachant ainsi des ressources on-prem et cloud, on obtient ce que l’on appelle un
environnement hybride.
L'hybridité offre des avantages indéniables, notamment en matière d’évolutivité,
d’économie et de personnalisation granulaire de l’infrastructure. Mais, parallèlement,
elle élargit aussi votre surface d’attaque. Par ailleurs, les environnements hybrides
sont fréquemment
Systèmes constitués
de fichiers Base de plusieurs
de données Serveursfournisseurs
d’annuaire cloud. Les entreprisesÉquipements
Infrastructures
virtuelles réseau
cherchent ainsi à exploiter les avantages respectifs de chaque service tout en évitant
l’enfermement propriétaire.
La sécurité multicloud requiert par conséquent des outils SCM automatisés, capables de
surveiller les configurations
Signalement cloud de la même manière qu'elle le fait pour les systèmes
physiques sur site. Rapprochement
Les configurations de compartiments Remédiation
AWS S3 sont en effet l’un des
et notification
vecteurs d’attaque les plus courants et nécessitent donc une attention constante. Le
rapport DBIR de Verizon montre que les erreurs de configuration de stockage cloud sont
l’une des principales causes de compromission.1

CLIENT
RESPONSABLE DE LA SÉCURITÉ
« DANS » LE CLOUD

Données client
Gestion de la plateforme, des applications, des identités et des accès (IAM)
Configuration du système d’exploitation, du réseau et des pare-feu
Données côté client Chiffrement côté serveur Protection du trafic
Chiffrement et intégrité des données (système de fichiers réseau (chiffrement,
Authentification et/ou données) intégrité, identité)

LOGICIELS
Calcul Stockage Base de données Réseau

INFRASTRUCTURE MATÉRIELLE/AWS MONDIALE

Régions Zones de disponibilité Emplacements Edge

AWS
RESPONSABLE DE LA SÉCURITÉ
« DU » CLOUD

14
 Contrairement à ce que l’on pourrait croire, les données et configurations systèmes ne
sont pas automatiquement sécurisées par les fournisseurs cloud. La sécurité fait ici
l’objet d’une responsabilité partagée. Il est donc important de tracer une ligne claire
entre vos obligations et celles de vos fournisseurs, comme AWS, Google Cloud Platform
ou Azure. Vous êtes en effet tenu de protéger vos données et vos applications, tout en
étant responsable de la gestion des configurations de vos comptes cloud.
Enfin, le DevOps est un autre domaine méritant l’attention particulière des responsables
de la cybersécurité. En effet, en privilégiant la rapidité et l’efficacité du pipeline CI/CD,
les équipes DevOps relèguent parfois les questions de sécurité au second plan. Avant
l'apparition des containers, les cycles de développement logiciel étaient beaucoup plus
longs. Aujourd'hui, les nouvelles builds apparaissent au fil des besoins économiques, et
les applications déployées sont bien souvent containerisées. Désormais, les applications
et les services ne sont plus perçus comme des unités discrètes. Les erreurs de configu­
ration de containers et d'images doivent donc être contrôlées individuellement et con­
tinuellement afin de ramener le DevOps dans le champ du SCM.

! Vecteurs d'attaques bloqués par un SCM cloud

» Erreurs de configuration des plateformes de stockage dans le

cloud public
» Containers DevOps
» Référentiels GitHub non sécurisés
» Divulgation d’identifiants administrateur

SCM ET CONTRÔLES INDUSTRIELS

Les environnements industriels tels que les opérateurs d'importance vitale (OIV) ou
les grands sites de production compliquent la gestion des configurations de sécurité,
car elles intègrent la sphère technologique opérationnelle (OT) à l'environnement
informatique. Elles accueillent en outre un nombre croissant d’appareils IIoT (Internet
industriel des objets). Ces derniers connectent l’équipement physique, autrefois isolé,
aux infrastructures numériques de l’entreprise et à Internet, élargissant de fait la
surface d’attaque de manière inédite et parfois imprévisible.
De leur côté, les systèmes de contrôle industriel (ICS) doivent mettre en œuvre des
processus SCM afin de configurer correctement les terminaux comme les postes
de travail opérationnels, les systèmes SCADA, les automates programmables et les
interfaces homme-machine. En OT comme en IT, l'enjeu est de surveiller de façon
continue la conformité des configurations. On observe toutefois la présence d’un
obstacle supplémentaire : la fragilité de la plupart de ces systèmes de contrôle. Une
approche à faible impact, voire « sans contact », est ainsi privilégiée dans l’analyse de
l’équipement afin d’obtenir les données de configuration requises.

15
 ! Vecteurs d'attaques bloqués par les solutions
SCM industrielles

» Accès distant via l’escalade des privilèges

» Mauvaise configuration des postes de travail
» Mauvaise configuration des appareils ICS et IIoT

SCM ET TÉLÉTRAVAIL
Le recours massif au télétravail et aux outils associés présente de nouveaux risques
en matière de gestion des configurations. Ce phénomène altère de façon drastique le
périmètre du réseau, élargissant de facto la surface d’attaque.
En premier lieu, on pense évidemment aux ordinateurs portables utilisés à domicile,
mais ces derniers ne sont qu'une partie du problème. En effet, la mise en place du
télétravail ne se résume pas à la distribution d’ordinateurs et à l'octroi de permissions.
Plusieurs infrastructures sont ainsi requises pour fournir des services comme l’accès à
distance, l’authentification et l’assistance technique.
Dans un environnement majoritairement en distanciel, l'efficacité du SCM passe d'abord
par un inventaire complet des systèmes sous-tendant ce mode d’organisation. Ce n'est
qu'au terme de cet exercice que vous pourrez appliquer vos processus SCM à l’ensemble
des composants concernés. Vous garantirez ainsi une authentification sécurisée de
vos utilisateurs et une configuration adaptée des accès à distance, tout en veillant à la
sécurité et la conformité des terminaux distants.

! Vecteurs d'attaques des dispositifs de télétravail

bloqués par le SCM

» Mauvaise configuration des terminaux (ex. : ordinateurs

portables)
» Mauvaise configuration des DNS
» Mauvaise configuration des contrôles d’accès

16
 PITRE 3
CHA •
HISSER
•

LES VOILES
Le SCM en pratique

Même sur un seul serveur, le suivi des configurations peut

représenter une tâche colossale impliquant des milliers de ports,
de services et de paramètres. Sachant que tous ces éléments sont
multipliés par le nombre de serveurs, hyperviseurs, routeurs,
commutateurs et pare-feu de l’entreprise, seuls des processus
automatisés vous permettront de surveiller les configurations.
Votre console SCM recueillera les données issues de ces équipements et terminaux,
puis corrigera les erreurs en fonction des régimes de conformité à respecter. Les
fonctionnalités des différentes solutions SCM peuvent varier mais, fondamentalement,
vous disposerez toujours d’une console permettant de gérer et configurer vos données
SCM, puis d'établir des rapports à partir de ces données. Une base de données
principale servira à stocker toutes les informations se rapportant aux informations de
référence, aux modifications et à la conformité.
Vous emploierez enfin des technologies avec et sans agent qui vous permettront de
capturer les informations SCM requises sur les équipements physiques, virtuels ou
cloud les plus divers : ordinateurs portables, stations de travail, routeurs, commutateurs
et pare-feu, serveurs, bases de données, serveurs d’annuaire et autres ressources.

Spécialiste SCM Console SCM Base de données SCM

Appareils sous surveillance SCM

Systèmes de fichiers Base de données Serveurs d’annuaire Infrastructures Équipements

virtuelles réseau

Signalement
Rapprochement Remédiation
et notification

17
 LES QUATRE POINTS CARDINAUX D’UNE SOLUTION RENFORCÉE
La détection d’appareils, l’établissement de bases de référence, la gestion des
changements et la remédiation représentent les quatre points cardinaux de l’approche
SCM. Les outils SCM dignes de ce nom automatisent ces tâches tout en offrant une
visibilité approfondie du système. Toute erreur de configuration doit ainsi être signalée
immédiatement et accompagnée de recommandations pour les actions correctives à
engager.

1 Détection des appareils : impossible de gérer ce qu’on ne connaît pas. Vous

devez premièrement déterminer quels sont les appareils à surveiller. Pour ce faire,
vous utiliserez dans l'idéal une plateforme SCM équipée d’un référentiel intégré
de gestion des ressources. Il vous faudra également catégoriser et étiqueter les
ressources afin d’éviter le démarrage de services inutiles. Les stations de travail
d’ingénierie et les systèmes financiers, par exemple, ne répondent pas du tout aux
mêmes impératifs de configuration.

2 Établissement d’une base de référence : pour établir une base de

référence de sécurité, vous devez définir les configurations acceptables pour chaque
type d’équipement géré. Les entreprises prennent généralement pour point de
départ les benchmarks d’'organismes comme le CIS ou le NIST (National Institute of
Standards and Technology). Elles bénéficient ainsi d’instructions granulaires sur la
configuration de divers types d'appareils.

3 Gestion des changements : dès que votre base de référence est définie,
votre outil SCM doit commencer à identifier et signaler les changements. Une
fois les appareils détectés et catégorisés, vous devrez déterminer la fréquence
d’évaluation SCM. Il s'agit en substance de préciser la périodicité d’exécution de vos
contrôles de politiques. Les contrôles temps réel ne sont pas requis pour tous les cas
d'usage (nous y reviendrons ultérieurement).

4 Correction : les écarts identifiés

doivent être soit corrigés, soit DES APPAREILS
TION
autorisés. Vos devrez en outre ÉTEC •
vérifier que les changements •D
prévus ont bien eu lieu
•B

pour maintenir une piste

ASE

d'audit précise. Lors de

DE RÉFÉRENCE •

la mise en œuvre de
MÉDIATION •

votre solution SCM, vous

n'aurez probablement pas
le temps de tout gérer de
• RE

front. Il vous faudra donc

établir des priorités.
•G
EST
S• ION
CHANGEMENT DES

18
PROCESSUS SCM ESSENTIELS
Le processus en quatre étapes (détection, définition des bases de référence, gestion
des changements et remédiation) constitue le socle de votre programme SCM. Nous
allons maintenant décrire les aspects pratiques et fondamentaux des bibliothèques de
politiques, de l’évaluation SCM, des tableaux de bord et des comptes-rendus SCM.

MAINTIEN DES BIBLIOTHÈQUES DE POLITIQUES

Une politique SCM est un ensemble de normes auxquelles doivent répondre les
systèmes sous gestion de votre réseau, ce afin de respecter des protocoles internes
ou réglementations externes. Votre outil SCM doit proposer les outils adéquats vous
permettant de contrôler la conformité de vos politiques à des frameworks de type CIS
ou PCI DSS. De même, une solution évoluée vous permettra d'évaluer la conformité
aux politiques internes. Pour ce faire, il vous suffit de créer vos propres politiques
personnalisées directement dans l’outil SCM.

QU’EST-CE QU’UNE BONNE POLITIQUE ?

Une bonne politique doit être à la fois précise et actuelle. Précise car il s'agit
d’interpréter correctement des exigences réglementaires parfois vagues et
de les traduire en contrôles jugés efficaces et recevables par les auditeurs.
Actuelle car il est important de tenir la cadence face aux changements
constants du cadre réglementaire.

Politiques personnalisées
Une solution SCM efficace vous permettra d’importer de nombreuses autres politiques
et de créer vos propres politiques personnalisées. Chaque politique doit comporter ces
quatre caractéristiques :
» Des tests permettant de contrôler l’état d’un paramètre de configuration
spécifique à un instant t
» Des scores de conformité générale d’un système ou d’un équipement
» Des coefficients indiquant l’importance relative d’un test
» Des seuils visant à mettre en relief les échecs d'audit à traiter en priorité

Dérogations aux politiques

Une dérogation est une exception pouvant être octroyée en raison d’une exigence
spécifique ou d’autres facteurs atténuants. Par exemple, imaginons que votre entreprise
utilise une application historique qui ne fonctionne que sous Microsoft Windows 2003.
Dans la plupart des cas, un auditeur sanctionnerait votre utilisation d’un si vieux
système d’exploitation. Toutefois, si vous pouvez lui présenter une dérogation qui justifie
ce choix, l’auditeur l'acceptera et passera à autre chose.

19
 ASTUCE TRIPWIRE : certains outils SCM octroient les dérogations de façon dyna-
mique, en fonction des groupes et des étiquettes, plutôt que par le simple biais
d’associations rigides entre des ressources et des tests spécifiques. Les éléments
éphémères et dynamiques peuvent donc bénéficier d’exceptions aux contrôles
de politiques, dans la mesure où ils démarrent et s'arrêtent selon les détails les
reliant à une étiquette ou à un groupe de ressources donné. Les dérogations sont
ainsi permises dans les environnements cloud dynamiques.

Prise en charge de multiples politiques

Les entreprises sont souvent soumises à de nombreux régimes réglementaires et
exigences sécuritaires. Par exemple, aux États-Unis, une entreprise publique qui traite
des paiements par carte devra se conformer à la loi SOX (Sarbanes-Oxley Act) et aux
standards PCI. Une solution SCM complète vous permettra ainsi d'effectuer facilement
différents contrôles de politiques sur la même ressource.

Étiquetage des ressources

Les grandes entreprises s'organisent autour de structures très complexes. La
solution SCM que vous choisirez devra en tenir compte afin de délivrer des informations
exploitables, chaque structure pouvant être définie selon différents critères : implanta­
tions physiques, applications, responsables systèmes, responsables d'activité, etc. En
identifiant vos ressources selon le schéma logique de votre entreprise, vous améliorerez
la qualité de votre reporting de conformité SCM.

MONITORING
Définir les politiques et processus dans les règles de l'art est un bon début, mais encore
faut-il disposer des moyens de surveiller les ressources auxquelles ces politiques et
processus s'appliquent. Ce faisant, vous garantirez leur conformité tout en veillant à ce
que les collaborateurs désignés soient alertés du moindre écart.

Technologies avec et sans agent

Les ressources sont généralement surveillées de deux façons : soit à l’aide d’un
programme installé à cette fin sur le système cible, c’est-à-dire un agent, soit via l’accès
à distance. Certains fournisseurs proposent les deux options. Le monitoring avec agent
offre globalement des informations plus détaillées car l'agent interagit directement
avec la ressource en question. La surveillance sans agent est préférable dans les cas
où l’utilisation d’un agent viendrait perturber le système (comme dans les réseaux
industriels) ou serait incompatible avec certains aspects de votre environnement
(comme les systèmes exécutant une version embarquée de Windows ou de Linux).
L'approche sans agent requiert des identifiants pour l’accès aux systèmes à distance.

Monitoring temps réel ou périodique ?

La plupart des outils SCM répertorient les changements de façon périodique, puis les
comparent à la base de référence précédente. Pour certains systèmes critiques ou
environnements dynamiques, la détection en temps réel représente un avantage certain.
En effet, vous pouvez être alerté immédiatement de toute modification potentiellement
dangereuse, tout en connaissant l’origine et la date du changement. D’un autre côté,
tous les nœuds surveillés ne supportent pas nécessairement les agents, comme c’est
le cas des routeurs, des commutateurs réseau et des pare-feu. Vous devrez alors
configurer votre solution SCM afin d’analyser ces ressources de façon périodique.

20
WORKFLOWS DE REMÉDIATION LM SCM
Une fois que vous connaissez les ressources non conformesSécurité
aux politiques et
complète
réglementations, vous devez pouvoir corriger rapidement le tir. Outre la description
FIM VM
du problème rencontré, une solution SCM complète vous fournira toutes les
recommandations nécessaires pour le résoudre efficacement.
Un programme SCM peut en outre être associé à un processus de gestion des 3,32 M€
changements ou, mieux encore, une solution ad hoc automatisée. Cette approche PAR COMPRO-
MISSION
favorisera le processus de remédiation, permettant ainsi aux business units de DE DONNÉES
préserver la disponibilité de leurs systèmes.

RAPPORTS ET TABLEAUX DE BORD

Vous devrez déterminer les modes
de présentation et d'agencement
des informations recueillies par
le système SCM. Nous parlons ici
d'informations d'ordre technique,
Une bonne solution SCM,
mais aussi de nature plus stratégique c'est d'abord des tableaux
pour les décideurs. Prenez en compte
l’ensemble des parties prenantes,
de bord offrant une parfaite
techniques et non techniques, visibilité
pouvant être amenées à utiliser les
rapports SCM.
Il est essentiel d'adapter vos rapports
et tableaux de bord à ces différents
publics. Les entreprises, quelle que
soit leur taille, doivent être mesure Les tableaux de bord sont un élément
de récupérer des informations
crucial des outils SCM dans la mesure
cruciales à partir de la quantité
massive de données pouvant être où ils permettent d’obtenir une vue
générées. Associés à l’étiquetage des d’ensemble de la sécurité et de la
ressources, ces rapports permettront conformité, dans l'immédiat et à terme.
à l’administrateur de filtrer les seules Ces tableaux doivent se composer
informations pertinentes et utiles aux
d’éléments standard et personnalisables,
métiers de l'entreprise.
de façon à répondre aux besoins
d'information d'utilisateurs techniques
et non techniques. Vous devrez ainsi
pouvoir afficher ou masquer certaines
ressources, politiques et/ou alertes selon
les utilisateurs ou les groupes autorisés,
tandis que les droits et autorisations sont
généralement stockés dans l'annuaire
d’entreprise. Enfin, un bon système de
reporting mettra en lumière les écarts
de configuration et orientera vos actions
correctives.

21
 • CH A
PITRE 4
• CAP SUR UNE
CONFORMITÉ
PERMANENTE
Le SCM au service
du maintien de la
conformité

Outre le renforcement de votre sécurité, le SCM aide les auditeurs à

effectuer un suivi des améliorations de la conformité au fil du temps.
Le cas échéant, vous pouvez présenter à l'auditeur le rapport adéquat
afin de prouver la conformité de vos configurations à un instant précis.
La conformité peut être autant une affaire de protocoles internes que de politiques
externes. De fait, vos propres audits internes peuvent être effectués en parallèle d'audits
externes réglementaires (PCI DSS, HIPAA, etc.).

« Le développement de configurations de sécurité est une tâche complexe, qui

dépasse de loin les capacités d'utilisateurs individuels. Elle requiert en effet
l’analyse potentielle de centaines, voire de milliers d'options de façon à faire les
bons choix Un bon paramétrage des configurations initiales doit être suivi d’une
surveillance continue afin d’éviter tout affaiblissement de la sécurité au gré des
mises à jour ou correctifs logiciels, de l’apparition de vulnérabilités ou de certains
« ajustements » de configuration visant à permettre l'installation de nouveaux
logiciels ou la prise en charge de nouvelles exigences opérationnelles. À défaut,
les attaquants trouveront des failles qui leur permettront d’exploiter les services
en réseau et les logiciels clients. »5

— Center for Internet Security

22
FRAMEWORKS DE
BONNES PRATIQUES
Il est important de faire la
distinction entre les frameworks
de bonnes pratiques et les normes
réglementaires. Les premiers,
fournis par des organismes comme
le CIS et le NIST, sont des ressources
auxquelles vous pouvez adhérer
afin de maintenir un programme de
cybersécurité efficace et d’actualité.
Ces frameworks recommandent
des pratiques de sécurité de base,
dont le SCM fait partie. Toutefois,
ces pratiques ne sont soumises
à aucun audit. De leur côté, les
normes réglementaires conseillent
également l’adoption du SCM. Voilà
donc deux bonnes raisons de mettre
en place un système de gestion de vos
configurations
Il existe plusieurs frameworks
destinés à renforcer l'efficacité de
votre programme de cybersécurité,
les plus répandus étant les contrôles
du CIS ou les standards NIST et
MITRE ATT&CK, tous de très bonnes
références pour mettre en place un
système SCM bien huilé.
LES CONTRÔLES DU CIS
Comme nous l’avons vu au chapitre 1,
les contrôles du CIS (Center for
Internet Security) sont la référence
absolue en matière de cybersécurité
des entreprises. Les vingt contrôles
sont classés selon leur importance.
D'où l'importance de les appliquer
en respectant l’ordre indiqué. Les
programmes SCM figurent à la
cinquième place : « configuration
sécurisée des matériels et logiciels
des terminaux mobiles, des
ordinateurs portables, des postes de
travail fixes et des serveurs. »
Les contrôles du CIS
Contrôles de base
1. Inventaire et contrôle des
ressources matérielles
2. Inventaire et contrôle des
ressources logicielles
3. Gestion continue des vulnérabilités
4. Utilisation contrôlée des droits
d’administrateur
5. Configuration sécurisée des
matériels et logiciels des terminaux
mobiles, des ordinateurs portables,
des postes de travail fixes et des
serveurs
6. Maintenance, surveillance et
analyse des journaux d’audit
Contrôles essentiels
7. Protection des e-mails et de la
navigation Internet
8. Protection anti-malware
9. Restriction et contrôle des ports,
protocoles et services réseau
10. Fonctions de récupération des
données
11. Configuration sécurisée d’équipe-
ments réseau comme les pare-feu,
les routeurs et les commutateurs
12. Défense périmétrique
13. Protection des données
14. Contrôle des accès basé sur le
principe du « besoin d’en savoir »
15. Contrôle des accès sans fil
16. Surveillance et contrôle des
comptes
Contrôles organisationnels
17. Implémentation d’un programme
de formation et de sensibilisation
aux enjeux de sécurité
18. Sécurité des applications
19. Gestion et réponse à incident
20. Tests d’intrusion et simulations
Red Team
23
 NIST
Le NIST constitue le cadre directeur des systèmes informatiques fédéraux aux États-
Unis, en lien direct avec le Federal Information Security Modernization Act (FISMA). La
publication spéciale (SP) 800-53, intitulée « Security and Privacy Controls for Federal
Information Systems and Organizations », s’adresse également aux entreprises du
privé : elle aide les responsables de la sécurité, tous secteurs confondus, à renforcer
l’efficacité de leur SCM.
Le contrôle 800-53 du NIST recommande le recours à l’automatisation dans la gestion
des configurations : « Les outils d'automatisation peuvent être utilisés à l’échelle de
l’entreprise, de la mission, du processus métier ou bien du système, sur les postes de
travail, les serveurs, les ordinateurs portables, les composants réseau ou encore les
terminaux mobiles. Les actions de réponse automatisée permettent par exemple de
suspendre les fonctions et les processus systèmes, ou d’envoyer des alertes ou des
notifications aux équipes de sécurité dès qu'une modification de configuration non
autorisée est détectée. »6

Conformité SCM des administrations

En vertu du Federal Information Security Management Act (FISMA), les administrations
fédérales américaines doivent assurer elles-mêmes la sécurité de leurs données et
systèmes. Les normes et les frameworks cités dans ce chapitre ne sont pas exhaustifs :
ils brossent néanmoins un aperçu des principales exigences pour lesquelles une
entreprise peut faire l’objet d’un audit. Le NIST, décrit plus haut, est le cadre directeur
de la conformité FISMA. Ces publications spéciales de l'institut sont couvertes par
l’approche SCM :

» NIST 800-37 : Guide for Applying the Risk Management Framework to

Federal Information Systems

» NIST 800-53 : Recommended Security Controls for Federal Information

Systems and Organizations

» NIST 800-128 : Guide for Security-Focused Configuration Management of

Information Systems

» NIST 800-137 : Information Security Continuous Monitoring for Federal

Information Systems

» NIST 800-171 : Protecting Controlled Unclassified Information in Nonfederal

Systems and Organizations

24
 « Le NIST est probablement le framework le plus réfléchi, exhaustif, recherché
et reconnu. Sa fiabilité et sa flexibilité lui permettent à la fois de renforcer les
mesures existantes des grandes entreprises et de donner aux PME une feuille
de route claire pour améliorer leur cybersécurité. »

— David Meltzer, CTO de Tripwire

MITRE
MITRE est une organisation à but non lucratif qui dirige des centres de recherche et de
développement financés par le gouvernement américain. Son framework ATT&CK est un
modèle de cybersécurité détaillant les modes opératoires des attaquants et les mesures
à appliquer pour atténuer le risque et renforcer la sécurité.
Là où le CIS offre aux entreprises une liste d’actions prioritaires, le framework MITRE
ATT&CK aborde la cybersécurité du point de vue des attaquants.
Il répertorie en effet les tactiques et techniques employées par les criminels et les
présente sous la forme d’une matrice détaillée. Il apparaît ainsi que le SCM permet de
bloquer l’escalade des privilèges, l’accès aux identifiants et le déplacement latéral, dans
la mesure où ces méthodes d’attaque ont un lien direct avec les configurations et seront
donc signalées par votre outil SCM.

« Le framework Adversarial Tactics, Techniques, and Common Knowledge

(ATT&CK) de MITRE offre une base de connaissances ainsi qu’un modèle de
comportement des cybercriminels. Il reflète en effet les diverses phases
d’attaque et les plateformes généralement ciblées. ATT&CK est né d’un projet
visant initialement à énumérer et catégoriser les tactiques, techniques et
procédures (TTP) adverses utilisées contre les systèmes Microsoft Windows™.
Son objectif était ainsi d’améliorer la détection des activités malveillantes.
Le framework a depuis bien évolué, incluant notamment Linux™ et macOS™.
Il s’est enfin élargi pour couvrir les tactiques et techniques de pré-
compromission, ainsi que des domaines technologiques tels que les
terminaux mobiles. »”7

— MITRE

25
 NORMES DE CONFORMITÉ RÉGLEMENTAIRES
Après ce tour d'horizon des principaux frameworks de bonnes pratiques en matière
de SCM, penchons-nous sur les obligations de conformité réglementaire soumises à
l’audit. La plupart des secteurs sont soumis à un cadre réglementaire de référence,
comme HIPAA pour la santé aux États-Unis. En parallèle, certaines réglementations
ont une portée beaucoup plus vaste, à l'image du RGPD (Règlement Général sur la
Protection des Données). En règle générale, vos audits procéderont nécessairement au
contrôle de vos processus SCM.

PCI DSS
À leur arrivée dans l’espace numérique, les organismes de cartes de crédit ont
rapidement pris conscience du besoin de se protéger contre la fraude informatique.
L’utilisation frauduleuse des instruments de paiement reste en effet un enjeu majeur :
chaque nouvel incident repris dans les médias contribue à diminuer un peu plus la
confiance des clients, même envers les plus grandes entreprises.
Créé en 2006, le PCI Security Standards Council joue aujourd'hui un rôle prédominant
dans la sécurité des transactions numériques. D’un côté, l’organisme veille à la
protection des données de titulaires de cartes, tout en limitant la responsabilité des
émetteurs de cartes et des banques lorsqu'un marchand subit des pertes dues à une
compromission.
Pour vous protéger efficacement contre les vecteurs d’attaque les plus fréquents,
votre solution SCM doit couvrir les systèmes d’exploitation des serveurs, les systèmes
POS, les systèmes virtuels, les ressources cloud, les équipements réseau, les serveurs
d’annuaire et les bases de données. En cas d’écart avec les normes de conformité PCI,
votre outil SCM doit vous recommander des actions correctives des configurations
systèmes. L’article 11.5 décrit spécifiquement les avantages de capacités FIM pour vous
informer notamment des modifications à l’origine d’un écart.

HIPAA
La loi américaine HIPAA de 1996 est gérée par le département de la Santé et des
Services sociaux. Cette loi a été établie dans un souci de sécurité, de confidentialité,
d’intégrité et de disponibilité des données médicales des patients.
Les outils SCM surveillent les systèmes à la recherche de changements non autorisés,
tout en traitant les vulnérabilités par ordre de priorité pour veiller à ce qu’aucune
donnée de santé ne soit compromise. L’informatique médicale compte de nombreux
types d’environnements qui, en cas de mauvaise configuration, sont susceptibles de
fournir aux cybercriminels l’accès aux dossiers médicaux des patients. C'est aussi dans
ce secteur que la facture de compromission de données est la plus élevée : le vol d’un
dossier médical électronique coûte en moyenne 429 $ aux établissements de santé8 et
peut rapporter aux cybercriminels entre 250 et 1 000 dollars sur le Dark Web9.
Un processus SCM pertinent vous livrera des rapports et tableaux de bord qui vous
permettront de vérifier rapidement votre niveau de conformité HIPAA. Ces rapports
peuvent également être produits à tout moment pour apporter des preuves de
conformité aux auditeurs. L’article 164.312, sous-partie C, partie 164 du titre II de la
loi HIPAA décrit un ensemble d’exigences techniques auxquelles le SCM apporte des
réponses, comme le contrôle des accès10.

26
NERC
La North American Energy Reliance Commission (NERC) est un organisme de régle­
mentation international créé aux États-Unis. Son objectif est de réduire les risques
associés à l’infrastructure des réseaux électriques. À cette fin, la NERC développe
continuellement de nouvelles normes, tout en menant en parallèle des actions de
sensibilisation, de formation et de certification destinées aux personnels du secteur.
Les professionnels de la cybersécurité travaillant au sein du réseau de production-
transport d’électricité (RPTE) et pour d’autres opérateurs d'importance vitale (OIV)
sont tenus de se conformer à la norme NERC CIP (Critical Infrastructure Protection).
La non-conformité NERC peut coûter jusqu’à 1 million de dollars par jour et par com­
promission. On comprend donc mieux l'empressement des acteurs de l'énergie à
injecter de vastes ressources pour atteindre et maintenir cette conformité11.
La sous-norme NERC CIP 010, qui concerne la gestion des changements de
configuration et l’évaluation des vulnérabilités, est particulièrement du ressort du SCM.
Celle-ci a pour but de « prévenir et détecter les changements non autorisés apportés
aux systèmes cyber du RPTE en spécifiant des exigences de gestion des changements
de configuration et d’évaluation des vulnérabilités visant à éviter toute mauvaise
opération ou instabilité dudit RPTE. »12

SOX
En vertu de la loi américaine Sarbanes-Oxley (SOX), toutes les sociétés anonymes sont
tenues d'établir des contrôles et procédures internes de reporting financier visant à
réduire le risque de fraude. La loi SOX ne spécifie pas les types de contrôles requis,
mais elle suggère aux entreprises de suivre le framework COBIT (Control Objectives for
Information and Related Technologies) en matière de gouvernance informatique.
Voici ce qu'indique le standard COBIT DS9 (livraison et support) au sujet du SCM :
« Gérer la configuration : l’intégrité des configurations matérielles et logicielles passe
par l’établissement et le maintien d’un référentiel de configuration précis et complet.
Ce processus implique de recueillir les données de confirmation initiales, d’établir
des bases de référence, de vérifier et de contrôler les informations de configuration,
puis de modifier, le cas échéant, le référentiel de configuration. Une gestion efficace
des configurations permet d’augmenter la disponibilité des systèmes, de réduire
les problèmes de production et de résoudre les erreurs plus rapidement. »13 Votre
entreprise peut se conformer à la loi SOX par le bais d’une politique COBIT intégrée à
votre outil SCM.
Les normes et les frameworks cités dans ce chapitre ne sont pas exhaustifs : il s’agit
d’un échantillon des principales exigences pour lesquelles votre entreprise peut faire
l’objet d’un audit.

27
 PITRE 5
• CHA • TOUT LE MONDE
SUR LE PONT
Achat et déploiement
de solutions SCM

Notre odyssée dans l'univers du SCM se termine au détour de quelques

considérations propres à l’achat et au déploiement d’une nouvelle
solution SCM. La gestion des configurations est une technologie
mature envers laquelle vous devez vous montrer exigeants. Maintenant
que vous avez une meilleure idée de la notion de SCM et des processus
connexes, à vous d'opter pour une solution SCM capable de répondre à
ce cahier des charges, tout en assurant une couverture étendue et en
offrant de nombreuses possibilités de personnalisation.

QUE SONT LES PROCESSUS SCM « BASIQUES » ?

Les produits SCM de base sont ceux qui vous permettront de passer un audit
avec succès, à condition que l’auditeur n'approfondisse pas trop son analyse, ou
dont la couverture se limite à des standards génériques, et non aux politiques
spécialisées comme les normes NIST ou PCI. D’autres solutions peuvent
proposer des bibliothèques massives de contenus, sans pour autant s'étendre à
l'échelle de votre entreprise ou aux capacités requises en matière de reporting.
Le choix d'un produits SCM n'est pas une simple formalité : choisissez la solution
et le fournisseur répondant à tous les critères de votre cahier des charges.

Les éléments à évaluer dans votre environnement

Avant de choisir un nouvel outil SCM, vous devrez étudier en détail votre environnement
informatique et/ou opérationnel afin de déterminer les spécificités de vos besoins. Voici
quelques éléments essentiels à prendre en compte :

» Exigences matérielles : avant d’acheter votre solution SCM, examinez de près les
exigences matérielles nécessaires à sa bonne exécution. Requiert-elle un serveur
à plus de 100 000 euros ? Sa gestion opérationnelle devra-t-elle être assurée par
équivalent temps plein (ETP) ? Le fournisseur propose-t-il une solution hébergée ?

28
 Vous n’avez par exemple aucun intérêt à choisir un outil exécuté sous Linux alors que
la plupart de vos serveurs tournent sous Windows. Quid de l’évolutivité ? Bien que vos
exigences initiales ne couvrent que quelques dizaines ou centaines de serveurs, votre
solution pourra-t-elle évoluer au fil de votre croissance ?

» Environnements distribués : en informatique, les grandes entreprises placent

rarement tous leurs œufs dans un même panier. Votre solution SCM fonctionnera-
t-elle dans un environnement distribué ou hybride ? Certaines de vos ressources
sont hébergées sur site, d'autres sont virtuelles et d’autres encore se répartissent
sur divers environnements cloud. D'où l'impératif d'une prise en charge complète de
tous les principaux fournisseurs cloud. Si l’outil qui vous évaluez ne supporte qu’AWS,
alors que vous répartissez vos workloads entre AWS et Azure, vous n’obtiendrez pas
la couverture requise. Votre fournisseur SCM devra également s’adapter à la nature
dynamique de la plupart des environnements cloud.

» Principaux outils tiers : Quels outils et applications essentiels sont déjà présents dans
votre environnement ? Dressez l’inventaire des outils en question (sources de Threat
Intelligence, applications de gestion et d’exécution de correctifs, solutions SIEM et de
journalisation, systèmes de gestion des tickets, etc.) et optez pour une solution SCM
qui s’y intègre facilement.

POURQUOI CHOISIR UNE SOLUTION SCM MANAGÉE ?

Depuis longtemps, le monde de la cybersécurité Les équipes de sécurité

est confronté à un autre problème de taille : sont en sous-effectif
la difficulté à recruter des professionnels Comment qualifieriez-vous la taille
expérimentés. Cette pénurie de compétences actuelle de votre équipe de sécurité ?
représente un risque réel lorsque les postes
restent vacants ou sont confiés à des
collaborateurs sous-qualifiés. L'autre grand 2%
défi se situe au niveau de l’évolution constante 15 % 16 %
du cadre réglementaire. Car bénéficier d'une
solution SCM capable de mettre rapidement à jour
les politiques est une chose, les déployer et les
adapter à votre programme SCM en est une autre.
Or, ces processus de sécurité essentiels peuvent 66 %
être gérés à distance ou exécutés sur site par un
ingénieur attitré, missionné par un fournisseur
de services d'infogérance de la cybersécurité.
En grand sous-effectif
Un fournisseur de services managés peut ainsi
répondre de façon unique à vos défis SCM.14 En léger sous-effectif
Taille adaptée
En sureffectif
29
 » Les compétences de vos équipes IT et de sécurité : N’oubliez pas de tenir compte du
pool de compétences déjà présent dans votre entreprise. Dans les petites entreprises,
les administrateurs doivent souvent endosser plusieurs rôles, notamment la formation
à la sécurité. À l’inverse, les administrateurs des grandes entreprises sont parfois si
nombreux qu'ils travaillent dans différents bâtiments et sont rattachés à des groupes
de sécurité distincts. Quel groupe aura la responsabilité de la solution SCM ? À qui
devra-t-il rendre des comptes en matière de conformité ? Vous devrez aussi veiller à ce
que votre solution SCM s’adapte à votre processus de gestion des changements, sous
peine de devoir le remodeler

DIX QUESTIONS POUR VOTRE FOURNISSEUR SCM

1 Proposez-vous des contrôles spécifiques à la gestion des
équipements et terminaux ?
Votre console permet-elle de gérer les politiques de l'ensemble des contrôles ?

2 Quels sont les produits, équipements et applications pris en charge ?

3 Quels sont les standards et/ou benchmarks fournis clé en main ?
4 Quels sont les rapports prêts à l'emploi ?
Qu’en est-il de la personnalisation des rapports ?

5 Votre entreprise dispose-t-elle d’une équipe de recherche interne ?

Comment contribue-t-elle à améliorer votre produit ?

6 Comment gérez-vous les équipements distants et rarement

connectés ?
7 Sur quelle plateforme votre console de gestion tourne-t-elle ?
Un équipement dédié sera-t-il nécessaire ? Quel type de gestion hiérarchique
votre environnement prend-il en charge ? Quel est le degré de personnalisation de
l’interface de gestion ?

8 Quelles mesures avez-vous prises pour sécuriser votre plateforme ?

L’authentification renforcée est-elle prise en charge ? Avez-vous effectué des tests
d’intrusion sur votre console ? Votre processus de développement logiciel est-il
sécurisé ?

9 Quelle est le périmètre d'action de votre solution ?

La licence initiale est-elle limitée en nombre et en types d’appareils ?
Quel sera le matériel requis pour l'implémentation initiale ? Qu’en est-il de
l’évolutivité à terme ?

10 Proposez-vous des services et formations adaptés à mes

compétences, mes besoins et mon budget ?

30
DÉPLOIEMENT

Une fois la solution SCM choisie et les licences achetées, vous devrez tenir compte d'un
certain nombre de contraintes pour le déploiement. Il vous faudra ainsi évaluer vos
compétences internes et déterminer les formations nécessaires. D’un autre côté, les
services proposés par votre fournisseur peuvent faciliter la mise en œuvre de votre outil,
voire sa gestion opérationnelle à distance. Pour assurer une bonne maîtrise des coûts,
le fournisseur devra vous présenter dans tous les cas un plan de projet et un énoncé
précis des missions à remplir (SOW, Statement of Work).
Si vous comptez intégrer la solution SCM à d’autres éléments de votre environnement,
adressez-vous aux experts des applications concernées. En effet, ces exigences doivent
faire partie du plan de projet et du SOW.
Établissez la procédure d'achat et de déploiement du matériel sur lequel sera installé
votre outil SCM. Pour éviter tout surcoût inutile, vous devrez vous assurer que cet
équipement soit installé et opérationnel avant l’arrivée de l’équipe du fournisseur.
Ensuite, étudiez les ports et les services qui seront nécessaires à la mise en œuvre de
votre solution. Vous devrez pour cela vous rapprocher de l’équipe réseau afin de veiller à
remplir chacune de ces exigences.

31
 L’APPROCHE SCM DE TRIPWIRE
Tripwire propose des solutions complètes de gestion des politiques, de l’intégrité des
fichiers et de la remédiation. Celles-ci forment une suite SCM complète capable de
répondre aux défis de sécurité et de conformité immédiats des entreprises, tout en
posant les bases d’une protection à la hauteur des enjeux de demain.
Tripwire propose la plus grande bibliothèque de politiques et de plateformes du
marché, avec au total plus de 2 000 politiques couvrant tout un éventail de systèmes
d’exploitation et d’équipements. Nos solutions vous offrent une visibilité incomparable
sur l’état et le niveau actuels de vos systèmes de sécurité. Enfin, les capacités
de remédiation de Tripwire automatisent les processus et vous aident à corriger
rapidement les erreurs de configuration ayant une incidence sur la sécurité et la
conformité.

Tripwire® Enterprise est une
suite complète qui rassemble les
outils FIM et SCM les plus respectés
du marché, fournissant ainsi un suivi
des changements et une détection
des menaces en temps réel. Pour les
responsables conformité, Tripwire
Enterprise offre une solution proactive
de renforcement des systèmes,
assortie d'outils automatisés de
mise en application des mesures de
conformité, avec à la clé une réduction
des cycles et des coûts d'audit. Des
milliers d’entreprises ont fait de
Tripwire Enterprise le noyau dur de
leur programme de cybersécurité.
TRIPWIRE®
CONFIGURATION
MANAGER
Tripwire Configuration
Manager vous permet
d’élargir la surveillance de vos
configurations pour inclure dans
une seule console les comptes et
les ressources cloud exécutées
sur Amazon Web Services (AWS),
Microsoft Azure et d’autres
fournisseurs de services cloud.
Cet outil vous permet d’appliquer
automatiquement vos règles de
configuration et calcule des scores
de risques permettant aux équipe
de sécurité de donner la priorité
aux problèmes les plus urgents.

TRIPWIRE®
EXPERTOPS
Tripwire ExpertOpsSM SCM
offre un service cloud d'infogérance
des meilleures solutions SCM du
marché. En souscrivant un seul et
même contrat, vous aurez accès aux
conseils personnalisés d’experts et à
des outils de gestion pratiques pour
assurer la conformité et la sécurité
de vos ressources critiques.
TRIPWIRE®
INDUSTRIAL
VISIBILITY
Tripwire Industrial Visibility
procure aux opérateurs ICS une
visibilité totale des équipements et
de l’activité réseau. L'outil utilise
la gestion des changements, la
journalisation des événements
et la modélisation des menaces
afin d’assurer la protection de vos
ressources les plus sensibles.

32
 POUR EN SAVOIR PLUS
TÉLÉCHARGEZ LA
FICHE TECHNIQUE DE TRIPWIRE ENTERPRISE
OU DEMANDEZ UNE DÉMO

www.tripwire.com

LISEZ NOTRE BLOG THE STATE OF SECURITY :

tripwire.com/blog

@tripwireinc

33
 AUTEURS

Chris Orr
Chris Orr a rejoint Tripwire en septembre 2000. À son arrivée,
Chris s’occupe du développement et de la prestation de
formations sur des logiciels phare comme Tripwire for Servers et
Tripwire for Routers. Rapidement, il intègre l’équipe d'ingénieurs
commerciaux dans un rôle d’assistance technique couvrant
27 États américains et l’ensemble des administrations fédérales.
Aujourd’hui, son territoire s’étend à tout l’Ouest du Mississippi, soit
la zone géographique la plus vaste confiée à un seul collaborateur.
Résidant à Lake Stevens, dans l’État de Washington, Chris aime
voyager, jouer de la guitare avec sa fille et découvrir la nature avec
son fils.

Steve Marriner
Steve Marriner est le directeur général de Yosemite Group. En
plus de trente ans de carrière, il a su développer une expérience
approfondie des systèmes, des applications et de la cybersécurité.
Steve fournit des conseils en gestion, marketing et stratégie
produit aux grandes entreprises du secteur de la sécurité comme
Tripwire, Voltage Security et Iovation. Il est diplômé en sciences
mathématiques et informatiques de l’université du Connecticut et
est titulaire d'un MBA de l’université de Stanford.

Tim Erlin
Tim Erlin, VP gestion et stratégie produit chez Tripwire, anime
également notre podcast Talking Cybersecurity. Il était avant cela
responsable de la gamme de produits de gestion des vulnérabilités
de Tripwire. Sa formation d'ingénieur commercial lui permet
de maîtriser les réalités du marché et d'exprimer toutes ses
qualités de leader et d'expert produits. Au fil de son parcours dans
l'industrie informatique, Tim a tour à tour fait ses armes dans
la gestion de projets, le service client ainsi que l’administration
système et réseau. Il s'implique activement dans la communauté
de la sécurité informatique à travers des blogs, des podcasts, des
articles de presse, des interventions publiques et télévisées.

34
Sources
1. Johnson, Arnold, et al. « Guide for Security-Focused Configuration Management of
Information Systems. » NIST, 31 oct. 2019.
2. « 2019 Data Breach Investigations Report. » Verizon Enterprise, 2019.
3. « CIS Control 12: Boundary Defense. » CIS, www.cisecurity.org/controls/boundary-
defense/.
4. « 2019 Cost of a Data Breach Report: IBM Security. » IBM Security, 2019,
databreachcalculator.mybluemix.net/.
5. « CIS Control 5: Secure Configuration for Hardware and Software on Mobile Devices,
Laptops, Workstations and Servers. » CIS, www.cisecurity.org/controls/secure-
configuration-for-hardware-and-software-on-mobile-devices-laptops-workstations-and-
servers/.
6. « Security and Privacy Controls for Information Systems and Organizations (Final Public
Draft). » NIST CSRC, 16 mars 2020, csrc.nist.gov/publications/detail/sp/800-53/rev-5/draft.
7. Strom, Blake E., et al. « MITRE ATT&CK™: Design and Philosophy. » The MITRE
Corporation, 11 oct. 2019, www.mitre.org/publications/technical-papers/mitre-attack-
design-and-philosophy.
8. Davis, Jessica. « Data Breaches Cost Healthcare $6.5M, or $429 Per Patient Record. »
HealthITSecurity, HealthITSecurity, 23 juillet 2019, healthitsecurity.com/news/data-
breaches-cost-healthcare-6.5m-or-429-per-patient-record.
9. Columbus, Louis. « 5 Strategies Healthcare Providers Are Using To Secure
Networks. » Forbes, Forbes Magazine, 20 oct. 2019, www.forbes.com/sites/
louiscolumbus/2019/10/20/5-strategies-healthcare-providers-are-using-to-secure-
networks/#3299f9954b40.
10. « 45 CFR § 164.312 - Technical Safeguards. » Cornell Law School, Legal Information
Institute, www.law.cornell.edu/cfr/text/45/164.312.
11. « NERC Compliance Regulations & Requirements. » Compliance Guidelines, 2020,
complianceguidelines.com/nerc-compliance.htm.
12. « CIP-010-1. » NERC, 2020, www.nerc.com/pa/Stand/Pages/CIP0101RI.aspx.
13. Tripwire Inc. Sustaining SOX Compliance, www.tripwire.com/solutions/compliance-
solutions/sox-it-compliance/sustaining-sox-compliance-register.
14. Tripwire Inc. 2020 Cybersecurity Skills Gap Survey, www.tripwire.com/misc/skills-gap-
survey-2019-register/.

35
36
 MAÎTRISER LA GESTION DES CONFIGURATIONS
Aujourd’hui, le périmètre de l’entreprise ne se limite plus aux data centers
traditionnels sur site. Les équipes de sécurité doivent ainsi défendre une
surface d’attaque à la fois élargie, poreuse et en perpétuelle expansion.
C'est là que les systèmes de gestion des configurations de sécurité (SCM)
prennent toute leur importance car ils surveillent directement l’état des
ressources. Les écarts observés par rapport aux valeurs attendues sont
alors signalés – que leur origine soit interne ou externe, accidentelle ou
malveillante – et les actions correctives engagées.
Ce guide vous invite à découvrir les outils SCM et leur rôle clé pour la
sécurité et la conformité. Vous pourrez ainsi vous armer des compétences
nécessaires pour affronter les défis immédiats de votre entreprise.

37